★★☆→由昨天一个简单bat想到的，毛豆能做到...?【可以做到，有解决方案】

显示全部楼层 · 发表于 2011-6-8 09:32:31

本帖最后由悟心之道于 2011-6-14 06:50 编辑

起因：
《简单bat,你的安软管还是不管这个呢？》
http://bbs.kafan.cn/thread-1001120-1-1.html
问题：
Comodo FireWall 5.4能否
1、阻止软件批量更改已知重要文件类型，如doc,docx,wps,xls,dwg,dxf等通用文件和其他专业性软件的作业文件。
2、禁止软件批量删除这些重要类型的文件。
3、特定文件仅只许可合法程序创建、修改。
操作：
如果能该如何设置？

本人用毛豆时间不长，可能所问肤浅，欢迎砖头。答复好呢RQ奖励下（虽然都是浮云，问题是只有这个）

很久不用的瑞星简单设置可搞定。

http://bbs.kafan.cn/forum.php?mo ... &fromuid=513112

用毛豆达愿望，楼下柯林这个曾经神经过敏的已经说了，偶也会了，想学的自己看看。
39+40楼

显示全部楼层 · 发表于 2011-6-8 09:48:30

要么阻止cmd运行，要么只信任正常的cmd的命令行参数

没别的办法

显示全部楼层 · 发表于 2011-6-8 09:54:51

天月来了发表于 2011-6-8 09:48
要么阻止cmd运行，要么只信任正常的cmd的命令行参数

没别的办法

这个原理实际就相当于把cmd加了不信任，或者禁止了“批处理”？副作用不小啊。还有即使这样也不能阻止其他类型的可执行程序干相同的事啊

显示全部楼层 · 发表于 2011-6-8 10:23:43

本帖最后由柯林于 2011-6-8 10:28 编辑

有必要这么神经过敏吗？有的话，很简单，以下内容列入受保护的文件：
C:\Documents and Settings\*|
C:\Program Files\*|
D:\*|
E:\*|
F:\*|
....有多少个磁盘分区都加上，不怕麻烦的话，自己排除常用软件的正常行为。
如果要自动阻止恶意删除文件的批处理，要用bat删除垃圾文件的话，请在cmd.exe的规则中允许它访问%systemdrive%\*.tmp.....之类的东东，其他的*全不允许，你看它还能删除什么东东？【默认规则，除了整个windows目录纳入保护，开机必须的文件，只保护了boot.ini、NTDETECT.COM、ntldr，要全面，把AUTOEXEC.BAT、bootfont.bin、CONFIG.SYS、IO.SYS、MSDOS.SYS也一起列入“重要的文件/目录”之内吧】
补充：要防止病毒或恶意软件删除文件，还有两个极为重要的东东必须管制——1、禁止加载驱动；2、禁止底层磁盘操作

只要喜欢发神经，用个HIPS，完全可以把机子包个密不透风，让系统进程和自己的操作都在极端神经的状态下进行——所有思想最终是人的思想；一切行为是人的行为！（大部分人喜欢抓重点，实行抓大放小的管制；少部分人喜欢事无大小，一律管制，住在一千二百米厚的钢筋混凝土的“乌龟壳”才有安全感）

显示全部楼层 · 发表于 2011-6-8 10:24:56

hips软件所谓的可以防病毒，就是靠禁止运行

如果禁止运行不能被接受的话，那么任意放行的hips软件是帮不了你什么的。

而禁止运行，不单单指禁止病毒的纯.exe文件的运行，也包括禁止易被病毒利用来执行命令的大量的系统重要程序的运行。

这不仅仅是cmd程序，还有很多可以执行命令的程序，例如可以执行脚本.vbs的系统重要程序cscript.exe

显示全部楼层 · 发表于 2011-6-8 10:30:04

柯林发表于 2011-6-8 10:23
有必要这么神经过敏吗？有的话，很简单，以下内容列入受保护的文件：
C:\Documents and Settings\*|
C:\P ...

知道偶现在想干什么不？
敲你的头

因为你的办法就属于“神经过敏”状态！
而我说的属于“正常要求”。

做不到没关系，不依原来问题，随意放大和缩小，所以想打你

显示全部楼层 · 发表于 2011-6-8 10:49:39

悟心之道发表于 2011-6-8 10:30
知道偶现在想干什么不？
敲你的头
因为你的办法就属于“神经过敏”状态！

做得到，做不到，全看视乎人而为——要不然，为什么会有豪杰与庸人之分呢？

什么是正常要求？你自己就提一个非常要求的问题，还硬往正常方面靠，你的娱乐精神很高。

俺用电脑十年，未用HIPS的前七年，随便用个国产的烂杀软，从没遇到什么恶意删除文件的批处理，充其量中个木马病毒，哪有那么多的“正常方面的担忧”？

显示全部楼层 · 发表于 2011-6-8 11:06:06

柯林发表于 2011-6-8 10:49
做得到，做不到，全看视乎人而为——要不然，为什么会有豪杰与庸人之分呢？

什么是正常要求？你自己就 ...

做不到就说人家要求不正常，这就是你的办法

显示全部楼层 · 发表于 2011-6-8 11:27:48

本帖最后由 BuddhaBless 于 2011-6-8 11:31 编辑

*bat,有信任的临时例外

显示全部楼层 · 发表于 2011-6-8 11:34:20

悟心之道发表于 2011-6-8 11:06
做不到就说人家要求不正常，这就是你的办法

早说过了，做得到做不到，看你怎么定义。

管你什么程序，放HIPS里来看，无非就是个进程和目标的关系——
管住进程，这是一个办法！
管住目标，这是另一个办法！

相对于你提的FD问题而言，最根本的方法就是管住目标——文件操作！只要管住了目标，管你cmd还是cmp还是傻子名称的病毒某某，有屁用？

离开了进程、进程行为、操作目标，还有什么可谈？那不过是风中的幻想。

[已解决] ★★☆→由昨天一个简单bat想到的，毛豆能做到...?【可以做到，有解决方案】

评分

评分

评分