楼主: 深红的雪
收起左侧

[技术原创] 咖啡防入口通用型规则包【7月19更新】

[复制链接]
jone_jys
头像被屏蔽
发表于 2008-8-21 16:56:33 | 显示全部楼层

回复 721楼 rappar 的帖子

呵呵 已经了解!谢谢回复!
oldtop
发表于 2008-8-22 13:19:27 | 显示全部楼层
非常有用,谢谢
hnhbdavid 该用户已被删除
发表于 2008-8-22 14:04:44 | 显示全部楼层
thx for sharing!
chenshiguo
发表于 2008-8-23 19:41:48 | 显示全部楼层
非常有用,谢谢
电脑爱好者
发表于 2008-8-24 15:10:28 | 显示全部楼层
感谢楼主分享规则
lilinxi
发表于 2008-8-24 21:49:56 | 显示全部楼层
谢谢,楼主,很好的规则
freesoft00
发表于 2008-8-25 21:15:04 | 显示全部楼层
UserString UR8 "A53 禁止指定程序访问网络(可自行添加)"
UserEnforce UR8 1
UserReport UR8 1
UserProcess UR8 {Include "**\\Documents and Settings\\**\"" **\\Windows\\** \\*;Exclude "**\\Application Data\\**" ?:\\WINDOWS\\System32\\MSIEXEC.EXE ?:\\Windows\\system32\\svchost.exe ?:\\Windows\\system32\\wuauclt.exe}
UserRule UR8 G_User {Port OUT {Include 1 65535}
}


UserString UR191 "PD 监视程序访问网络的行为(出站控制)"
UserEnforce UR191 1
UserReport UR191 1
UserProcess UR191 {Include *;Exclude "**\\Program Files\\**" **\\PROGRA~1\\** **\\SystemRoot\\** **\\windows\\** SYSTEM \\??\\**\\windows\\** \\\\?\\**\\WINDOWS\\**}
UserRule UR191 G_User {Port OUT {Include 1 65535}
}


针对一旦中毒后,病毒联网从网络下载新病毒和防止木马等恶意程序发送用户隐私信息,上面两个规则那个好点。规则主旨还是以尽量不影响正常程序运行为前提。





UserString UR52 "A49 禁止在磁盘根目录新建运行任何.HTT文件"
UserEnforce UR52 1
UserReport UR52 1
UserProcess UR52 {Include *;Exclude 7zG.exe winrar.exe winzip*.exe}
UserRule UR52 G_User {File RXC { Include ?:\\*.htt }
}

UserString UR53 "A50 禁止在磁盘根目录新建运行任何desktop.ini文件"
UserEnforce UR53 1
UserReport UR53 1
UserProcess UR53 {Include *;Exclude 7zG.exe winrar.exe winzip*.exe}
UserRule UR53 G_User {File RXC { Include ?:\\desktop.ini }
}



针对不通过autorun.inf来实现自动运行,而是靠desktop.ini文件调用floder.htt或comment.htt等文件,再通过htt文件调用exe的行为,上面的两条规则可以吗?气流的加强版规则,不加上面两条是否可以防止这样的自动运行病毒?

另外,上回你要的病毒样本收到了吗?





UserString UR53 "A48 管制浏览器(禁止启动realplay.exe)"
UserEnforce UR53 1
UserReport UR53 1
UserProcess UR53 {Include Avant.exe Brexpo.exe firefox.exe GE.exe GreenBrowser.exe gsfbwsr.exe iexplore.exe MaxFox.exe maxthon.exe maxthon?.exe miniie.exe netscape.exe opera.exe Orca.exe Safari.exe SeaMonkey.exe Sleipnir.exe theworld.exe TTraveler.exe webthunder.exe \\*}
UserRule UR53 G_User {File X { Include realplay.exe }
}


加强版规则,不加这一条,访问毒网的时候,是否可以防止住调用realplay.exe,是否有必要加这一条。





UserString UR56 "R51 WinSock保护"
UserEnforce UR56 1
UserReport UR56 1
UserProcess UR56 {Include *;Exclude ArSwp.exe defensewall.exe defensewall_serv.exe HijackThis*.exe IceSword*.exe SnipeSword.exe SREngPS.EXE sysshield.exe tfservice.exe tftray.exe wsyschece.exe}
UserRule UR56 G_User {Key CWD {Include HKLM/SYSTEM/*controlset*/Services/WinSock*}
}
UserString UR57 "R52 防止修改映射劫持"
UserEnforce UR57 1
UserReport UR57 1
UserProcess UR57 {Include *;Exclude ArSwp.exe defensewall.exe defensewall_serv.exe HijackThis*.exe IceSword*.exe SnipeSword.exe SREngPS.EXE sysshield.exe tfservice.exe tftray.exe wsyschece.exe}
UserRule UR57 G_User {Key CWD {Include "HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**"}
}
UserString UR58 "R53 防止修改DCOM加载"
UserEnforce UR58 1
UserReport UR58 1
UserProcess UR58 {Include *}
UserRule UR58 G_User {Value CWD {Include HKLM/SOFTWARE/Microsoft/Ole/EnableDCOM}
}


上面的注册表防护没有必要加上吗?还有安全模式的注册表防护





最后,气流的规则一直在不断的完善更新,以后更新的时候能不能把修改和完善的地方写出来。
比如我,是用的你的规则,但是有好些个修改,你更新了规则,我如果也想更新的话,只有导入你的规则,再从新修改,工程量挺大的,主要是排除项目等等的修改。如果贴出来修改的地方,照着修改一下就可以了。
深红的雪
 楼主| 发表于 2008-8-25 23:51:53 | 显示全部楼层
1.第一个关于规则限制访问网络的问题,前者是限制”正常但没有必要访问网络“的程序,这是限制已知的程序。
这个规则是作为对**\Windows\**,**\Program Files\**这样的排除的保护措施,防止信任程序被利用。
这是为“防止让病毒进来”而考虑的,而不是禁止病毒“出去”
而后者显然是禁止未知程序访问网络,两者显然是截然不同的思路
另外我的规则不考虑中毒后的情况,规则只是为了不中毒而设

2.其实不需要,只要程序确实是从U盘里运行的(非脚步类),那么A01都能搞定
至于样本看过了,其实*.htt中的内容,又回到A17 管制浏览器(禁止调用Wscript.Shell组件)的防护范围里去了

3.用realplay的话最好加上,不然我单独写这么一条干嘛

4.注册表防护要么一条全局规则搞定(即阻止未知程序对注册表的任何更改),要么就完全不用
写太多了其实是自己找麻烦而已,况且咖啡的注册表防护不是那么靠得住

5.最近规则的更新都是根据跟帖中提到的问题进行极小幅度的修改,如果有大的更新我会贴出来的
znpr8183 该用户已被删除
发表于 2008-8-26 10:28:23 | 显示全部楼层
楼主!!
josky 该用户已被删除
发表于 2008-8-27 10:29:40 | 显示全部楼层
这个规则包很不错的说
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 09:35 , Processed in 0.102071 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表