Defense+分类规则，物以类聚，权以组分~（091009）

月光下的忍者

·
·
·
           写规则的起因，是看大家对WIN7的规则呼声很高，本来打算买本，装WIN7，写WIN7的规则……

         可因为经济原因，暂时更换电脑这个计划还不能实现。。

         让WIN7的用户失望了，这仍然是XP的规则


        ……

把昨天都作废，来跟我一起走进这个规则，看看他是如何用简单解决安全的~

        不过首先确定的一点的是，这是初学者规则，不是初用者规则。重在以鱼授渔~

        全局询问的规则没有意义，所以，我选择了容易被大家忽视的“预定义规则”

       既然要自己分类套用，自然不是安静规则，而且全局规则为了灵活，只阻止了部分，其余询问。

        当你运行一个程序弹出询问的时候，你可以根据这个程序的分类来套用相应的预定义规则。


        




       暂时先分这么多类，我想一般是够用了，那个基本权限可以当做那些分类外的“万金油”


        那么这个规则有多大的易用性和安全性呢？我想这是大家最关心的问题。
·

        先从易用性上讲，毛豆的安装模式你可以去尝试了。取了一个安全与安装的平衡点。


        所以也不要指望哪边的100%安全或者安装成功。



        在来谈谈运行，如果你和我的常用程序一样，那么是完全安静的。连套用分类的那一步也省了。




       我给了网游以及QQ组一个很大的权限，所以网游和QQ一般不会出现问题。





        即使再流氓，也建议你这些怕盗号的程序用官方的。



        QQ2008的迷你首页和广告已经不会再出来烦你，同样，千千静听的广告弹窗也不会出来烦你。

        关于单击游戏，我很少玩游戏，只试运行了几个，CS、实况、魔兽争霸等等均没问题。


        下载工具，测试了迅雷，没问题。



         浏览器，测试了IE、OPERA、火狐，均没问题。注意火狐的Flashgot要套用下载工具组。



        播放器，测试了千千静听和KMP，没问题



        如果这些分类权限里，没有合适你程序的，你可以尝试套用基本权限，或者弹窗自定义。


        还有一部分需要说明一下，那就是CMD一类的，我不限制你自己运行，但限制了软件的运行。



       不过你运行我也没有全部放过，限制了一部分，另一部分弹窗询问你。



        好了，易用性就先说到这里，下面再来谈谈这个规则的安全性。


        ……



        如果一个规则只为了最大易用而忽略了安全，那还不如去用查杀率高的杀软。



        如果一个规则为了安全全局弹窗，那这个规则又有什么意义，或者说靠自己判断不适合初学者。



        我们先来看看这个毛豆规则面对它自家出品CLT的表现。



         

  


           此规则不包括防火墙，所以CLT防火墙那边我选择了阻止并记住。


           不仅仅套用基本权限满分，套用浏览器、播放器、下载工具、单机游戏也是340满分。


          单凭一个CLT满分，就能说明安全吗？答案肯定是不能！


          我们再来看看面对API结束进程的表现。



         


          套用基本权限下结束COMODO进程全部方法失败。防御成功。



          我没有装其他杀软，所以测结束毛豆是没有多大意义的，只要你勾选了“结束后阻止一切未知”

                       
          有点意义的是测ctfmon，因为经常有病毒会悄悄的结束这个，不过这个又需要被进程访问。

          所以kill3和kill4没有通过，不过剩下的8个全通过了，病毒不能悄悄结束ctfmon来打主意。



         至于VBS一类的测试，还是不用测了，自杀都不让，直接列入了黑名单。



         我们再来测下注册表，用的testregmon这个测试工具，我们来看下这个规则的表现。



         


         这个没什么悬念，基本权限下全部防御成功，通过测试。


        套用单击游戏，点允许他运行regedit，依然全部防御成功，通过测试。



        当然，浏览器、播放器、下载工具等，都通过，连权限很大的“防盗号组”都通过了。



       这个没什么悬念。

       那我们再来实机（危险动作，切勿模仿）测点真病毒。


       本来想下载今天的毒包，可20多个……下载速度9K/S……放弃……（卡饭近期晚上的速度让人无语）



        所以我决定翻出收藏多年的四大毒王，忘关毛豆的AV了，差点把这个4个古董给毁了。



       运行了最有名的熊猫烧香，我还没套用哪个规则，只是点了一下允许它访问API，他就被全局规则秒杀了。

      


       听说机器狗可以穿还原，我就有还原，那我们看看他能不能毁了我的还原。

       比熊猫烧香强，最起码弹出了个命名管道和企图获得Debug权限，我才选用基本权限将其秒杀。


……

        当然这个规则不是给你们测毒玩的，要想横扫一切，建议在首个弹窗套用”所向披靡“



        直接阻止了API……连你的玩笑程序也会被直接秒杀确切的说是秒杀一切。



       不过这种阻止一切的预设权限没有什么意义，也许仅仅能证明HIPS没有拦不了的程序罢了。



      ……



       好了，写了这么多，也不知道你们有没有耐心一直仔细看到这里，玩完了，我要说一下免责声明。



       此规则只供学习交流使用，若发生意外，本人不承担任何责任和过错。


……


       防盗号组和防御装备以及系统重要文件和位置的FD贯穿整个规则。



       整个规则全部采用了通配，很多都是大幅度通配，为了不产生低级漏洞（还是说一下吧）



       （不能说是病毒释放了一个Avira文件夹下的一个文件，权限就直接无敌了，那就太可笑了）


      所以，我用全局规则填补了这个漏洞。


       你要是安装盗号组和防御装备组的程序，还是建议从可信任站点下载，关闭D+安装。  


      其实目前来看，任何官方下载的东西都可以关闭D+来安装。（对付流氓我们可以后发制人）


……

      
      OK，本菜鸟再此献丑了，我还是希望你们不要偷懒，学会后，打造属于自己的绝对路径规则。



      HIPS的精髓是阻止一切，例外放行。



      那才是属于你自己最最安全易用的规则。


附：全局规则权限图：

      



        



















       基本权限图：
























[ 本帖最后由 月光下的忍者 于 2009-10-9 19:28 编辑 ]

月光下的忍者

此楼发布规则，也留作更新日志。


欢迎大家反馈问题，我好Update。





091009 Update：允许”自杀“，并强调了优先级。精简了规则，但内置范围更广，提示和日志更少！
                         （推荐更新！）


[ 本帖最后由 月光下的忍者 于 2009-11-9 18:40 编辑 ]

lorchid

抢占沙发

[ 本帖最后由 lorchid 于 2009-9-26 21:29 编辑 ]

loveyuwei

坐板凳慢慢看！

ccyijane

从下午等到晚上额~

魂断蓝桥

忍者，佩服，你也是下了一番苦工的。

[ 本帖最后由 魂断蓝桥 于 2009-9-26 21:52 编辑 ]

meishizhao

确实能在新系统出规则 兔子也下了一番功夫呢。。
  支持··· 向我这样不懂怎么写规则的小白 绝对的福音···

[ 本帖最后由 meishizhao 于 2009-9-26 21:40 编辑 ]

王子带着刀

哦 知道了

陈小落

好贴!
太好了..
我还没看帖子就感受到了其中的精华!
一定要加精华加技术!
恩~想了想..
还是觉得很好..
我先看帖子去~

scz0011

前排支持！