【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

显示全部楼层 · 发表于 2010-5-21 01:40:54

本帖最后由 change_018 于 2010-5-22 14:22 编辑

借鉴光荣，剽窃可耻。

所谓“入口”，即指病毒进入计算机的途径，就普通用户而言，这种途径主要有两种：一是挂马网页、二是可移动设备。本规则正是基于这两方面的防御而设，适用于绝大部分对KIS2010较为熟悉的上网用户，新手慎用，同时未考虑服务器环境，因此服务器慎用。

写此规则的目的：
1.对KIS防挂马网页防御力和U盘病毒防御力不满的用户提供一个可行的防护方案。
2.给有一定基础、坚持逐步添加自己写的规则的人作为参考之用。
3.抛砖引玉，促进交流。

XP系统，系统C盘，IE内核，言简意赅。

KIS的老用户会发现，KIS自带的默认规则很注重通用性。而现在大部分电脑用户中毒的原因无非两个，一个为浏览毒网而中毒，一个为打开可移动磁盘时中毒，因此针对这些情况设立规则是很必要的。至于这个规则如何防范流氓软件，我想，防入侵规则并没有任何一条规则针对流氓软件而设，流氓软件安装到计算机无非两种途径：

1.捆绑软件。
2.在浏览网页时强制私自安装。

对于后者，防入口规则能让你远离这种困扰，而对于前者，其实我们只要有一点安全意识，到正规网站下载软件，安装前先扫描，安装时稍微注意一下即可避免。

正文。上图。

如何打开编辑框我就不多言辞，按图中所表述，在隐私数据的对话框里按图中新建三个类别，前两个类别针对浏览器，第三个类别针对可移动磁盘而设，在每个类别里逐一添加需要设置规则的路径。

在应用程序规则里按图中所述设置，并记录系统日志。

附上几张效果图，由于本人目前手头没有U盘，所以有兴趣的同学可以试验一下。

规则说明：
1.禁止浏览器新建exe(或com、pif等)，这种规则就能防止大部分网马下载病毒。当然这些规则还可以进一步演化成管制其他软件对非系统盘符的操作，如防止用类资源管理器软件误删文件，阻止一些程序运行时附带运行其他程序，用户无意打开一些危险脚本和批处理等等，大家可以自己发挥。
2.而通常防范U盘病毒的做法都是禁止AUTORUN.INF运行，但常规的禁AUTORUN.INF的做法并不能完全防止U盘病毒的感染。况且要封杀AUTORUN.INF只是举手之劳，而且关闭自动播放功能的做法俯拾皆是。这里为了避免杀毒前对可移动盘符的误点，所以直接禁止explorer读取可移动盘符。
3.本规则没有对C:\Documents and Settings进行限制，有兴趣的同学可以尝试一下如何编写，但我发现限制此策略会对对COOKIES和FAVOURITE文件夹造成误伤，而逐一排除该目录下文件夹工程量实在浩大，而且卡巴有时还发生规则丢失现象，遂戛然而止。

由于是信手拈来，所以目前这个规则只是雏形，也比较粗糙，另外在设置规则的时候一定要设置记录日志，方便使用时发现某些操作出错的话请尽快在应用程序控制里查看系统日志找出原因，当然，如果你有耐心，进而修改成防护全盘策略也不是没有可能，路遥知马力，时间久了你就会发现不光KIS的智能性强，而且手动匹配规则的能力也不弱。

最后，特此申明：
此规则若想支持其他系统还请根据其他系统的目录来设置，切不可照搬。2003系统与XP目录结构相同，应该可以通用。

======================更新分割线======================

2010.05.21 关于防U盘策略，最好改成explorer禁读可移动盘符下autorun.inf。
2010.05.22 关于防IE挂马，无需在线安装软件的（如chrome浏览器，纳米机器人），将exe文件类型添加其中。

显示全部楼层 · 发表于 2010-5-21 07:57:00

``简单看一下.都2011了

显示全部楼层 · 发表于 2010-5-21 10:05:01

2011还没用等正式出了看看和10有什么区别没

显示全部楼层 · 发表于 2010-5-21 10:40:45

在用2011了，如果没大问题就不换了，所以讲讲2011的东东就参考下。

显示全部楼层 · 发表于 2010-5-21 10:53:01

楼主看来是牛人呀支持你

显示全部楼层 · 发表于 2010-5-21 13:14:55

恩，，这个2=可以作为一个参照帖子，作为修改其他规则的基础！！
期待楼主还有其他的强帖

显示全部楼层 · 发表于 2010-5-21 13:39:23

还有*\*.vbe

显示全部楼层 · 发表于 2010-5-21 13:42:41

本帖最后由小v可于 2010-5-21 14:01 编辑

还有就是如果禁止读取U盘  那使用U盘的时候会不会出现问题啊？

顺便给你个大部分系统能使用的全局规则

高危文件
*\autorun.inf
*\*.vbs
*\*.vbe
*\*.bat
*\*.com
*\*.pif
*\*.cmd
*\*.hta
*\*.scr
*\*.reg

FD
%SystemDrive%\ntldr
%SystemDrive%\Program Files\Common Files\*
%SystemDrive%\Program Files\Internet Explorer\*
%SystemDrive%\Program Files\Messenger\*
%SystemDrive%\Program Files\Microsoft Office\*
%SystemDrive%\Program Files\Microsoft Visual Studio\*
%SystemDrive%\Program Files\Microsoft.NET\*
%windir%\*.dat
这个根据你的规则加的呵呵！
系统全局防护规则
%SYSTEMDRIVE%\Program Files\*
%SYSTEMDRIVE%\WINDOWS\*
回收站我认为没有必要如果想加的自己加上吧  还原那个是系统还原吗？我没用所以我也没加！

显示全部楼层 · 发表于 2010-5-21 15:47:21

回复 9# 小v可

这个规则在KIS2009的时候就很多人在用了。
手里目前没U盘，不知道禁explorer读U盘会不会发生无法打开的情况。
如果会，还是禁读autorun.inf较好，当时脑袋发昏= =、

卡巴的目录继承很猛，添加规则的时候最好写绝对路径。
像%windir%\*.dat就涵盖了windows目录及子目录下的所有dat文件

而且我发现卡巴对通配符“?”的支持效果不是很好，有几次发生丢失现象，但有的时候还会提示你用“?”写规则。

卡巴的“*”包含"\"和"."，还真有点不习惯，呵呵。

显示全部楼层 · 发表于 2010-5-21 16:22:02

谢谢LZ分享收藏慢慢学习~~

【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

评分