查看: 18703|回复: 88
收起左侧

[分享] 减少弹窗的默认规则的简单加强

  [复制链接]
柯林
发表于 2011-6-1 12:40:46 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2011-6-3 15:46 编辑

一些豆油,希望弹窗少少,并实现所谓的智能主防。说实话,真正的智能,目前还很难做到,只能做到利用强大的黑白名单库,尽量减少弹窗。作为终端用户,也就不用去操心云服务端的什么黑白名单了,做好本地防御才是根本。
个人规则要实现一定的智能,只有一个办法:拦截掉危险的内容——无需判断直接阻止,余下的允许选择。关键在于度的把握——设置太严,影响使用;设置太松,起不到应有的效果。选择最重要的最关键性的东西加以拦截,起到所谓的打蛇打七寸的作用。
什么是最重要最关键性的东西呢?
以AD来说,首要的就是加驱。驱动一加,什么都是浮云。其次是服务(安装了服务,老在后台捣乱)、钩子(涉及窃密及注入其它进程的问题)、底层磁盘访问、物理内存、键盘记录(涉及到窃密问题),以及一些高危程序的禁运。
以RD来说,重要的项目,比如驱动与服务相关的注册表项,应该首先拦截【这一项还是监控好,否则显卡及部分系统程序开机需要修改服务项的需要排除,有点麻烦】,然后是毛豆的注册表项(按理毛豆自身有守护功能),其次是开机自启动,IE主页之类的。
以FD来说,禁止改动系统文件为第一关键;为防鬼影之类的病毒,还应该保护磁盘引导区;为了防止感染型病毒,还要加强可执行文件的监控。
如何做到拦截危险行为而不影响日常应用——常用软件尽量少地加以排除以及无须编排大量的程序组,这是考较所谓智能化的一个标志,需要各人根据自己的认识进行实验,最终加以确认。本文会在下面的楼层提供一点参考意见(注意,仅仅是参考意见)。
以个人认识来看,目前比较可行的,还是采取安装与使用分开的方法最好:安装软件时,启用一套规则;日常应用,启用一套规则(普通用户又不是天天都在不停地装软件,用到时切换一下规则,也不是什么难事)。
安装软件规则:无须刻意去作,直接沿用官方的默认规则,联网开启云验证的方式进行安装,这就是很好的安装规则(出于防流氓之类的考虑,你要自己加强一些内容,也是可以的)。
日常应用规则:在官方默认规则的基础上,适当添加一些自动拦截的内容,增强自动防卫能力——对于高危行为,无须弹窗判断,直接阻止(极个别软件需要放行的例外)。
大致上就是这样。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3经验 +10 人气 +2 收起 理由
lorchid + 1 由间入繁易,由繁入间难
zxzy + 1 前来支持~
mxf147 + 10 柯大又出手了

查看全部评分

柯林
 楼主| 发表于 2011-6-1 12:41:10 | 显示全部楼层
本帖最后由 柯林 于 2011-6-3 00:35 编辑

●前提准备

A、方案选择:以个人观点来看,毛豆的沙盘没多大作用,作为安装程序与日常使用分开的方法而言,还是不用沙盘了——下载毛豆的防火墙版本(不要下杀毒版本或因特网套装版本),安装时保持默认的选择(不要改为最大保护模式),装好后,默认就是禁用沙盘的。【注意:受保护文件里没有放入可执行文件进行监控,自己补上;监控设置里没有勾选键盘和屏幕,建议勾上】

B:一式双分:先把正在使用的方案导出进行保存,再选择导入刚刚保存的方案,填入一个有区别的名字(比如后面加上zdyfh之类的文字),切换到后面导入的这个方案上,激活(以后的设置都在这个方案上进行,作为日常应用方案;先前的那个就作为安装规则用)。设置完毕,最好重启一下。

C、文件分组:已有的分组上,适当添加和处理,便于规则中引用。
1、文件保护   可以考虑添加如下内容
可执行文件补充  添加 *.inf  *.url  *.lnk  *.rar
开始目录  更改为  ?:\Documents and Settings\*\「开始」菜单\程序\启动\*
                         %windir%\system32\GroupPolicy\Machine\Scripts\Startup\*
                         %windir%\system32\GroupPolicy\User\Scripts\Logon\*
磁盘引导区   \Device\Harddisk0\DR0      【第一块硬盘】
                  \Device\Harddisk1\DR1      【第二块硬盘】
QQ文件保护(禁止任何程序修改QQ的任何文件) *\QQ\* 【原来写*\QQ*对其它腾讯软件有妨害】
浏览器保护(禁止任何程序修改IE浏览器的任何文件) %ProgramFiles%\Internet Explorer\*

2、com分组  毛豆自带分组太集中,不利于规则中引用,建议细化,譬如
资源管理器外壳
Shell.Explorer.*

windows外壳shell32.dll
{75048700-EF1F-11D0-9888-006097DEACF9}

IE对象设置
InternetExplorer.Application.*

IE外壳
{FBF23B40-E3F0-101B-8488-00AA003E56F8}

后台调用IE
{0002DF01-0000-0000-C000-000000000046}

打开IE新窗口
{9BA05972-F6A8-11CF-A442-00A0C90A8F39}


Windows管理 (沿用)

杂类(沿用)

伪COM接口 - 重要端口(沿用)

后台智能上传
{4991D34B-80A1-4291-83B6-3328366B9097}
{69AD4AEE-51BE-439b-A92C-86AE490E8B30}

后台调用OE
{8f92a857-478e-11d1-a3b4-00c04fb950dc}

OE对象设置
Outlook.Application.*

后台调用MSN发消息
{B69003B3-C55E-4B48-836C-BC5946FC3B28}
{F81CD990-910B-4bbf-9CB3-6A77F3D697B3}

远程帮助
RemoteHelper.RemoteHelper

远程桌面
{A6A6F92B-26B5-463B-AE0D-5F361B09C171}
{E423AF7C-FC2D-11d2-B126-00805FC73204}

用户帐户
{60664caf-af0d-0003-a300-5c7d25ff22a0}
{7A9D77BD-5403-11d2-8785-2E0420524153}

全局文件夹设置
{EF8AD2D1-AE36-11D1-B2D2-006097DF8C11}

Windows Script Host Shell Object-wshom.ocx
{F935DC22-1CF0-11D0-ADB9-00C04FD58A0B}
{72C24DD5-D70A-438B-8A42-98424B88AFB8}

Windows Script Host Network Object
{F935DC26-1CF0-11D0-ADB9-00C04FD58A0B}

文件系统对象-FSO控件-scrrun.dll
Scripting.FileSystemObject

危险脚本对象-VBS
VBScript

创建shell对象
Shell.Application
Shell.Application.1

ICatRegisterM接口-注册COM种类
{0002E012-0000-0000-C000-000000000046}

特权端口-备份还原
LocalSecurityAuthority.Backup
LocalSecurityAuthority.Restore

特权端口-关机
LocalSecurityAuthority.Shutdown

特权端口-调试提权
LocalSecurityAuthority.Debug

特权端口-系统环境
LocalSecurityAuthority.SystemEnvironment

特权端口-修改系统时间
LocalSecurityAuthority.SystemTime

注册表部分,为了便于引用,在注册表分组里面建一个”文件关联组“【该项无须列入保护】,列入以下内容:
*\Classes\exefile\shell\*
*\Classes\comfile\shell\*
*\Classes\cmdfile\shell\*
*\Classes\batfile\shell\*
*\Classes\piffile\shell\*
*\Classes\vbsfile\shell\*
*\Classes\vbefile\shell\*
*\Classes\wshfile\shell\*
*\Classes\wsffile\shell\*
*\Classes\jsfile\shell\*
*\Classes\jsefile\shell\*
*\Classes\dllfile\shell\*
*\Classes\txtfile\shell\*
*\Classes\logfile\shell\*
*\Classes\regfile\shell\*
*\Classes\lnkfile\shell\*
*\Classes\inifile\shell\*
*\Classes\inffile\shell\*
*\Classes\scrfile\shell\*

再建一个“危险项目组”【该项需要列入保护】,列入以下内容:
*\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options* 【有需要用到映像劫持的,请在计算机安全规则里,在全局规则上加例外】
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Control\SafeBoot*
HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer*
*\SYSTEM\*ControlSet*\Services\VXD\*  
*\Software\Policies\Microsoft\Windows\System\Scripts\* 【这一项实际多余,默认规则的*\Software\Policies\*已经包含】

准备好的文件,引用入保护监控的内容如下:






补充说明:如果你有一些存放安装程序的目录,不想被感染型病毒破坏【正常情况中招几率很小】,可以列入保护监控,或者直接放拦截区;如果担心下到狂删磁盘文件的恶意批处理,请参考——1、comodo提示你运行的是一个批处理文件时,请注意,不要忙着点允许,请先阻止,查清楚批处理内容再运行。或者2、全局规则的禁运程序名单中加入*.BAT【还有一种格式*.CMD】或者直接是禁运*\cmd.exe  要是不怕麻烦,干脆采用3、把非系统盘列入保护(D:\*   E:\*   F:\*等,有几个盘加几个)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
 楼主| 发表于 2011-6-1 12:45:08 | 显示全部楼层
本帖最后由 柯林 于 2011-6-7 13:23 编辑

参考意见——默认方案的简单加强
先把杀软排除:文件分组里建个“杀软主要进程组”,把毛豆进程里看到的正在运行的杀软服务进程、监控进程、图形进程都放进去,再把杀软的扫描进程也列入;然后在“计算机安全规则“里引用这个分组,陪予”可信程序“的权限。

个人所用系统为 xp sp3 ,以下列举到的系统进程示例,皆以XP为依据,你的系统如与其有出入,请自行修订(注意全局规则禁止任何程序修改windows目录下的所有文件这一条带来的系统次要进程需排除的问题)

全局规则基本设置:
a、危险项目
窗口或者事件钩子:阻止 【默认规则自带的四个钩子基本够用,考虑到一些游戏需要输出功能,可以再加%windir%\system32\DINPUT.dll和%windir%\system32\DINPUT8.dll即可。一些需要安装钩子的少部分程序,加例外予以排除,譬如系统程序%windir%\system32\mmc.exe安装钩子%windir%\system32\mmc.exe;再比如ATI显卡程序%windir%\system32\ati2evxx.exe安装钩子%windir%\system32\ati2evxx.dll.....如果觉得这一项排除起来麻烦,可以使用默认的监控方式,无须改为阻止,只不过自己心里要清楚,这是一项很危险的行为,非信任的必要程序,不要轻易允许安装未知钩子】
设备驱动程序安装:阻止 【这是最危险的一项,驱动一加,毛豆也几乎就是摆设。正常情况下,一般的程序无须加载什么驱动。需要用到驱动才能运行的程序,自己排除——比如杀软(绿色蜘蛛,杀马软件等),防火墙,冰刃、Xuit之类的安全辅助工具,以及系统优化工具(优化大师及硬件检测优化工具等)】
内存(物理内存):阻止 【极个别程序,例外排除,譬如内存优化整理工具】
磁盘(底层磁盘访问):阻止 【极个别程序排除,譬如磁盘碎片整理与错误修复工具等】
注意:进程间内存访问——这一条不宜列为阻止,请自行把握,未知程序对系统进程或其它进程的内存访问,最好阻止。
键盘记录——考虑到很多游戏都要用到,为免麻烦,也没有列为阻止,请自行把握,未知程序及怀疑为恶意程序的,请阻止。

b、程序运行
允许运行的程序:
%windir%\system32\*.scr
%windir%\_default.pif

阻止运行的程序:
?:\Recycle?\*
?:\autorun.inf
%windir%\Temp\* 【极个别杀软的安装可能有例外】
%windir%\Downloaded Program Files\*
?:\System Volume Information\*
*\Local Settings\Temporary Internet Files\* 【如果修改过IE的缓存路径,请改为正确的路径】
*.com
*.pif
*.scr
*\format.*
*\debug.exe  【需要自己调试程序的,例外排除】
*\mshta.exe
*\at.exe
*\ftp.exe
*\tftp.exe
*.tmp 【这一条影响程序安装】
*\user.exe
%windir%\regedit.exe 【注册表整理软件需要调用它来备份与恢复注册表的,例外排除】
%windir%\system32\net*.exe
%windir%\system32\conime.exe 【极个别程序如有需要,例外排除】
%windir%\system32\sc.exe
%windir%\system32\telnet.exe
%windir%\system32\taskkill.exe
%windir%\system32\taskkill.exe
开始目录

c、com接口
阻止的com接口:
后台智能上传
后台调用OE
后台调用MSN发消息
远程帮助 【有需要的例外】
远程桌面 【有需要的例外】
windows管理
杂类
IE对象设置
OE对象设置
用户帐户
全局文件夹设置
windows script host shell object-wshom.ocx 【脚本相关,运行不了脚本请例外】
windows script host network object
特权端口-备份还原
特权端口-修改时间 【自己要修正系统时间,请例外允许%windir%\system32\shell32.dll】
特权端口-设置系统环境
危险脚本对象-vbs
文件系统对象-FSO控件-scrrun.dll 【微软office需要此功能的请加例外】

d、注册表
允许的注册表项:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Cryptography\RNG\Seed

阻止的注册表项:
文件关联
comodo键
自动启动 【*\Software\Microsoft\Windows NT\CurrentVersion\Drivers\*这一项需要排除系统开机进程%windiws%\system32\userinit.exe】【同时排除%windir%\system32\ctfmon.exe修改*\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe】
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\System\*
HKLM\SYSTEM\ControlSet???\Control\*
*\Software\Microsoft\Windows\CurrentVersion\Control Panel\Don't Load\*
*\Software\Policies\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\*
*\SOFTWARE\Microsoft\Internet Explorer\SearchURL\*
*\SOFTWARE\Microsoft\Internet Explorer\Control Panel\*
*\SOFTWARE\Microsoft\Internet Explorer\Toolbar\{*}
*\SOFTWARE\Microsoft\Internet Explorer\Main\*Start Page*
*\SOFTWARE\Microsoft\Internet Explorer\Main\Search*
*\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Page_URL
*\SOFTWARE\Microsoft\Internet Explorer\Main\Default_Search_URL
*\SOFTWARE\Microsoft\Internet Explorer\Main\Local Page
*\SOFTWARE\Microsoft\Internet Explorer\Main\Use Custom Search URL
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\DefaultPrefix\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\URL\Prefixes\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\*
*\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Security_RunActiveXControls


e、文件/目录
允许的文件/目录为:
%windir%\Temp\*  【如果修改过系统共用临时文件夹的位置,请修订为正确路径】
临时目录

阻止的文件/目录为:
重要的文件目录
comodo文件/目录
开始目录
磁盘引导区
QQ目录 【QQ升级程序及下载安装腾讯游戏等程序,请例外排除——全局规则上给予“安全或更新”的权限】
IE目录
%systemdrive%\*.lnk  【禁止在系统盘创建快捷方式,防止恶意软件】
注意:由于重要的文件和目录囊括了整个windows目录及子目录,为保证系统正常运行,除了已经高优先允许的“windows系统应用程序”外,一些次要的系统进程的FD行为请加以排除,例如:
%windir%\system32\rundll32.exe 允许操作的文件/目录为
%windir%\inf\INFCACHE.?
%windir%\INF\*.PNF
%windir%\setupapi.log
%windir%\system32\drivers\USBSTOR.SYS
%windir%\system32\drivers\SET*.tmp
%windir%\system32\dllhost.exe  允许操作的文件/目录为%windir%\Registration\{*}.{*}.crmlog
%windir%\system32\mmc.exe 允许操作的文件/目录为%windir%\system32\*.msc
%windir%\SoftwareDistribution\Download\*\update.exe 允许操作的文件/目录为%windir%\softwaredistribution\download\*  【系统自动更新程序】
%windir%\regedit.exe 允许操作的文件目录为
*.REG
此外,由于把rar文件也列入了文件监控,请添加例外允许压缩程序操作rar文件。

防火墙规则:
防火墙规则很简单,首先,选个适合自己的隐身模式【使用迅雷、电驴、网络电视、QQ的用户,建议选2】。
然后,全局规则里管理下——如果是外网用户,建议添加拦截局域网共享端口入站的规则;如果是局域网用户,需要开放本机文件共享的,请允许来源地址为本地网络,目标端口为局域网共享端口的数据入站。如果不使用远程登录等玩意,建议添加禁止连入目标端口tcp23,1433,3389的规则【注,局域网共享端口,tcp端口为135,137,139,445;udp端口为137,138,445】(局域网用户在添加了允许本地网络连入局域网端口后,请添加禁止连入目标端口tcp445的规则垫底,添加禁止来源端口tcp139连出的规则垫底(外网用户同样添加这一条)
【预定义规则里面,修改一下浏览器的规则——某些网站使用tcp81、82、83端口;某些电信服务厅可能使用tcp1701之类的端口提供给用户更改帐户密码;预定义规则把tcp80以外的端口给封杀,有时不合适】
然后,应用程序规则里添加一条:所有应用程序* TCP/UDP 进出询问的规则垫底(弹窗配置的规则会自动位于该规则之上;手动配置的规则请移动到该规则之上)。

整个方案,大致就这样。以尽可能少排除为基点,尽量阻止掉一些危险项目。此种方案,是默认规则的简单加强,基本性的防护,以兼顾效益与效率为目标。适合初次接触毛豆的新手参考。追求超强防护的用户和以学习折腾为乐的朋友,请参考论坛上的其他规则。
以上,仅为一个老菜鸟的肤浅意见,仅供参考,欢迎大家讨论。

需要截图参考的在这里:
xp用户需要本规则参考的在这里:  【下了这个规则的,自己改下QQ的保护目录为*\QQ\*】

提醒:毛豆自带一个游戏保护方案,游戏发烧友在玩游戏时,请勾选右键菜单上的“游戏模式”,退出游戏时请去勾。
特别说明:U盘防护,没有特别针对,仅用了一条禁运?:\autorun.inf ,没有直接把U盘路径列入禁运来防御(如果你有需要,请补充),因为个人觉得意义不大——1、整个windows目录已经加了防护罩,外加可执行文件监控及加驱等的阻止,已经没多大意义。2、现在的杀软已经对U盘病毒很重视,以红伞为例,个人试用组策略测试时,放到磁盘根目录的autorun.inf直接被红伞隔离禁运(关了红伞的防护进程都没用),又不是追求单奔,没必要。
(其实一般优化过的操作系统,安装好后,注册表里已经禁止了U盘之类的自动播放功能,传统的使用autorun.inf 来运行病毒的方法已经没用了,大家可以找找注册表看有无这些设置:
[HKEY_CURRENT_USER/Software/Microsoft/Windows/CurrentVersion/Policies/Expolrer]
"NoDriveTypeAutoRun"=dword:00000087
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\policies\Explorer]
"NoDriveTypeAutoRun"=dword:000000ff)

注意,用户规则与白名单的关系:如果计算机安全规则里找不到与程序相关的规则,则按白名单放行,换言之——凡是列入“受信任的文件”,如果“计算机安全规则”里没有专门针对该程序做规则,则检查全局规则(全局规则明确允许的直接允许;明确阻止的直接阻止;询问项一律忽略——结果也就是允许)。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
挽魇
发表于 2011-6-1 13:06:10 | 显示全部楼层
呵呵,一些弹窗还是可以的,自己心里比较有底
zxzy
发表于 2011-6-1 13:11:24 | 显示全部楼层
提前支持,等待文章
吴茗123
发表于 2011-6-1 14:42:31 | 显示全部楼层
刚把comodo卸了,楼主又来勾引我了。不过不是不喜欢comodo,是想尝试一下MSE和pc tools。收藏此贴好好学习,过个把月在换回来。
firefox3
发表于 2011-6-1 15:09:09 来自手机 | 显示全部楼层
其月彳寺默认加强规则!!!!!!
raider520
发表于 2011-6-1 15:29:54 | 显示全部楼层
期待啊!!!强烈支持!!
chaoyg 该用户已被删除
发表于 2011-6-1 15:48:44 | 显示全部楼层
支持,晚上来学习。
pdatx
发表于 2011-6-1 17:18:47 | 显示全部楼层
采取安装与使用分开的方法
对于高危行为:
无须弹窗判断,直接阻止.
thankyou
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 04:44 , Processed in 0.144135 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表