请问这样可以防止网马发作吗？

哥舒夜带刀

将explorer“运行一个可执行程序”那里“被阻止的应用程序”下面创建*\cache\*，同样在全局规则那里也阻止运行*\cache\*，使用默认规则，可以防止网马发作吗？

mxf147

这个网马不一定是由explore执行吧？
我觉得阻止网马的基本原则是：浏览器能够访问的文件夹禁运，禁止浏览器访问敏感位置

deniss

对~按照楼上的，再加一个沙盘，基本上就差不多了~发现楼上的COMODO+EAV+金山毒霸~和我的配备一样呢~哈哈

哥舒夜带刀

mxf147 发表于 2011-8-11 11:36
这个网马不一定是由explore执行吧？
我觉得阻止网马的基本原则是：浏览器能够访问的文件夹禁运，禁止浏览器 ...

版主可不可以写一下怎么做啊，看不懂啊？还有我使用了柯林的懒虫规则，里面有一条是禁止写自启动项的注册表，但是这样以来我的系统输入法工具ctfmon.exe和realtek声卡控制面板就没办法开机启动了，请问怎么设置啊？详细点好吗？

mxf147

哥舒夜带刀 发表于 2011-8-11 13:22
版主可不可以写一下怎么做啊，看不懂啊？还有我使用了柯林的懒虫规则，里面有一条是禁止写自启动项的注册 ...

你参考一下置顶贴里的法拉利规则，里边有个防马分组，建一个类似的分组，允许浏览器访问该分组，但在可执行控制里禁止执行该分组，同时给该分组指定禁运规则

哥舒夜带刀

mxf147 发表于 2011-8-11 13:24
你参考一下置顶贴里的法拉利规则，里边有个防马分组，建一个类似的分组，允许浏览器访问该分组，但在可执 ...

谢谢斑竹，可惜还是好复杂，我还是老实的用默认规则吧

mxf147

哥舒夜带刀 发表于 2011-8-11 13:27
谢谢斑竹，可惜还是好复杂，我还是老实的用默认规则吧

就是用默认规则，简单加强一下就可以了

柯林

貌似从原理上说，此类规则没多大用。
网马的原理，是浏览器(主要是IE)和系统存在重大漏洞乃至0day，遇到网页中包含有针对其漏洞的恶意代码时，自动促发执行，从漏洞渗入，夺取系统控制权，可执行任意指令。整个过程，涉及了浏览器和系统两部分。整个网络活动及解析执行网页文件时，不但有浏览器的参与，还有explorer和svchost加载相关dll及调用相关exe进行参与。禁运浏览器缓存乃至隔离浏览器，仅仅解决了浏览器的漏洞问题，还有系统的漏洞问题没有解决。
所以，原理上来说，打补丁是第一有效的方法。
至于说HIPS上的防御，对于浏览器而言，置于沙盘中隔离是最好的方法；浏览器缓存限制，仅对完整的exe类需要单独执行的网马起作用，对于内嵌在网页中的直接由浏览器及相关系统程序来解释执行的恶意代码没用。
对于系统漏洞，除了极少数十分严重的高危漏洞，针对一般漏洞的攻击，HIPS的监控是可以拦截和处理的。

柯林

柯林 发表于 2011-8-11 14:14
貌似从原理上说，此类规则没多大用。
网马的原理，是浏览器(主要是IE)和系统存在重大漏洞乃至0day，遇到网 ...

如果浏览器存在重大安全漏洞，隔离在沙盘里，也仅仅起到了一个阻止扩散的作用。如果没有堵上漏洞，虽然可以保护系统，但是没法阻止病毒对沙盘内的浏览器的攻击或劫持。所以打补丁实在是一个好习惯和有效的方法。

ps：浏览器缓存禁运乃至临时文件夹禁运，对于网页中包含恶意转向去以正常方式后台下载病毒木马来运行而非针对浏览器或系统漏洞的恶意代码攻击，是有效果的。

总结：总的来说，存在两种攻击方式。对于普通攻击，浏览器缓存禁运有效。对于针对浏览器漏洞或系统漏洞构建的shell code等恶意代码的攻击，浏览器缓存禁运无效。

哥舒夜带刀

柯林 发表于 2011-8-11 14:24
如果浏览器存在重大安全漏洞，隔离在沙盘里，也仅仅起到了一个阻止扩散的作用。如果没有堵上漏洞，虽然 ...

谢谢科林大大，请问如果用懒虫规则需要某些软件开机启动怎么办？日志里面也没有，但就是打不开，包括系统输入法工具ctfmon.exe和realtek声卡控制面板