如何防御白+黑

柯林

对这个问题感兴趣的，来扯淡。

个人意见：目前这种东东还仅有极少量的样本，还没有形成疫情，在日常使用中，正常情况下，你一年到头也下载不到这东东，无需恐惧。
作为防御来说，可以经由两道防线处理。

第一道防线——杀毒检测：新下载的东东，打开之前，先用杀软扫描（绝大部分的有害东东都会被杀掉），这是好习惯。另一个好习惯是，隔段时间进行一次扫毒，以及安辅软件的系统检测修复。

第二道防线——HIPS控制：
以毛豆为例
自动规则：新下的东东，如果解包后，里面包含有dll文件，不要忙着执行，请用右键入沙，看弹窗和日志，判断一下这个东东的好坏（安全程度），如果拿不准，请D+里将它永久入沙。
手动规则：请制定一个降权限制的路径规则，规定该目录下的程序——禁止内存访问、安装钩子、驱动加载、物理内存、底层磁盘、键盘访问、com阻止危险项目、注册表全阻止、文件操作阻止重要文件目录和可执行文件，然后把下载的东东放该目录里执行，看日志判断其吉凶。

话题：将黑dll手动列为未知文件，或者D+永久入沙，是否有效，欢迎测试验证。

====================================================================
个人观点：最好的防御，其实还是官方的云——希望官方弄个大沙盘，凡是用户机器上未见过的dll，一律强制上传去沙盘里分析，确认后，把签名、哈希值等信息入库，凡是不安全的，一律把加载该dll的程序自动入沙，问题就解决了

laihaibin08

下载东西后用杀毒软件扫描我一直坚持，毛豆我也一直在用（温馨规则，自己根据情况再调整了下），防御也是有的。
但就是这个沙盘平时我基本不用，感觉好麻烦，而且一般我想到了要先入沙的东西，入沙后都运行不了，常规的我都不会想着入沙，平时我运行的一般软件破解、绿化的、内核的或其他有一定危险的比较多，做一些至少被系统及杀软认为是危险的操作，所以，入沙就好麻烦了！！有没有办法？

柯林

laihaibin08 发表于 2012-6-12 12:42
下载东西后用杀毒软件扫描我一直坚持，毛豆我也一直在用（温馨规则，自己根据情况再调整了下），防御也是有 ...

手动规则，只能先用个测试目录的规则，根据日志判断下，至于之后，你是要将它放，还是将它拦截，就全在你了。个人的建议是削权处理：FD和RD及重要com阻止，加驱、底层磁盘、物理内存阻止（钩子要不要阻止，具体程序具体分析）、联网阻止（某些非得联网的，自己定夺），其它的，任由它去吧，一般弄不出什么危害系统的实质东东。

laihaibin08

谢谢，柯大！！
期待你的更强大的规则

您上面说到：

削权处理：FD和RD及重要com阻止，加驱、底层磁盘、物理内存阻止

比如说360安全卫士，它的某些功能我还是有点喜欢的，比如说清理、优化等，如果要用就得给他权限，但一开权限，他说无休止的要加开机启动、增加服务之类的，非常的烦，而且一般的软件还禁用不了。

比如，先给开了权限，用360安全卫士清理……之后，它就要加启动项，这时无论msconfig、360amigo去掉启动项还是Xuetr等工具删除启动项，都不行…………

柯林

laihaibin08 发表于 2012-6-12 13:09
谢谢，柯大！！
期待你的更强大的规则

安全软件，特别是杀软和卫士，只能给予全权，不建议进行限制——你限制它就是在刁难自己的机子，除非你不用，用则给权！

laihaibin08

柯林 发表于 2012-6-12 13:47
安全软件，特别是杀软和卫士，只能给予全权，不建议进行限制——你限制它就是在刁难自己的机子，除非你不 ...

好的，非常感谢！！