查看: 4275|回复: 37
收起左侧

[求助] 不知道这样写规则能不能阻止DLL型木马利用系统进程启动

[复制链接]
墨家小子
发表于 2013-10-31 13:41:00 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2013-11-4 10:30 编辑

前提是不禁止所有程序从 Temp 文件夹运行文件
原规则错误,根据12楼shiyuelaohu的意见改写成:
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:rundll32.exe

包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:regsvr32.exe

包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:java.exe

其他exe木马利用exe规则阻挡运行,具体参见:咖啡豆绝配:墨池McAfee8.8 P2返璞规则(附墨池COMODO 5X通用规则)其中的“规则名称:06 封锁exe”

最后,拦截这种类型的木马利用rundll32.exe,regsvr32.exe,java.exe启动并写入注册表自启动,添加这样一条规则:
规则名称:阻止木马利用系统进程写入注册表自启动

要包含的进程:rundll32.exe
要排除的进程:
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除

要包含的进程:regsvr32.exe
要排除的进程:
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除

要包含的进程:java.exe
要排除的进程:
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除




又或者这样是不是更干脆

包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**
阻止:C:\Windows\**

包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**
保护的注册表项或注册表值:HKALL /**
保护的注册表项或注册表值:项
阻止的注册表操作:写入 创建 删除
aidazhongguo
发表于 2013-10-31 20:13:07 | 显示全部楼层
好佩服!
liruxi2006
发表于 2013-11-2 11:14:15 | 显示全部楼层
这样写可以防御某些木马利用系统进程启动和写入启动项,但是安装某些国产软件就会不断触红。还有这条规则无法防御木马利用service.exe和Winlogon.exe和写入启动项和服务项。只需要把以下注册表防住就行
1、HKLM\SYSTEM\CurrentControlSet\Services
2、HKCU\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*
3、HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\Policies\System\*
4、HKCU\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows\Run
5、HKULM\SOFTWARE\Microsoft\Windows\CurrentVersion\Run
6、HKULM\Microsoft\Windows\CurrentVersion\RunOnceEx
7、HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon\
只是咖啡企业版不能防御利用命名管道来写入启动项呢,针对这种命名管道防御恐怕要用毛豆来防

评分

参与人数 1经验 +3 收起 理由
心跳回忆 + 3 感谢解答: )

查看全部评分

墨家小子
 楼主| 发表于 2013-11-2 11:38:21 | 显示全部楼层
liruxi2006 发表于 2013-11-2 11:14
这样写可以防御某些木马利用系统进程启动和写入启动项,但是安装某些国产软件就会不断触红。还有这条规则无 ...

多谢指教
有没有一个简单点的规则阻止*\**\Program Files (x86)\**、*\**\Program Files\**、C:\Windows\**之外的程序利用系统程序?
liruxi2006
发表于 2013-11-3 14:06:26 | 显示全部楼层
本帖最后由 liruxi2006 于 2013-11-3 14:27 编辑

这个咖啡还做不到这一点,木马利用系统关键位置启动的恐怕只有全局禁运了。咖啡的规则本来就有点像特征码,只有知道这个程序干什么的才加入规则哦。所以用咖啡的话还是要配一个国产卫士了。
墨家小子
 楼主| 发表于 2013-11-3 14:53:19 | 显示全部楼层
liruxi2006 发表于 2013-11-3 14:06
这个咖啡还做不到这一点,木马利用系统关键位置启动的恐怕只有全局禁运了。咖啡的规则本来就有点像特征码, ...

墨池大大的规则很不错,但我想弄一个更简单的,不过能力有限
jml521m
发表于 2013-11-3 16:48:23 | 显示全部楼层
墨家小子 发表于 2013-11-3 14:53
墨池大大的规则很不错,但我想弄一个更简单的,不过能力有限

    他的规则确实繁琐, 但简单的规则 还是看叶版规则修改吧。。。。
jxfaiu
发表于 2013-11-3 17:58:26 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-11-3 18:15 编辑
墨家小子 发表于 2013-11-3 14:53
墨池大大的规则很不错,但我想弄一个更简单的,不过能力有限


McAfee VSE+JPF+MD,你想怎么控制都OK;保准够你玩;

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
liruxi2006
发表于 2013-11-3 19:45:37 | 显示全部楼层
mcafee vse和md共用过,就是卡U cpu一直居高不下。还蓝屏过  我的是笔记本
jxfaiu
发表于 2013-11-3 20:08:26 | 显示全部楼层
liruxi2006 发表于 2013-11-3 19:45
mcafee vse和md共用过,就是卡U cpu一直居高不下。还蓝屏过  我的是笔记本

老台式机,512内存,McAfee VSE+JPF+MD杠杠的;不卡U,不卡网;
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:11 , Processed in 0.129482 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表