楼主: 墨家小子
收起左侧

[求助] 不知道这样写规则能不能阻止DLL型木马利用系统进程启动

[复制链接]
liruxi2006
发表于 2013-11-3 21:04:24 | 显示全部楼层
估计是与我机器上的其他软件冲突了吧 我安装了火绒剑后蓝屏的,卸载了火绒剑就没事了。
shiyuelaohu
发表于 2013-11-3 22:14:54 | 显示全部楼层
我只想说一下,规则应该改为3条:
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:rundll32.exe

包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:regsvr32.exe

包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:java.exe

这是咖啡规则不够细腻的地方,比较遗憾,要不然咖啡规则可以做得比较细腻。
墨家小子
 楼主| 发表于 2013-11-4 10:06:39 | 显示全部楼层
jml521m 发表于 2013-11-3 16:48
他的规则确实繁琐, 但简单的规则 还是看叶版规则修改吧。。。。

叶版的其实就是一条 但......
墨家小子
 楼主| 发表于 2013-11-4 10:07:37 | 显示全部楼层
jxfaiu 发表于 2013-11-3 17:58
McAfee VSE+JPF+MD,你想怎么控制都OK;保准够你玩;

不是讨论组合
墨家小子
 楼主| 发表于 2013-11-4 10:10:23 | 显示全部楼层
shiyuelaohu 发表于 2013-11-3 22:14
我只想说一下,规则应该改为3条:
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C ...

多谢指点 人气候补
注册表那个也要分成三个吗?
jxfaiu
发表于 2013-11-4 10:16:08 | 显示全部楼层
墨家小子 发表于 2013-11-4 10:07
不是讨论组合

你不是要限制:rundll32.exe,regsvr32.exe等,MD很容易搞定;

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2013-11-4 10:33:52 | 显示全部楼层
jxfaiu 发表于 2013-11-4 10:16
你不是要限制:rundll32.exe,regsvr32.exe等,MD很容易搞定;

我想阻止*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**之外的程序调用系统程序,阻止*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**之外的程序写注册表
jml521m
发表于 2013-11-4 11:45:45 | 显示全部楼层
墨家小子 发表于 2013-11-4 10:33
我想阻止*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**之外的程序调用系统程序,阻 ...

1.注册表规则

全局注册表控制
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**
要保护的注册表项目或注册表值:/** 不过这个规则也可写成HKCCS/**, 但完全不够的,还有就是对  Software/** 的限制,以及各个启动项的限制run 的限制,需要很多调规则,来细分...
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
但是你这样排除是有一定的弊端的, 我不建议直接排除windows 文件夹... 基本上要调用东西基本上都会访问此文件夹, 所以另外加一条  限制windows的规则是最好的, 但是排除需要自己打磨。
这么来说的话,注册表规则 就要写成俩条, 文件的防御一条.总共3条规则来实现你的目的, 我看是最少的了
墨家小子
 楼主| 发表于 2013-11-4 12:01:42 | 显示全部楼层
jml521m 发表于 2013-11-4 11:45
1.注册表规则

全局注册表控制

求详细

注册表规则 就要写成俩条
jml521m
发表于 2013-11-4 13:20:19 | 显示全部楼层
本帖最后由 jml521m 于 2013-11-4 13:23 编辑
墨家小子 发表于 2013-11-4 12:01
求详细


1.注册表规则

全局注册表控制
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, aitagent.exe, AngryBirds.exe, atieclxx.exe, Audiodg.exe, calc.exe, chrome.exe, CompMgmtLauncher.exe, consent.exe, csrss.exe, defrag.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, Dwm.exe, explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, lpremove.exe, lsass.exe, lsm.exe, mcbuilder.exe, McScript_InUse.exe, McTray.exe, mmc.exe, mobsync.exe, msconfig.exe, mscorsvw.exe, mspaint.exe, Nero.exe, notepad.exe, nvvsvc.exe, perfmon.exe, ping.exe, poqexec.exe, powercfg.exe, regedit.exe, regsvr32.exe, rundll32.exe, runonce.exe, sdclt.exe, sdiagnhost.exe, SearchIndexer.exe, SearchProtocolHost.exe, services.exe, setup_wm.exe, shstat.exe, SndVol.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, systempropertiesprotection.exe, taskeng.exe, taskhost.exe, tasklist.exe, taskmgr.exe, TrustedInstaller.exe, UdaterUI.exe, userinit.exe, vds.exe, vmware*.exe, vssvc.exe, wbengine.exe, WerFault.exe, wermgr.exe, wininit.exe, winlogon.exe, WinRAR.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, wordpad.exe, wsqmcons.exe, wuapp.exe, wuauclt.exe, WUDFHost.exe
要保护的注册表项目或注册表值:/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

2.软件启动配置注册表
要包含的进程:*
要排除的进程:aitagent.exe, Audiodg.exe, CompMgmtLauncher.exe, consent.exe, csrss.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, Explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, mmc.exe, mobsync.exe, mspaint.exe, Notepad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, regsvr32.exe, rundll32.exe, sdclt.exe, sdiagnhost.exe, SearchIndexer.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, systempropertiesprotection.exe, taskeng.exe, taskhost.exe, taskmgr.exe, TrustedInstaller.exe, UdaterUI.exe, userinit.exe, wbengine.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, WordPad.exe, wuapp.exe, wuauclt.exe, WUDFHost.exe
要保护的注册表项目或注册表值:/Software/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除


3.DLL文件控制
要包含的进程:*
要排除的进程:(需打磨)
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入 删除

4.dll文件执行控制
要包含的进程:*
要排除的进程:C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:执行


当然3-4可以合并为
要包含的进程:*
要排除的进程:C:\Program Files (x86)\**, C:\Program Files\**,DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:创建 写入 删除 执行(但我想排出量会很大,还是分开的来会好些

目前考虑带的就这些,如果有想到别的再补充吧....  注册表规则的权限其实很低,主要防的还是引导启动及修改
对于咖啡来说,但不止咖啡,所有的防护,文件防御是关键之关键...

评分

参与人数 1经验 +8 收起 理由
心跳回忆 + 8 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:27 , Processed in 0.094856 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表