不知道这样写规则能不能阻止DLL型木马利用系统进程启动

liruxi2006

估计是与我机器上的其他软件冲突了吧 我安装了火绒剑后蓝屏的，卸载了火绒剑就没事了。

shiyuelaohu

我只想说一下，规则应该改为3条：
包含：*
排除：*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止：rundll32.exe

包含：*
排除：*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止：regsvr32.exe

包含：*
排除：*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止：java.exe

这是咖啡规则不够细腻的地方，比较遗憾，要不然咖啡规则可以做得比较细腻。

墨家小子

jml521m 发表于 2013-11-3 16:48
他的规则确实繁琐， 但简单的规则 还是看叶版规则修改吧。。。。

叶版的其实就是一条 但......

墨家小子

jxfaiu 发表于 2013-11-3 17:58
McAfee VSE+JPF+MD，你想怎么控制都OK；保准够你玩；

不是讨论组合

墨家小子

shiyuelaohu 发表于 2013-11-3 22:14
我只想说一下，规则应该改为3条：
包含：*
排除：*\**\Program Files (x86)\**, *\**\Program Files\**,C ...

多谢指点 人气候补
注册表那个也要分成三个吗？

jxfaiu

墨家小子 发表于 2013-11-4 10:07
不是讨论组合

你不是要限制：rundll32.exe，regsvr32.exe等，MD很容易搞定；

墨家小子

jxfaiu 发表于 2013-11-4 10:16
你不是要限制：rundll32.exe，regsvr32.exe等，MD很容易搞定；

我想阻止*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**之外的程序调用系统程序，阻止*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**之外的程序写注册表

jml521m

墨家小子 发表于 2013-11-4 10:33
我想阻止*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**之外的程序调用系统程序，阻 ...

1.注册表规则

全局注册表控制
要包含的进程：*
要排除的进程：*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**
要保护的注册表项目或注册表值：/** 不过这个规则也可写成HKCCS/**, 但完全不够的，还有就是对  Software/** 的限制，以及各个启动项的限制run 的限制，需要很多调规则，来细分...
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除
但是你这样排除是有一定的弊端的， 我不建议直接排除windows 文件夹... 基本上要调用东西基本上都会访问此文件夹， 所以另外加一条  限制windows的规则是最好的， 但是排除需要自己打磨。
这么来说的话，注册表规则 就要写成俩条， 文件的防御一条.总共3条规则来实现你的目的， 我看是最少的了

墨家小子

jml521m 发表于 2013-11-4 11:45
1.注册表规则

全局注册表控制

求详细

注册表规则 就要写成俩条

jml521m

墨家小子 发表于 2013-11-4 12:01
求详细

1.注册表规则

全局注册表控制
要包含的进程：*
要排除的进程：*\**\Program Files (x86)\**, *\**\Program Files\**, aitagent.exe, AngryBirds.exe, atieclxx.exe, Audiodg.exe, calc.exe, chrome.exe, CompMgmtLauncher.exe, consent.exe, csrss.exe, defrag.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, Dwm.exe, explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, lpremove.exe, lsass.exe, lsm.exe, mcbuilder.exe, McScript_InUse.exe, McTray.exe, mmc.exe, mobsync.exe, msconfig.exe, mscorsvw.exe, mspaint.exe, Nero.exe, notepad.exe, nvvsvc.exe, perfmon.exe, ping.exe, poqexec.exe, powercfg.exe, regedit.exe, regsvr32.exe, rundll32.exe, runonce.exe, sdclt.exe, sdiagnhost.exe, SearchIndexer.exe, SearchProtocolHost.exe, services.exe, setup_wm.exe, shstat.exe, SndVol.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, systempropertiesprotection.exe, taskeng.exe, taskhost.exe, tasklist.exe, taskmgr.exe, TrustedInstaller.exe, UdaterUI.exe, userinit.exe, vds.exe, vmware*.exe, vssvc.exe, wbengine.exe, WerFault.exe, wermgr.exe, wininit.exe, winlogon.exe, WinRAR.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, wordpad.exe, wsqmcons.exe, wuapp.exe, wuauclt.exe, WUDFHost.exe
要保护的注册表项目或注册表值：/**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

2.软件启动配置注册表
要包含的进程：*
要排除的进程：aitagent.exe, Audiodg.exe, CompMgmtLauncher.exe, consent.exe, csrss.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, Explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, mmc.exe, mobsync.exe, mspaint.exe, Notepad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, regsvr32.exe, rundll32.exe, sdclt.exe, sdiagnhost.exe, SearchIndexer.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, systempropertiesprotection.exe, taskeng.exe, taskhost.exe, taskmgr.exe, TrustedInstaller.exe, UdaterUI.exe, userinit.exe, wbengine.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, WordPad.exe, wuapp.exe, wuauclt.exe, WUDFHost.exe
要保护的注册表项目或注册表值：/Software/**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除


3.DLL文件控制
要包含的进程：*
要排除的进程：（需打磨）
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：创建 写入 删除

4.dll文件执行控制
要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：执行


当然3-4可以合并为
要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**，DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：创建 写入 删除 执行（但我想排出量会很大，还是分开的来会好些）

目前考虑带的就这些，如果有想到别的再补充吧....  注册表规则的权限其实很低，主要防的还是引导启动及修改
对于咖啡来说，但不止咖啡，所有的防护，文件防御是关键之关键...