楼主: 墨家小子
收起左侧

[求助] 不知道这样写规则能不能阻止DLL型木马利用系统进程启动

[复制链接]
jxfaiu
发表于 2013-11-5 09:46:19 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-11-5 09:51 编辑
墨家小子 发表于 2013-11-5 09:41
这样分成两条排除会不会麻烦点?


易用与安全是相互矛盾的;

系统Windows下的写入 创建 删除严加控制,排除量很小;规则不是见红就排除的,不影响使用绝不排除;

本人部分规则排除:
《防病毒标准保护》

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\program files\malware defender\malwaredefender.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡

《防病毒最大保护》

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\svchost.exe
阻挡、报告

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:C:\Program Files\64magaoqian 2.4.2\cntv.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\svchost.exe
阻挡

墨家小子
 楼主| 发表于 2013-11-5 11:32:44 | 显示全部楼层
jxfaiu 发表于 2013-11-5 09:46
易用与安全是相互矛盾的;

系统Windows下的写入 创建 删除严加控制,排除量很小;规则不是见红就排除 ...

最好就是一条规则,别的全不要
jxfaiu
发表于 2013-11-5 11:48:14 | 显示全部楼层
墨家小子 发表于 2013-11-5 11:32
最好就是一条规则,别的全不要

一条规则最好绝对途径排除;
墨家小子
 楼主| 发表于 2013-11-5 13:09:56 | 显示全部楼层
jxfaiu 发表于 2013-11-5 11:48
一条规则最好绝对途径排除;

太费事 我先用的这条规则

封锁非信任区_文件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramData\**,  C:\Windows\**, System
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:ALL

等有木马突破它再说

不行再加一条规则

封锁非信任区_注册表
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramData\**,  C:\Windows\**, System
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:ALL
jml521m
发表于 2013-11-5 13:56:25 | 显示全部楼层
墨家小子 发表于 2013-11-5 13:09
太费事 我先用的这条规则

封锁非信任区_文件

   注册表改为/** 全局防御也无妨。。。。
墨家小子
 楼主| 发表于 2013-11-5 14:57:20 | 显示全部楼层
jml521m 发表于 2013-11-5 13:56
注册表改为/** 全局防御也无妨。。。。

HKALL   这个不是全部吗
jml521m
发表于 2013-11-5 20:01:58 | 显示全部楼层
墨家小子 发表于 2013-11-5 14:57
HKALL   这个不是全部吗

看错了......嘿嘿
墨家小子
 楼主| 发表于 2013-11-6 10:05:03 | 显示全部楼层
jml521m 发表于 2013-11-5 20:01
看错了......嘿嘿

打PP
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:22 , Processed in 0.086030 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表