咖啡防入口通用型规则包【7月19更新】

xqiafl

个人认为, LZ的规则,对于U盘和上网中毒, 完全没防到重点.

U盘的重点在于AUTORUN.INF.

上网的中点不在于Temporary Internet Files 这个文件夹, 这个一封就不能下载了.

一般, 中马其实最直接就是打补丁了. 不想打补丁, 可以考虑封TEMP,  根目录, 系统目录,

禁止, IE 往以上三个目录中写入EXE, VBS 等等文件. 可以防止网马的.

这里网马就拿06014 来说吧,一般这种网马, 大多数EXE 文件在TEMP目录中. 当然,06014 也有VBS, BAT PIF,等等文件.

07004 这种马生成的EXE文件,一般在SYSTEM32目录中.   

个人认为,不推荐封Temporary Internet Files 这个文件夹

以上只是通过"写"  来防止, 还可以通过, "执行" 来防止.

因为, IE 在任何目录中创建一个EXE文件后,是要调用IE 去执行这个EXE 木马程序的.

所以, 规则,可以写成, 禁止IE  执行EXE 文件. 再排除些文件即可.

这样, 即使EXE文件写到任何目录中,也是不能执行的.

不过, 本人试过, 源文件好像打不开.  这个排除了NOTEPAD.EXE 还是不行. 不过,这一个办法绝对可行.

但,本人用的也只是第一种, 防写, 不防执行.

[ 本帖最后由 xqiafl 于 2007-12-11 22:55 编辑 ]

zzybwdb_2007

楼主，为什么连咖啡自带的规则也关了不少。。。。。。

我看了一下，感觉不如小邪邪的综合规则安全性高。。。。。。

PS：易用性是提高了，但安全性降低了。。。。。。
有兴趣你的规则测试一下这个毒网，看看挡得住么。。。。。。
http://cadtuku2.w11.bitidc.com/soft/10/2007/20070403924.html

xsqhlf

多谢楼主分享，辛苦了----

深红的雪

感谢你的意见。但某些观点不能认同。
1.“U盘的重点在于AUTORUN.INF”——要封杀AUTORUN.INF只是举手之劳，况且关闭自动播放的工具遍地都是。问题是，如果用户不小心执行了U盘上的病毒呢？这不是封一个AUTORUN.INF就能解决。我这个规则是从另一思路出来的。

2.“个人认为,不推荐封Temporary Internet Files 这个文件夹”——我并没有封这个文件夹，建议你认真看看我的规则。我不是不让下载，而是不让Temporary Internet Files 里的文件修改新建任何文件。下载是绝对可以的。
一般来说，病毒要下载到本地的指定目录就必须先获取系统变量，不然就只能下载到Temporary Internet Files文件夹。而病毒要获取系统变量则需要利用脚本或控件调用系统中库函数（注意，这句其实是不正确的，是我的错。这里应该改为：病毒要被执行则需要调用系统的组件，不过某些级别的木马并不需要），在我的规则包里已经对此等操作加以防范了。还有一点就是，木马下载到本地后，并不一定是由IE来执行的。

再多说一句，病毒不是一开始就在Windows等目录下落脚的，而是病毒被执行后再释放文件到这些目录的。所以只要限制病毒的执行就可以实现防毒的效果了，因此才不需要额外的FD规则，保证规则的方便性。（这里我忽略了一点，病毒进入IE缓存文件夹后可以通过IE复制到其它目录，多谢xqiafl的提醒）

3.若设规则防止IE执行文件的话，问题多多，极影响正常使用。所以采取防新建是较好的办法。这一点我很赞同。其实在我发的规则包里就有这样的规则了。

[ 本帖最后由 rappar 于 2007-12-21 18:31 编辑 ]

深红的雪

1.默认规则里保留安装时的基本防护设定，我没有改动过。
2.我在一楼就已经说明了，这是入侵防护规则，FD很薄弱，但防入侵却不弱。
你那个毒网我测试过了，上图

打开网页后唯一的症状就是浏览器卡到爆..........



为了确认规则是否能防毒，打开三条Extra规则以作参考（只报告不阻止）
注：上面的规则是我正在编写的通用规则，那个精简规则包是从这里精选出来的。两者对入侵防护的效果是基本一样的。

测试结果：耐心地等待10多分钟后（夸张），网页终于打开，乱点连接，然后关闭该网页。
查看Windows目录、system32目录、Temp目录等，均无新建文件。查看系统启动项，无异常，检查注册表，无异常。查看网络连接状态，亦无异常
查看咖啡日志结果：浏览器在IE缓存文件夹中新建了一大堆gif、aspx、htm、txt，和少量JS脚本，不见有任何新建或修改文件的操作；浏览器修改部分注册表键值，但属正常行为。
结果表面，要么网页正常，要么木马被浏览器无视掉了
补充：系统为ghost版SP2，打补丁至5月8日

[ 本帖最后由 rappar 于 2007-12-12 12:58 编辑 ]

被蒙蔽了的眼

请问如何生成规则包的 注册表导入文件?

深红的雪

从注册表导出这个项：
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking

zhudi

kankanle

xqiafl

当然也不排除有这样的情况：网页病毒并不落脚IE缓存文件夹，而直接下载到其它的系统变量，如Temp
、Windows文件夹等，然后调用其它程序或由脚本执行它。这样情况很小见（就是那个10%），对此我们
可以再添加几条规则加以防范。该添加怎么样的规则？呵呵，各位若有兴趣的可以自己去研究。

刚刚又看了下子,  第一条规则, 个人认为,还是没的什么太大的必要.

原因也很简单,  因为, 一般,U盘木马文件都隐藏的, 用户基本上不可能直接去运行.

当然.   你考虑的很全面.  这条规则本人就收下了.

至于  封杀"\Temporary Internet Files"  这个文件夹, 本人认为完全是多余.

虽然,  如你所说., 木马, 控件之类的,  都要在这个目录中先生成一个文件. 然后,再复制到

指定目录, 但这个目录并无执行权限,  完全是由IE ,等其它工具代劳的.

现在, 来说下, 我上面,引用的部分.  网马, 是先写在Temporary Internet Files文件夹,

再用IE 复制到TEMP ,WINDOWS 等文件夹的.   所以, 你说,这种情况不多见???

个人认为, 你对这方面了解太少了.

xqiafl

现在的病毒无孔不入,   QQ 病毒就有很多是写到程序目录中的.

一般,程序完全可使用绿色版的.  而不需要把程序目录排除在外,因为这样很危险!

我昨天运行一个病毒,  我系统目录中, 就排除了IE 写入, 也禁止程序调用IE.

但那个病毒运行后, 直接调用了IE,  并下载木马到C盘根目录下. 如果下到WINDOWS目录下,

我就挂了. 这看似不要紧,其它有时很要命!