怎样写套简单而又犀利的防毒/测毒规则？（12楼和13楼有参考贴图）

柯林

解题：简单说的是规则不要太多，尽可能少；犀利是说能防住90%以上的毒
目的：给喜欢测试的人参考，充分体验下大咖啡拦毒的乐趣
任务：纯规则的，主防测试，不考虑月神杀掉样本的事

先听听楼下怎么说

========================
2楼的文字说明，12楼、13楼有参考图
经实测，效果很好，双击样本那叫一个“爽”和无聊

柯林

咋没人讨论呢？都说说自己的想法呗，有好的经验交流下

既然我发起的，就违规做个沙发，先说说自己的想法。
个人设想，是不是可以用40条规则来初步达成目标？40条规则如下：

（启用）默认规则22条
1、（勾选阻挡和报告）禁止安装新的CLSID、APPID和TYPELIB（影响程序安装）
2、（勾选阻挡和报告）禁止所有程序从Temp文件夹运行文件（影响程序安装和卸载）
3、（勾选阻挡和报告）禁止禁用注册表编辑器和任务管理器
4、（勾选阻挡和报告）禁止更改用户权限策略
5、（勾选阻挡和报告）禁止远程创建/修改可执行文件和配置文件（可能影响个别程序的安装和运行）
6、（勾选阻挡和报告）禁止远程创建自动运行文件
7、（勾选阻挡和报告）禁止拦截.EXE和其他可执行文件扩展名
8、（勾选阻挡和报告）禁止伪装windows进程
9、（勾选阻挡和报告）禁止使用tftp.exe
11、（勾选阻挡和报告）禁止svchost执行非Windows可执行文件（可能影响某些软件的使用，可考虑在测毒时开启）
12、（勾选阻挡和报告）将所有共享项设为只读
13、（勾选阻挡和报告）阻止对所有共享资源的访问
14、（勾选阻挡和报告）保护Mozzila及firefox文件和设置（自己安装火狐插件有阻挡时临时禁用该条）
15、（勾选阻挡和报告）保护Internet Explorer设置（自己安装IE插件有阻挡时临时禁用该条）
16、（勾选阻挡和报告）禁止安装Browser Helper Objects和Shell Extensions
17、（勾选阻挡和报告）保护网络设置
18、（勾选阻挡和报告）禁止公用程序从Temp文件夹运行文件
19、（勾选阻挡和报告）禁止将程序注册为自动运行（除非你要把某个程序设为开机自动运行，否则该条永不禁用）
20、（勾选阻挡和报告）禁止将程序注册为服务（安装带驱动和后台服务程序的软件时，临时禁用该条）
21、（勾选报告）禁止在windows文件夹中创建新的可执行文件
22、（勾选报告）禁止在Program Files文件夹中创建新的可执行文件

注：第2条可能影响系统更新，请在更新补丁时禁用。
==============================================================
（添加）自定义规则18条
1、禁止任执行根目录文件
2、禁止修改桌面文件
3、防脚本1-禁止cmd.*执行任何操作
4、防脚本2-禁止?script.*执行任何操作
5、防恶意1-禁止未知程序任何文件操作【排除windows目录及program files目录】（可能需要将自己使用的个别程序添加排除）
6、防恶意2-禁止未知程序任何注册表操作【排除windows目录及program files目录】（可能需要将自己使用的个别程序添加排除）
7、防恶意3-禁止未知程序执行系统文件【排除windows目录及program files目录】（可能需要将自己使用的个别程序添加排除）
8、防恶意4-禁止未知程序执行用户程序【排除windows目录program files目录】（可能需要将自己使用的个别程序添加排除）
9、重点文件管制-禁止修改根目录文件（拦截写入操作）【可能多余，第5条已涉及】
10、重点文件管制-禁止创建、修改计划任务
11、危险程序管制-禁止执行net*.exe【属于预防万一的，未别别用得上】
12、危险程序管制-禁止执行task*.exe【属于预防万一的，未别用得上】
13、危险程序管制-禁止执行format.*【属于预防万一的，未别用得上】
14、自控1-禁止自己改写windows目录里的文件
15、自控2-禁止自己改写用户程序目录里的文件
16、重点注册表保护-禁止映像劫持
17、重点注册表保护-禁止改写SAM键
18、重点注册表保护-禁止改写安全模式
要不要全局白名单拦截未知程序的网络活动（端口规则）？由于P4目前好像有bug，此处忽略。

注：5、6、7、8是假设本机干净，放过系统程序及自己安装使用的程序，对计算机上其他所有位置的程序给予扼杀，这个显然影响程序安装，请在安装或卸载时、系统更新时给予禁用。14、15的作用是防止你自己把病毒样本放到windows目录或者program files目录里而失去5、6、7、8的约束。

Opera~

柯大好勤劳简直可以评优卡了。仔细看了一下，能不能多新建一个专门放置安装程序的文件夹然后加以排除呢？病毒样本应该是略懂电脑的人才会去碰的，我觉得应该没人会傻到把样本放到系统文件夹里吧，而且默认规则不是有了一条“ 禁止在windows文件夹中创建新的可执行文件”规则吗？我乃小白，来此学习知识，有些见解可能错误或者显得幼稚柯林大大别喷～

chen.yuan

柯大：您二楼的规则是否可以直接套用了？

Opera~

柯大来来来弄套实体规则粗来吧。估计影响颇大哦！ 柯林的咖啡之Virus Terminator

qftest

柯林 发表于 2014-6-4 22:21
咋没人讨论呢？都说说自己的想法呗，有好的经验交流下

既然我发起的，就违规做个沙发，先说说自己的想法 ...

不直接FD操作而通过com接口调用文件、命名管道底层写入磁盘或注入后利用系统程序的恶意软件现在是越来越多，诸如LocalSecurityAuthority.Shutdown或对C:\Windows\System32\svchost.exe的COM接口访问及键盘访问等等都是VSE的防御短板
为了阻止此类调用系统API的样本必须启用大杀器“阻止对所有共享资源的读写访问”，否则必过http://bbs.kafan.cn/thread-1736918-1-1.html
若使用通配符则容易漏，若使用绝对路径则有5199字节限制、必须添加自定义全局禁运规则交叉排除（参考http://bbs.kafan.cn/forum.php?mo ... 04&pid=30589911）
此时可以防80%以上的毒，再加几条IE+启动+服务+脚本+TEMP规则估计可以防90%了
禁运党的嘴脸一览无余啊

柯林

qftest 发表于 2014-6-5 20:59
不直接FD操作而通过com接口调用文件、命名管道底层写入磁盘或注入后利用系统程序的恶意软件现在是越来越 ...

"阻止对所有共享资源的读写访问",这条规则究竟拦截些啥子内容，这个没有经过大量实体测试，没弄懂，默认打开写的阻止的进程是system:remote，这个不懂它的功效究竟是啥

确实，我提的这套就是一副禁运党的嘴脸说测毒，不准确，说防毒还差不多，除了qq粘虫、截屏这些，一般的，理论上应该能保证随便双击不会跪吧（自定义的5、6、7、8说的就是除了windows目录和program files里的程序，其它任何位置的程序，不可以创建和修改文件、不可以动注册表、也不可以加载windows目录下的dll及program files下的dll等可执行文件，除非样本自带必备的dll等文件，否则运行都够呛……）

喜欢默认自带的禁止svchost执行非windows文件，这个就具有防止dll注入的味道把，要是所有正在运行的进程这个来一下，效果应该大有可观哈，就是太麻烦了（求极致的话、5、7、8合并为一条禁止所有进程读写执行任何文件，那就是赤果果的禁运党了，我分成3条，意思就是有限限制，希望能多看到一两步行为

柯林

Opera~ 发表于 2014-6-5 18:55
柯大好勤劳简直可以评优卡了。仔细看了一下，能不能多新建一个专门放置安装程序的文件夹然后加以排除呢？病 ...

这个貌似没必要，因为这个设想的目的就是拿来双击样本后获取一个“呕也，又没跪”的无聊效果的，不是其他目的（一般应用，个人观点，默认的标准保护就足够了，别忘了月神），真要安装么，肯定你安装的东东是干净的了吧，临时禁用那些影响安装的规则就是了

咖啡规则里排除安装包太麻烦了，凡是有影响的规则里都要添加例外，那叫一个麻烦说【甚至是难以实现的，比如安装程序释放一个随机名的tmp文件在Temp里执行，你要例外这个随机名的tmp在各个阻挡规则里加一遍，要是这个tmp再释放出另一个东东来执行，那又是一遍排除，这么做，都要疯了，所以意义不大——程序安装完，这个随机名的tmp已经没用了，放在规则里占着是个垃圾，没意义】

14 15这两条，纯粹是为了体现假设系统干净这个前提以便为5、6、7、8这四条有坚实保证的，无其他意思

Opera~

柯林 发表于 2014-6-5 21:55
这个貌似没必要，因为这个设想的目的就是拿来双击样本后获取一个“呕也，又没跪”的无聊效果的，不是其 ...

原来是这个目的。。。其实我只是想排除文件夹而已。谢谢柯林大大！（写一套规则真的不考虑？）

柯林

Opera~ 发表于 2014-6-5 22:13
原来是这个目的。。。其实我只是想排除文件夹而已。谢谢柯林大大！（写一套规则真的不考虑？）

5、6、7、8太“犀利”了，尤其是7，程序基本被秒杀，成了不折不扣的禁运党，没实现运行后拦截的目的，囧