楼主: 柯林
收起左侧

[讨论] 怎样写套简单而又犀利的防毒/测毒规则?(12楼和13楼有参考贴图)

[复制链接]
yshuguang
发表于 2014-6-6 08:54:27 | 显示全部楼层
高大上的赶脚,表示确实又涨姿势了
柯林
 楼主| 发表于 2014-6-6 23:26:50 | 显示全部楼层
本帖最后由 柯林 于 2014-6-7 10:25 编辑

交流贴么,发图交流下算了。本楼发默认规则部分


在本套规则中,个人觉得这个意义不大






禁止svchost执行非系统文件,这一条,建议测度时开启,平常禁用。【这一条先前解读有误,以为可以排除,貌似不行。谁能提供个防止加载指定外dll的规则来参考下?】




禁止安装系统浏览器外壳扩展这个,觉得有需要就勾选,在本套规则中,这些只是用来防止正常程序的(在开启自定义的犀利规则的前提下)


禁止将程序注册为自动运行,建议勾选(日常使用可以阻止QQ、pps、迅雷神马的添加开机自启动,安装程序时可以拦截掉自动添加开机启动的讨厌动作);禁止注册程序为服务,也可以勾选(如果安装带驱动或者后台服务的程序,请禁用)。禁止向windows目录及program files目录里创建新的可执行文件,建议勾选报告即可(在本套规则中,这个不是用来防毒,而是监视系统程序和自己安装使用的程序的,以防万一病毒注入这些进程后产生这些FD方面的操作)

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
 楼主| 发表于 2014-6-6 23:34:23 | 显示全部楼层
本帖最后由 柯林 于 2014-6-7 00:26 编辑

本楼发自定义规则部分(请根据自己实情修订【本人系32位win7系统】)暂拟21条:


这一条,如果你用的程序不在排除之列,自己添加排除


这一条,如果你用的程序不在排除之列,自己添加排除




如果关机时系统程序需要执行关机命令,根据日志排除下











如果只是防止恶意快捷方式,写成两条(禁止改写桌面上的lnk和url文件即可),如果如图示的全部阻止,请添加例外程序(要在桌面用文档,请允许记事本、word等程序)








这一条太犀利了,开启后基本就是“见毒秒毒”,如果你要做禁运党,就开启;如果想运行样本观察一些行为,请去除阻挡,只勾选报告。日常上网,建议开启(请排除你用的软件)












这一条,防止下载恶意注册表文件,自己双击后改写注册表。如果你要用注册表编辑器,请禁用该条。



再加一条禁运根目录防U盘的(以防万一)


======================================
2楼所说的规则,已经贴图完毕。个人实机器测试,可以双击所有样本,防御力大概在95%左右。所示仅供参考,请根据自己实情取舍,并作出必要的排除。在安装和卸载程序时,请参考2楼说明,作出必要的调整【安全与易用很难兼得,没办法】。
如果你有自己的想法或看法,欢迎交流探讨。

ps:本套规则,在防止读取上,并没有采取全局禁读的严厉做法,如果你有需要,请自己搞,我对这个不是太感冒。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
柯林
 楼主| 发表于 2014-6-7 10:29:05 | 显示全部楼层
chen.yuan 发表于 2014-6-5 19:18
柯大:您二楼的规则是否可以直接套用了?

参考12、13楼
zpf94
发表于 2014-6-7 20:28:30 | 显示全部楼层
学习了!感谢柯大
chen.yuan
发表于 2014-6-7 20:52:24 | 显示全部楼层

柯大:用于日常应用可以吗?我纯小白说错勿怪哈。!
依班娜
发表于 2014-6-7 23:00:38 | 显示全部楼层
有一个比较疑惑的地方,就是访问保护的原理是什么
用xt看了发现不是ssdt hook有几个inline hook也不是访问保护的驱动
柯林
 楼主| 发表于 2014-6-8 02:11:13 | 显示全部楼层
chen.yuan 发表于 2014-6-7 20:52
柯大:用于日常应用可以吗?我纯小白说错勿怪哈。!

当然可以的  不过不用这么麻烦  明天我发个普罗大众版的简单规则(20条左右) 偏好是见者皆灭的禁运党风格
柯林
 楼主| 发表于 2014-6-8 02:12:52 | 显示全部楼层
依班娜 发表于 2014-6-7 23:00
有一个比较疑惑的地方,就是访问保护的原理是什么
用xt看了发现不是ssdt hook有几个inline hook也不是访问 ...

这个不知道
我只关心怎么用
xuan1xuan
发表于 2014-6-8 07:39:39 | 显示全部楼层
柯大,难道安装软件时要右键。退出吗,万一安装包有问题肿么办
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:26 , Processed in 0.238597 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表