查看: 3861|回复: 11
收起左侧

[讨论] 最简单的入口防御规则

[复制链接]
柯林
发表于 2014-6-14 22:11:44 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2014-6-14 22:48 编辑

习惯好,人品好,默认规则都能保证你不中毒,在默认的基础强化下,做好入口防御,简单写几条应该就够了。

1、全局禁止建写exe文件(阻止**.exe的创建,写入,排除系统更新程序,麦咖啡程序,你自己用的软件的更新程序,安装包所在的目录,释放到D盘特定目录里的系统补丁)【这一条注意系统关机时,winlogon.exe与LogonUI.exe之间的修改关系,请添加排除】
2、全局禁止建写dll文件(阻止**.dll的创建,写入,排除系统更新程序,麦咖啡程序,你自己用的软件的更新程序,安装包所在的目录,释放到D盘特定目录里的系统补丁,个别软件有阻挡的根据日志排除下【临时禁用该条的情况下运行一下软件】)
3、全局禁止写建sys文件(阻止**.sys的创建,写入,排除系统更新程序,麦咖啡程序,如果services.exe有修改sys的行为,请添加排除,该条请去除阻挡,勾选报告,看下日志排除下)
4、全局禁止写建vxd文件(阻止**.vxd的创建,写入,排除系统更新程序)
5、全局禁止写建ocx文件(阻止**.ocx的创建,写入,排除系统更新程序,麦咖啡程序,你自己用的软件的更新程序,安装包所在的目录,个别软件有阻挡的根据日志排除下【临时禁用该条的情况下运行一下软件】)
6、全局禁止写建pif文件(阻止**.pif的创建,写入,排除系统更新程序)
7、全局禁止执行com文件(阻止**.com的执行)
8、防御U盘病毒1,禁止运行根目录文件(阻止 \*.*的执行)
9、防御U盘病毒2,禁止根目录创建inf文件(阻止 \*.inf的创建、写入)
10、恶意批处理防御,禁止cmd删除文件,(阻止cmd.*删除**)
11、恶意程序防御,禁止所有程序执行格式化命令(阻止**\format.*的执行)
12、防止自己执行恶意脚本(阻止**\explorer.exe执行**\?script.exe)
13、防止映像劫持(阻止所有程序对HKLM   /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options**)
注:自定义规则1、2、5条里提到的安装包目录(请把你下载的干净可信的安装包,全部放到一个专门的目录里,然后把该目录以路径的方式在1、2、5里加以排除)
对于第1条,如果你用浏览器下载exe格式的安装包,或者用迅雷等下载工具下载exe文件,请把它们添加排除。
对于程序安装,如何保证释放到Temp目录里的安装程序有权创建exe等文件,请参考咖啡默认规则里的排除列表自己搞定。
=============================================================
此外,开启一些默认规则:
1、开启禁止程序注册为自动运行(个别需要开机自动运行的程序,请禁用该条,运行下程序,添加开机项再启用)
2、开启禁止拦截.EXE等可执行文件扩展名
3、开启禁止安装Browser Helper Objects和Shell Extensions
4、开启禁止公用程序从临时目录启动文件
5、开启网络保护
6、开启禁止更改用户权限
7、开启保护IE设置(如果IE安装插件时有阻挡,临时禁用下)
8、开启保护火狐设置(如果火狐安装插件时有阻挡,临时禁用下)
9、开启禁止远程修改可执行文件及胚子
12、开启禁止远程注册为自动运行
13、开启禁止伪装windows系统进程(排除C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\Windows\winsxs\**\*.exe(这一个仅对XP以上系统有效,xp系统请不要加这个))

一般人用这26条,足够了。这种设置,不影响你安装、卸载软件、以及系统更新。
这种玩法,不玩禁运,不玩精密过滤嵌套筛选,就是很简单的入口防御,使用简单,效果不赖,配合月神,一般人真的是够用够用了。


规则的基本思想就是:不让当前最常见的病毒文件格式创建进本机,后续的防御就不用考虑了。

评分

参与人数 1经验 +15 收起 理由
心跳回忆 + 15 感谢提供分享

查看全部评分

jzh100
发表于 2014-6-14 23:48:49 | 显示全部楼层
谢谢分享了,学习了
462588842
发表于 2014-6-15 07:31:27 | 显示全部楼层
叶知,当时也是,就两条规则,柯大,你这规则和默池的封笔规则差不多!
柯林
 楼主| 发表于 2014-6-15 12:05:56 | 显示全部楼层
462588842 发表于 2014-6-15 07:31
叶知,当时也是,就两条规则,柯大,你这规则和默池的封笔规则差不多!

嗯,基本都大同小异,都差不多,万法归宗嘛。
我想要的理想一点的规则是:尽量符合日常使用习惯,导入就用,需要手动添加的排除较少,正常安装卸载软件无阻挡,却又具有一定强度的防毒能力,也就是表面上有一定的“智能性”这样的规则。原因只有一个:便于被大众接受
462588842
发表于 2014-6-15 13:12:59 | 显示全部楼层
柯林 发表于 2014-6-15 12:05
嗯,基本都大同小异,都差不多,万法归宗嘛。
我想要的理想一点的规则是:尽量符合日常使用习惯,导入就 ...

那就用大熊猫的,几乎不排除!安全也不低。我个人觉得加个comodo5.12还是可行的,当咖啡关了访问,问题就来了。毛豆开安全模式cps,能小顶一下,我原来用你的懒人规则,现在用原版。自已不玩毒,所以我都是组合别人的规则。

对了那个999 的规则你可以参观一下
462588842
发表于 2014-6-15 13:18:09 | 显示全部楼层
jxfaiu这人和墨池走一样的路,严紧!
我规则七十条用的到的不过十几条
柯林
 楼主| 发表于 2014-6-15 16:49:53 | 显示全部楼层
462588842 发表于 2014-6-15 13:12
那就用大熊猫的,几乎不排除!安全也不低。我个人觉得加个comodo5.12还是可行的,当咖啡关了访问,问题就 ...

这个可能是心理问题,就算关了咖啡,月神还在,每存取一个文件都会检测,能漏掉的并不多,再说你关掉咖啡,一般也就在安装程序时,保证你的安装包可信,其他的都不是问题。

我试了一个全局禁止exe创建的规则,可以正常安装卸载软件,等完善下,发上来验证下,这个一般情况下可以永远开着咖啡。
462588842
发表于 2014-6-16 06:40:38 | 显示全部楼层
柯林 发表于 2014-6-15 16:49
这个可能是心理问题,就算关了咖啡,月神还在,每存取一个文件都会检测,能漏掉的并不多,再说你关掉咖啡 ...

我的规则是绝路径排除的。说真的 我也知道是心理问题但comodo应该会比系统墙好,我是说同为默认
cocabean
发表于 2014-6-16 08:27:32 来自手机 | 显示全部楼层
还是太折腾了,默认规则加个U盘和浏览器缓存禁运的规则来得方便的多。下载的东西不放心的就用沙盘跑一圈就好了
柯林
 楼主| 发表于 2014-6-16 18:38:32 | 显示全部楼层
linjuncpu 发表于 2014-6-16 08:27
还是太折腾了,默认规则加个U盘和浏览器缓存禁运的规则来得方便的多。下载的东西不放心的就用沙盘跑一圈就 ...

装沙盘跑 比咖啡折腾
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:10 , Processed in 0.144196 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表