楼主: 柯林
收起左侧

[其他相关] (安全与易用之间的平衡)麦咖啡柯式简易规则【可以安装软件的规则】

[复制链接]
chen.yuan
发表于 2014-6-18 21:48:55 | 显示全部楼层
柯林 发表于 2014-6-18 19:35
偏好不同,那个30条,是以禁运秒杀为主打,对非信任区拦得较严厉,对不信任的程序一律秒杀;而对信任区 ...

说来惭愧,看着您耗费精力确帮不上手。注意休息要事第一啊,规则的事有空闲时间慢慢来不急。
柯林
 楼主| 发表于 2014-6-18 22:47:19 | 显示全部楼层
chen.yuan 发表于 2014-6-18 21:48
说来惭愧,看着您耗费精力确帮不上手。注意休息要事第一啊,规则的事有空闲时间慢慢来不急。

没什么,其实我也只是当作玩——玩着玩着整
给你个截图看下:


其实大体框架从第一个beta版起,已经定下了,剩下的工作,只是细化和优化而已

譬如以下这些,暂时拟好,不作添加,以后如果要加入的话,等最终一个基本的定型版本出来,绝大数程序可以安装卸载无障碍,再考虑是否加上去以打造极度精细版本。
【漏洞堵截】:由于安装程序可以创建可执行文件到windows和program files目录下

是否需要加上相应的保护措施?比如禁止创建假冒安装文件,或者禁止运行临时目录?

添加允许浏览器和下载工具可以创改exe的规则,对安装目录就有漏洞,为防万一,需要对安装目录设置一条保护规则,规定只有explorer和压缩文件可以改写

第一级过滤:全局禁止创建exe,系统补丁kb*.xe的文件名放行,是个漏洞,如果能用相对路径进一步限制,就更好了

没有禁止加驱,仅仅是禁止注册为服务那一条的防御。要不要删除自带排除名单,自己写?
==================================================================
【电子书规则】:
由于某些电子书会在windows目录里释放一个dll文件,要让它们可运行,需要在全局禁止改建dll文件和“通用最大保护-禁止在windows目录里创建新的可执行文件”添加排除

排除之后,就有漏洞,就意味着电子书目录里的exe文件可以改写任意地方的dll文件,要限制它只能改写于windows目录,就加以限制:
包含进程:*\**\*电子书*\**
排除进程:无排除
对象:**\windows\**\*
阻止的操作:创建、写入、删除
===================================================================
【安装缺口保护】:
禁止假冒安装文件exe
包含进程:*
排除进程:*\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Safe SetupFiles\*.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wuauclt.exe,*\**\AppData\Roaming\**\uninst*.exe,
对象:**\AppData\Local\Temp\*.tmp\*.exe
阻止的操作:创建,写入

禁止假冒安装文件tmp
包含进程:*
排除进程:*\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Safe SetupFiles\*.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wuauclt.exe,*\**\AppData\Roaming\**\uninst*.exe,
对象:**\AppData\Local\Temp\*.tmp\*.tmp
阻止的操作:创建,写入

禁止假冒安装文件_*tmp
包含进程:*
排除进程:*\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Safe SetupFiles\*.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wuauclt.exe,*\**\AppData\Roaming\**\uninst*.exe,
对象:**\AppData\Local\Temp\_*.tmp
阻止的操作:创建,写入


安装源保护:
禁止改写Safe SetupFiles里的文件
包含进程:*
排除:explorer.exe,麦咖啡主要进程,压缩工具
对象:C:\Safe SetupFiles\**
阻止的操作:创建,写入,删除

其他(略)...............................


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
常驻网络
发表于 2014-6-18 23:08:39 | 显示全部楼层
柯大的贡献真大,谢谢
柯林
 楼主| 发表于 2014-6-18 23:20:37 | 显示全部楼层
今天懒得下载程序测试安装了,小修改也不更新1楼文件了,需要的参考下(要让程序顺利卸载,目前有限测试的,自定义全局dll拦截的规则里,排除列表用下面这个):
*\**\AppData\Local\Temp\*.tmp\*Setup.tmp,*\**\AppData\Local\Temp\*Install\**\*Inst*.exe,*\**\AppData\Local\Temp\*Install\**\*Setup*.exe,*\**\AppData\Local\Temp\_iu*.tmp,C:\Program Files (x86)\**\unins*.exe,C:\Program Files (x86)\**\updat*.exe,C:\Program Files\**\unins*.exe,C:\Program Files\**\updat*.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Safe SetupFiles\*.exe,C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe,C:\windows\servicing\TrustedInstaller.exe,C:\Windows\SoftwareDistribution\Download\**\*.exe,C:\windows\system32\Dllhost.exe,C:\windows\system32\msiexec.exe,C:\windows\system32\wuauclt.exe,Explorer.exe,ie-kb*.exe,kb*.exe,svchost.exe
462588842
发表于 2014-6-19 06:50:02 | 显示全部楼层
柯林 发表于 2014-6-18 23:20
今天懒得下载程序测试安装了,小修改也不更新1楼文件了,需要的参考下(要让程序顺利卸载,目前有限测试的 ...

大部分人,是关闭规则再安装和缷载,尽量少排除是很多人现在所使用的
zhang.year
发表于 2014-6-19 08:03:49 | 显示全部楼层
挺好,学习一下。
是咖啡的各个版本都适用吗?
chen.yuan
发表于 2014-6-19 08:30:17 来自手机 | 显示全部楼层
柯林 发表于 2014-6-18 22:47
没什么,其实我也只是当作玩——玩着玩着整
给你个截图看下:


工作量不小啊,得占用您不少时间去写去测试,还得逐一审核是否错漏及它的有效性。感谢您的辛勤付出!
mcbaq222
发表于 2014-6-19 10:44:31 | 显示全部楼层
为什么我在禁止HTTP那里不能使用绝对路径排除啊,填写进去以后点应用,浏览器还是不能联网,回头一看,刚刚填写的绝对路径消失了。。但是只填exe的话就可以排除。。有哪位大神知道啊,帮个忙。。。总觉得只写一个exe不安全。。
zpf94
发表于 2014-6-19 12:43:44 | 显示全部楼层
柯大辛苦啦期待您的最终规则
柯林
 楼主| 发表于 2014-6-19 20:50:35 | 显示全部楼层
本帖最后由 柯林 于 2014-6-19 21:19 编辑
zhang.year 发表于 2014-6-19 08:03
挺好,学习一下。
是咖啡的各个版本都适用吗?


理论上是这样,但是好像8.8的语法跟以前的有点不一样,比如排除进程不能用**\abc\*.EXE的形式,而只能用*\**\abc\*.EXE,有人说是变化,有人说是bug,不懂。另外,禁止HTTP通信这条,只能文件名排除了(8.8)

ps:如果你是说注册表规则路径的话,好像跟以前的有点不一样(很久都没喝咖啡了,记不清)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:34 , Processed in 0.154309 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表