（菜鸟懒虫）初级简单规则

柯林

bujchen 发表于 2015-5-19 18:32
@柯林
老是这个触红   被端口阻挡规则阻挡         C:\Windows\Explorer.EXE        用户定义的规则:( 联网控制 )禁止非 ...

可以排除，也可以不排除。
排除之后，explorer访问网络全都允许了，而一般情况下，这个进程不需要访问网络，当它访问网络时，一般是有模块注入了，例如以前安装迅雷之后，迅雷模块注入导致explorer访问网络。

柯林

zpf94 发表于 2015-5-19 18:39
我发现VSE有时候日志里记录已经阻止运行某程序，但是实际上并未拦截，比如说设置规则禁止运行shutdown.exe ...

关闭系统有很多方式，调用shutdown.exe进行关闭只是其中一种。
防御敲竹杠，可以阻止调用net.exe与net1.exe进行防御，也可以注册表进行防御，或者你规则制作得严厉的话禁运程序也算是另一种防御。

zpf94

柯林 发表于 2015-5-20 11:24
关闭系统有很多方式，调用shutdown.exe进行关闭只是其中一种。
防御敲竹杠，可以阻止调用net.exe与net ...

我测试了两种敲竹杠，根据触红日志来判断，软件直接调用shutdown.exe的咖啡拦不住，只有记录。而通过CMD调用shutdown.exe的咖啡就可以拦截住。很费解...

柯林

zpf94 发表于 2015-5-20 11:28
我测试了两种敲竹杠，根据触红日志来判断，软件直接调用shutdown.exe的咖啡拦不住，只有记录。而通过CMD ...

关机不是主要动作，修改SAM键下的关键注册表，才是核心内容。关机大不了重启，大不了丢失关机来不及储存的资料；添加用户和修改密码，才是敲诈的主要目的。

至于为什么拦不住关机，你最好看下它的代码。

柯林

zpf94 发表于 2015-5-20 11:28
我测试了两种敲竹杠，根据触红日志来判断，软件直接调用shutdown.exe的咖啡拦不住，只有记录。而通过CMD ...

如果病毒注入系统进程,系统进程调用shutdown.exe肯定不会拦截,那就过了.VSE的AD还是太脆了，只有个禁运，对钩子都没法。拦敲竹杠，还是直接管关键点算了。

zpf94

柯林 发表于 2015-5-20 12:23
如果病毒注入系统进程,系统进程调用shutdown.exe肯定不会拦截,那就过了.VSE的AD还是太脆了，只有个禁运， ...

原来如此，看来单奔VSE确实单薄了些。

柯林

zpf94 发表于 2015-5-20 13:05
原来如此，看来单奔VSE确实单薄了些。

除了钩子、键盘记录、截屏、底层磁盘、物理内存等这些AD，其它都没问题。实际上单本VSE也没什么，除了下载样本的测试党，正常使用，遇到的病毒木马恶意程序，百分之九十以上都被月神秒了，剩下的交给规则拦截下，没有问题的。譬如说，入口控制了exe、dll、pif、bat、vbs之类的创建，剩下的都不是问题，因为就没问题产生。正常使用下，病毒很难进来，进不来就没问题可烦恼与纠结。【即使进来了，严厉规则还有禁运和削权大法让机子带毒运行而不能毒发的】