关于初级简单防御的思路

柯林

相关问题，置顶贴里已经讨论完毕，其实没啥好说的。开这贴活跃下气氛，对错都仅供参考。
对于高级用户，规则是御敌于国门之外的利器。有没有杀毒功能，以及病毒库是否更新都不重要，好习惯加严厉规则才是神器。
对于初级用户，规则只是杀毒的辅助（在杀毒没有入库之前，控制一下伤害），从这个角度说，加一条控制exe生成修改的规则，就已满足基本需求。
规则对于初级用户来说，最实用的在于控制损失，毕竟不像高级用户有那么敏锐的警觉，难免克制不住好奇，会去点击一下，如果运行不了，可能会直接关了访问保护，从这点来说，在杀毒没有明判的情况下，能够做个重点防御拦截下危险行为，就算完事。
使用这种初级简单防御，必须明了的基本前提有三个：杀毒会搞定主要威胁；VSE强在FD；针对的对象以未知（不明程序）为主。

VSE说到底，还是以入口防御为主。控制危险文件与高危行为，就可以降低损失。按照这个思路，可以列举相关规则进行考虑：
1、防止加驱    自带规则  注册服务  （驱动一加，一切都浮云了，应该控制加驱，不明程序加驱理应拦截）
2、文件操作控制，“病从口入”，没有病毒文件，后续手段都免了。这个问题，基本上5条小规则可以搞定：对于系统目录的保护，自带的两条（禁止在windows目录里创建可执行文件，禁止在programfiles目录里创建可执行文件）可以搞定；对于其它位置，自带的“将所有共享项设为只读”修改下即可有强效的防御作用，再加条“全局控制exe创建修改”和“全局控制dll文件创建修改”，基本上已经封住了入口，U盘病毒再加条“禁止根目录创建autorun.inf”的规则即可。至于bat、com、sys、cpl、vbs、scr这些，已经不重要了，没有exe基本上啥都没有，dll注入反正防不了，只要禁止坏dll产生，也就没东东可拿来注入，脚本文件之类，后续的运行控制吧。sys驱动第一条防止加驱已经防御，创建个sys在非系统目录也没用。至于scr、cpl、pif，再加个全局入口控制规则就加吧。综观而言，全局控制住exe与dll，百分之九十八的问题都搞定了。（恶意程序有一部分是批处理或VBS文件，最近闹得凶的比特币敲诈木马有些是scr格式，部分U盘病毒是pif格式，需要控制入口的可以考虑）
3、恶意行为控制。上面说的是没有exe啥都不是，对于已经存在的exe（非系统exe），点击运行之后，如何控制它不做“过分”的举动？可以考虑：
a、禁止安装shell扩展  自带规则
b、禁止安装新的CLSID和APPID  自带规则
c、防止敲竹杠  自定义规则  注册表SAM键下的Groups项
d、禁止更改所有文件的打开方式  自定义规则 注册表
e、禁止脚本宿主程序  自定义规则  禁止执行wscript.exe
f、禁止远程修改创建可执行文件和配置  自带规则
g、禁止更改用户权限策略  自带规则
h、禁止程序注册为自动运行  自带规则
i、禁止修改IE设置   自带规则
j、U盘病毒可以禁运根目录
4、对自己安装使用的软件的限制，控制一下，以防万一。可以考虑如：禁止使用TFTP通信，自带规则；禁止上网程序执行cmd；禁止调用IE，自定义规则.....
5、系统自带危险程序控制：at.exe,reg*.exe,rundll32.exe,cacls.exe,Iexpress.exe,telnet.exe,taskkill类,net类程序等，这些东东最好控制乃至禁运。
6、隐私保护：私人文件目录，禁止访问（排除explorer和word等必须程序）；安装有摄像头的控制摄像头的调用。
7、不明程序控制：禁止不明程序调用系统程序；禁止不明程序在software键下创建项目。

大致如这些方面进行考虑下，自行删减取舍，构思个有序的方案，辅助和补充下杀毒。如有相同或不同意见，欢迎探讨。

灰鹰

由此看来企业用户比初级用户更加低级

柯林

灰鹰 发表于 2015-5-15 10:34
由此看来企业用户比初级用户更加低级

需求不同，定位不一样。这里说的初级，也只是相对而言。
喜欢折腾的，会参考叶版、邪版的帖子打造严密规则。
我喜欢大众化，喜欢拉小白来尝试好东西，尽量简单为主。

柯林

灰鹰 发表于 2015-5-15 10:34
由此看来企业用户比初级用户更加低级

需求不同，定位不一样。这里说的初级，也只是相对而言。
喜欢折腾的，会参考叶版、邪版的帖子打造严密规则。
我喜欢大众化，喜欢拉小白来尝试好东西，尽量简单为主。

一晴空

柯林大大，好久不见了

柯林

一晴空 发表于 2015-5-15 23:10
柯林大大，好久不见了

最近两年，工作忙，没时间玩，今年轻松点。

paul_guo

说实话很有道理，全盘禁运根本不是正常人用的

柯林

paul_guo 发表于 2015-5-16 20:38
说实话很有道理，全盘禁运根本不是正常人用的

个人特点，一是懒怕麻烦，二是喜欢大众化拉人下水.....所以倾向于重点防御（个人定位规则只是杀毒辅助，除了天天下样本的测试党，正常人遇到的会少很多，不被杀毒干掉的也极少，规则只是预防万一）