查看: 6041|回复: 17
收起左侧

[求助] 这样设置规则可以吗?

[复制链接]
墨家小子
发表于 2015-11-26 18:14:10 | 显示全部楼层 |阅读模式
本帖最后由 墨家小子 于 2015-11-26 18:17 编辑

禁运大法好 好 好!

默认规则统统关闭(除了禁止加入启动项、服务项),关闭,关闭!

除了Program Files (x86)、Program Files、Windows和自己设定的文件夹、文件可以运行外,别的一概禁止运行,然后禁止调用IE、禁止加入启动项、服务项,禁止、禁止、禁止!

浓缩成默认两条规则,自定义两条规则,凑够一桌麻将

这样安全不?能进桌面不?
综合症初期患者
发表于 2015-11-26 20:49:52 | 显示全部楼层
除了Program Files (x86)、Program Files、Windows和自己设定的文件夹、文件可以运行外,别的一概禁止运行


一大堆Anti-EXE都是这么干的。AppGuard,Bouncer,EXE Radar Pro,SmartObjectBlocker,Voodoo Shield(这个有点不太确定,因为有个初始化扫描),族繁不及备载

然后禁止调用IE


SmartObjectBlocker默认规则,无问题

浓缩成默认两条规则,自定义两条规则


基本上全部可以使用默认规则实现,请熟读墨池文献

这样安全不


安全,但是不够安全

你还要考虑:

1. Dll注入(这个VSE似乎无解)
2. 恶意文件例如漏洞写入Program Files文件夹从而绕过禁运(还是可以利用默认规则控制写入权限)
3. 脚本。这个才是让VSE编写规则时最头大的东西。首先,这个和DLL注入的情况不一样。因为DLL注入是VSE防不了的,所以你其实可以不用管他。但是脚本是可以通过对interpreter建立规则来防读来实现。所以你不能不管它。其次,这个不能通过简单粗暴的禁止执行来实现。因为interpreter其实是在读脚本,而不是执行脚本。问题是由于自定义规则的限制,你每条自定义规则只能针对一种脚本文件的扩展名。这才是蛋疼的地方。

具体详见:http://bbs.kafan.cn/thread-1851320-1-1.html

评分

参与人数 2人气 +2 收起 理由
墨家小子 + 1 感谢解答: )
qftest + 1 版区有你更性感: )

查看全部评分

qftest
发表于 2015-11-26 22:01:28 | 显示全部楼层
综合症初期患者 发表于 2015-11-26 20:49
一大堆Anti-EXE都是这么干的。AppGuard,Bouncer,EXE Radar Pro,SmartObjectBlocker,Voodoo Shield ...

说得很好,也有深度,可以看出层主对此也是深有体会了
我以前做试验时曾遇到过样本利用com接口调用svchost.exe突破防写规则的情况,另外也赞同层主对脚本的理解,因此我是用CFW来处理这两个方面的问题,目前来看效果不错
墨家小子
 楼主| 发表于 2015-11-27 09:17:13 | 显示全部楼层
综合症初期患者 发表于 2015-11-26 20:49
一大堆Anti-EXE都是这么干的。AppGuard,Bouncer,EXE Radar Pro,SmartObjectBlocker,Voodoo Shield ...

求一个SmartObjectBlocker的教程,始终能不明白SOB怎么设置的
墨家小子
 楼主| 发表于 2015-11-27 09:19:36 | 显示全部楼层
综合症初期患者 发表于 2015-11-26 20:49
一大堆Anti-EXE都是这么干的。AppGuard,Bouncer,EXE Radar Pro,SmartObjectBlocker,Voodoo Shield ...

分别回复
1. Dll注入(这个VSE似乎无解) -- 有没有样本验证看看
2. 恶意文件例如漏洞写入Program Files文件夹从而绕过禁运(还是可以利用默认规则控制写入权限) -- 这个是如何实现的?
3. 脚本。这个才是让VSE编写规则时最头大的东西。首先,这个和DLL注入的情况不一样。因为DLL注入是VSE防不了的,所以你其实可以不用管他。但是脚本是可以通过对interpreter建立规则来防读来实现。所以你不能不管它。其次,这个不能通过简单粗暴的禁止执行来实现。因为interpreter其实是在读脚本,而不是执行脚本。问题是由于自定义规则的限制,你每条自定义规则只能针对一种脚本文件的扩展名。这才是蛋疼的地方。-- 求楼主的自定义规则,可以不?
YSJ
发表于 2015-11-27 11:03:25 | 显示全部楼层
进来看大神们的玩法
sanhu35
发表于 2015-11-27 12:32:51 | 显示全部楼层
纯对安全的在意的   直接用杀毒+主防的组合完全够用了。

测试病毒的话方法太多,基本是沙盘、虚拟机、HIPS 等。

正常用不推荐禁运法
墨家小子
 楼主| 发表于 2015-11-27 12:37:10 | 显示全部楼层
sanhu35 发表于 2015-11-27 12:32
纯对安全的在意的   直接用杀毒+主防的组合完全够用了。

测试病毒的话方法太多,基本是沙盘、虚拟机、HI ...

杀毒+住房,以前新鲜样本超多的时候,都被过成筛子了,感觉不是那么喜欢折腾的话还是禁运比较适合大众
sanhu35
发表于 2015-11-27 15:13:09 | 显示全部楼层
墨家小子 发表于 2015-11-27 12:37
杀毒+住房,以前新鲜样本超多的时候,都被过成筛子了,感觉不是那么喜欢折腾的话还是禁运比较适合大众


喜欢折腾不是禁运,而是允许。
综合症初期患者
发表于 2015-11-27 16:57:53 | 显示全部楼层
求一个SmartObjectBlocker的教程,始终能不明白SOB怎么设置的


Andreas以前曾经说要搞一个SOB的设置教程专贴,但是好像始终没有搞出来
你看他现在要在搞新玩具了,所以短时间内不会有啥官方的教程了

不过这东西也没啥难学的,我记得你用过EXE Radar Pro(ERP)吧?把SOB当作更强大(存疑)但是更难用的ERP就好了
个人强烈建议去读一下wilderssecurity上的这个帖子,http://www.wilderssecurity.com/t ... dll-drivers.378369/
一共才10页,比很多帖子动不动一千多页好多了

与Bouncer类似,SOB也是使用配置文件设置规则
规则设置好以后不需要重启系统就可以生效

类似于其他的Anti-EXE,SOB有两种模式,Lockdown模式和Behavioral模式,默认是Behavioral模式

在Behavioral模式下,你需要修改Block文件夹下的三个配置文件,从而分别针对可执行文件(进程)、DLL以及驱动写禁止类规则

然后,修改Exclusion文件夹下的三个配置文件进行排除

举个栗子,假如D:\test\下有100个可执行文件,文件名分别是a1.exe, a2.exe, ..., a10.exe, b1.exe, ..., b10.exe, ......, j1.exe, ..., j10.exe 。

你想要禁运除了a1.exe, a2.exe, ..., a10.exe之外的90个exe,怎么写规则呢?

很简单,在Block/Process.DB里面加一行:[%FILEPATH%: D:\test\]

然后在Exclusion/Process.DB里面加一行:[%FILE%: D:\test\a*]

Done!

又比方说你想屏蔽所有Qihoo公司签名的可执行文件,那么就在Block/Process.DB里加一行:[%FILESINGER%: Qihoo 360 Software (Beijing) Company Limited]

注意同一行里面可以设置多个匹配条件,比方说[%FILENAME%: installer.exe][%FILESINGER%: Qihoo 360 Software (Beijing) Company Limited]会匹配Qihoo公司签名的所有的installer.exe

很简单不是吗?还有其他很多很多的匹配方式,像SHA256之类的,你可以自己探索

Lockdown模式稍微复杂一点

所有的东西,包括进程,DLL和驱动都会被默认屏蔽(当然,比SOB自己的驱动加载的更早的驱动没法子屏蔽。但是SOB自己的驱动是加载得很早的。)

然后修改Allow文件夹下的配置文件进行允许

最后修改Exclusion文件夹下的配置文件进行排除。注意被排除的文件其实就是被禁止了

还有问题的话可以PM我,我们可以再讨论

我这里访问卡饭有点问题,别人给我回帖我是看不到通知的

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 版区有你更精彩: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 16:47 , Processed in 0.137509 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表