求一个SmartObjectBlocker的教程,始终能不明白SOB怎么设置的
Andreas以前曾经说要搞一个SOB的设置教程专贴,但是好像始终没有搞出来
你看他现在要在搞新玩具了 ,所以短时间内不会有啥官方的教程了
不过这东西也没啥难学的,我记得你用过EXE Radar Pro(ERP)吧?把SOB当作更强大(存疑)但是更难用的ERP就好了
个人强烈建议去读一下wilderssecurity上的这个帖子,http://www.wilderssecurity.com/t ... dll-drivers.378369/
一共才10页,比很多帖子动不动一千多页好多了
与Bouncer类似,SOB也是使用配置文件设置规则
规则设置好以后不需要重启系统就可以生效
类似于其他的Anti-EXE,SOB有两种模式,Lockdown模式和Behavioral模式,默认是Behavioral模式
在Behavioral模式下,你需要修改Block文件夹下的三个配置文件,从而分别针对可执行文件(进程)、DLL以及驱动写禁止类规则
然后,修改Exclusion文件夹下的三个配置文件进行排除
举个栗子,假如D:\test\下有100个可执行文件,文件名分别是a1.exe, a2.exe, ..., a10.exe, b1.exe, ..., b10.exe, ......, j1.exe, ..., j10.exe 。
你想要禁运除了a1.exe, a2.exe, ..., a10.exe之外的90个exe,怎么写规则呢?
很简单,在Block/Process.DB里面加一行:[%FILEPATH%: D:\test\]
然后在Exclusion/Process.DB里面加一行:[%FILE%: D:\test\a*]
Done!
又比方说你想屏蔽所有Qihoo公司签名的可执行文件,那么就在Block/Process.DB里加一行:[%FILESINGER%: Qihoo 360 Software (Beijing) Company Limited]
注意同一行里面可以设置多个匹配条件,比方说[%FILENAME%: installer.exe][%FILESINGER%: Qihoo 360 Software (Beijing) Company Limited]会匹配Qihoo公司签名的所有的installer.exe
很简单不是吗?还有其他很多很多的匹配方式,像SHA256之类的,你可以自己探索
Lockdown模式稍微复杂一点
所有的东西,包括进程,DLL和驱动都会被默认屏蔽(当然,比SOB自己的驱动加载的更早的驱动没法子屏蔽。但是SOB自己的驱动是加载得很早的。)
然后修改Allow文件夹下的配置文件进行允许
最后修改Exclusion文件夹下的配置文件进行排除。注意被排除的文件其实就是被禁止了
还有问题的话可以PM我,我们可以再讨论
我这里访问卡饭有点问题,别人给我回帖我是看不到通知的
|
发表于 2015-11-26 18:14:10
楼主
