普通人适合的防御方式

柯林

任何软件，都有初、中、高级的用家。对于刚入门的初级用家来说，个人观点，还是简单入口防御比较合适，理由如下：
首先是简单。围绕入口防御，规则简单设置几条，封住exe的非法下载，禁止temp文件夹的文件执行，守住windows目录的程序安装，加上端口访问控制联网，再加上脚本禁运，防U盘的规则，基本上就能达到“御敌于国门之外的目的”，病毒很难进来了。由于规则少，针对性强，排除很少乃至于不用排除，安装软件也可以很从容地关闭必要的规则，保留默认。
其次是效果还行。病毒防御说到底，只是与两类病毒做斗争而已，一类是已知，一类是未知。已知病毒，VSE自身的杀毒监控会干掉；未知病毒，用入口防御规则封住，让它进入不了本机。二者结合，基本的防毒问题不在话下。对于大多数人来说，真正遇到的病毒，已知多于未知，每年防住那么冷不丁地几下，就够了。
综合而言，简单入口防御，由于简单、有效、排除少，“少花精力办大事”，很适合初级用家。其实对于初级用家来说，最应该有的态度是取个理性平衡，不要在极端选择间摇摆——要么就否定适当自定义，鼓吹默认就够；要么就否定初级设置，鼓吹极端复杂的规则；应该在默认基础上适当而又必要地增强，简单有效的增强即可（万年不变的题外话，即时备份重要资料，加密存放私人资料，紧要，重要，必要！！！）

反观，超级复杂严密性的后期防御规则，为什么不适合初级用家？因为双击之后的防御太复杂，本质上，是用家在进行人工甄别判断与防御。因为不知道它是毒还是正常程序，因为VSE没有报（报了就简单了，直接删除就完事），只能当作不明程序，归入非信任区程序进行处理。如果它只是有些FD或RD动作，用规则防御起来可能也不难（实际上也够复杂，需要对FD入口，注册表几乎全部，进行封堵），涉及到AD方面，就比较麻烦，VSE本身不包括HIPS组件，像钩子、屏幕、键盘、内存、底层磁盘之类的动作，直接防御是没法防的，只能变相防御，比如禁止加驱，禁止读取或加载指定区域外的dll之类，为了防止信任程序被注入，还需要使用“禁止svchost执行非windows程序”之类的规则……诸如此类，最终，需要结合日志进行判断：这究竟是一个病毒，还是一个正常程序，还是一个包含有很多不规矩动作的正常程序？这样的要求，对于初级用家，几乎难以胜任，只适合中高级用家进行折腾。关键是，这样一套规则，究竟有无漏洞，怎样完善能够封印所有病毒？需要大量测试和修改，最终才能真正胜任“金刚不坏”的职能。
综其所见，双击防御型规则，太复杂，太高端，不适合初级用家，一旦规则有漏洞，双击后就悲剧了，而过于严厉，起步就秒杀，样本的重要行为都没有看到，实际上也没多大意义，无法对程序合法性的判断提供有力依据。对于大部分普通人或者说是VSE的初级用家而言，VSE只是个防毒工具，不是HIPS产品，不适合玩双击测试，追求“双击也不怕”的规则，基本上是个十分艰巨的任务。

怎么玩，怎么用，主动权始终在自己，无论别人说什么，都只是参考。以上所言，仅是个人的一己之见，对此有兴趣的麦粉，欢迎讨论和交流自己的看法。本帖所述，只是希望大家用VSE用得开心，用得顺手，用得喜欢。

==================================
新年快乐！每一位朋友！

qpzmggg999

入口防御带来的就是麻烦 新手一般还是敬而远之

sunnyjianna

我就会全默认

曾经的回忆

新年快乐，防住就行

柯林

曾经的回忆 发表于 2016-1-1 19:53
新年快乐，防住就行

新年快乐！是啊，防御的最终目的——防住，不管用什么方法，防住就好。

只是从思辨上看，以前的有些讨论，不够严谨。比如对白加黑、鬼影之类的防御讨论，一般以禁止创建、执行dll之类的规则作为有效手段，实际上是不是这样？很难说。如果病毒自己打包成一个单exe文件，不搞释放dll的动作，那不是就抓瞎？其次，从流程上来说，因为你拿到样本已经知道它是病毒了，放在非信任区运行，靠“严厉限制乃至秒杀非信任区程序”的做法进行防御，这个多少有些“作弊”的嫌疑，换一个严肃而又现实的问题，你拿到一个病毒，并不知道它是一个病毒，以为它是一个可用程序，咖啡查毒模块扫一遍，没有问题，用其他杀软扫扫，是个新变种，没入库，也没有报，这个时候，你怎么办？丢进非信任区，运行不起来；加白，可能就倒了！这种真实情况下，如何实现“完美”防御，不容易。当然，此处假设的情况，属于万分之一的几率问题，现实性上可以忽略，只是对于防御探讨有思考意义。

AD上没有准确的拦截点，靠FD来补AD的不足，其实并不完美，总是有缺陷乃至隐患的，变相防御总归属于“曲线救国”。当然，中不中毒，很大程度上是个人品问题，不是技术问题，实际效果最终怎么样，并不能作为好坏判断的的充分证据，分析探讨贴往往只具有分析交流的意义，不关实际效果。

ly910326

似乎2015下半年，pc互联网很太平，随着PC数量的减少，手机数量的增加，病毒也是逐利的，都去手机互联网了。

柯林

ly910326 发表于 2016-1-2 12:07
似乎2015下半年，pc互联网很太平，随着PC数量的减少，手机数量的增加，病毒也是逐利的，都去手机互联网了。

暴风雨前的平静吧，表面上比较猖獗的是勒索加密，背地里正酝酿的威胁不知道，2015年，多事之秋，很多网站泄漏数据啊
http://www.360doc.com/content/15/1227/17/20041187_523486971.shtml

Snow5211

对于 我这样一个小白来说，，mes  里面的东西对我来说就是天书啊。。咋办？