查看: 3966|回复: 4
收起左侧

[讨论] 关于简单规则

[复制链接]
柯林
发表于 2016-1-1 20:10:42 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2016-1-1 20:13 编辑

不论新手或老鸟,其实都喜欢简单的东西,规则也一样。
简单的规则,数量少,效果不错,效率高,没人会不喜欢。
那么,简单规则,都有那些方案选择呢?一般也就两种:利用咖啡自带;自定义。

利用咖啡自带,以往的前辈们已经讨论得很透彻:最简单,也是最有效的,是修改三条自带规则——
1、防病毒标准保护--禁止远程创建/修改可执行文件和配置文件
2、防病毒爆发控制--将所有共享项设为只读
3、防病毒爆发控制--阻止对所有共享资源的读写访问
把以上三条规则,包含的进程,由默认的system:remote改成*或者*.*,然后加以排除,就能取得很好的防御效果。在排除名单选择上,有两种方法,一种是信任区排除法(直接写排除C:\Windows\**,C:\Program Files\**,C:\Program Files (x86)\**之类),这种方法适应面广,属于通用规则系列,缺点是不能防流氓(严格说,通配符路径排除法,属于一放全放,约束力不怎么强);另一种是精确排除法,无论是系统路径还是用户程序路径一一使用绝对路径进行排除,优点当然是约束力强,缺点是名单敲定太费力,排除是个力气活,没耐心的人会崩溃。
这种借用咖啡自带规则进行修改增强的方法,对于非信任区和不明程序具有很强的防御作用,可以说三条规则就把包括防U盘病毒在内的方面全包括了,但是缺点也是有的——并没有想象中那么强悍!不管是通配符路径,还是精确程序名单排除,对于排除者都没有约束力,属于“我信任,你随意“的”白名单不管“法,譬如,浏览器排除,意味着浏览器可以下载、创建exe之类的可执行文件到windows目录里;windows目录排除或者脚本解释执行器排除,下个恶意脚本点击后就死的难看了……缺点总是有的,想要完善,需要进一步过滤(后续规则跟上)

另外一种方案,就是自定义了——并非全部的自定义,而是在启用一定的自带规则后,加上一些自定义规则进行补充完善,以便组成一个相对”完善“的过滤网。这个,依据个人喜好、脾气的不同,可发挥的东西就太多了,欢迎不同秉性的朋友交流心得。

---------------------------------------------

无论是用哪种方法或者说无论什么方法,大家想要获得的效果,无非也就是——有效,不要漏,最好简单一点。

本帖属于”白水煮咖啡,新年扯淡贴“。欢迎占楼、顶楼、踢楼 新年快乐,Everyone!
allen6683
发表于 2016-1-1 20:56:13 | 显示全部楼层
本帖最后由 allen6683 于 2016-1-1 21:24 编辑

怎么防捆绑软件自动安装的,最近下载了2个软件...安装都捆绑了软件和修改主页...
在虚拟机上下了小马KMS10.结果修改了主页 sc.711721.com指向了搜狗主页,还有多了什么360,baidu等等文件夹
在实机上.之前用SEP,中了,SEP没反应,.现在换VSE默认设置和PF防火墙,又下了一个软件,本来用沙盘开,开不了.在实机上打开,PF弹出来烦,就开了学习模式,结果给安装上了腾讯管家和主页变搜狗的....
现在给VSE勾上了 禁止在 Program Files 文件夹中创建新的可执行文件,保护 Internet Explorer 设置
不知道会好点不
柯林
 楼主| 发表于 2016-1-1 22:21:03 | 显示全部楼层
本帖最后由 柯林 于 2016-1-1 22:22 编辑
allen6683 发表于 2016-1-1 20:56
怎么防捆绑软件自动安装的,最近下载了2个软件...安装都捆绑了软件和修改主页...
在虚拟机上下了小马KMS10. ...


防安装捆绑,有点罗嗦,一般从根源上防止——官网下载没捆绑的安装源是最好的,通常较为好一些的防入口规则,是在使用过程中,防止偷偷安装上。要在安装时防止捆绑,可行的方法,大约有这些:
1、做针对性规则,对于流行的“流氓”,禁止安装。这种方法的缺点,显然就是,你不可能为了防流氓,建立一大堆规则(据说火绒有人做了上千条防流氓反广告的规则,必要性要打个问号),只能对较为流行的“全家桶”,给予限制。
2、欺骗性过滤。如果常用的必要软件已经安装完毕,一般软件,建议安装时候选择自定义路径,安装到非系统盘,这样,在开启默认自带的“禁止在programfiles里创建可执行文件”的规则时,执行安装,捆绑的流氓一般会照默认设置安装到C:\Program Files里而被阻止。
3、如果安装程序所捆绑的东西是个在线安装器,做个端口规则禁止它联网,它也就安装不上了。
4、最后的收拾手段,就是“秋后算账”——中了流氓不生气,不着急,麦咖啡“有害程序策略”里,把流氓程序所有文件添加自定义,咖啡立马就帮你扫除了,以后再遇到此类捆绑,立马当作垃圾扫除。

日常使用下的入口防御,控制exe的创建改写即可有效防止流氓,如果要更全面,再加个防止dll的创建规则(只是排除上麻烦一些)。

ps:保护IE首页,一般你把默认规则“防间谍程序标准保护”里的保护IE设置的规则开起来就好了
ljyang5230
发表于 2016-1-6 13:21:30 | 显示全部楼层
本帖最后由 ljyang5230 于 2016-1-6 13:25 编辑

“由默认的system:remote改成*或者*.*,然后加以排除,就能取得很好的防御效果。在排除名单选择上,有两种方法,一种是信任区排除法(直接写排除C:\Windows\**,C:\Program Files\**,C:\Program Files (x86)\**之类)”
最近才换上win7_32位(纯净版),但mcafee8.8P5通配符*排除无效,不知是不是个案?只好用上P6就可以了
qpzmggg999
发表于 2016-1-7 07:13:24 | 显示全部楼层
allen6683 发表于 2016-1-1 20:56
怎么防捆绑软件自动安装的,最近下载了2个软件...安装都捆绑了软件和修改主页...
在虚拟机上下了小马KMS10. ...

陌生软件先丢入流氓控制文件夹里跑
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 16:17 , Processed in 0.122066 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表