关于简单规则

显示全部楼层 · 发表于 2016-1-1 20:10:42

本帖最后由柯林于 2016-1-1 20:13 编辑

不论新手或老鸟，其实都喜欢简单的东西，规则也一样。
简单的规则，数量少，效果不错，效率高，没人会不喜欢。
那么，简单规则，都有那些方案选择呢？一般也就两种：利用咖啡自带；自定义。

利用咖啡自带，以往的前辈们已经讨论得很透彻：最简单，也是最有效的，是修改三条自带规则——
1、防病毒标准保护--禁止远程创建/修改可执行文件和配置文件
2、防病毒爆发控制--将所有共享项设为只读
3、防病毒爆发控制--阻止对所有共享资源的读写访问
把以上三条规则，包含的进程，由默认的system:remote改成*或者*.*，然后加以排除，就能取得很好的防御效果。在排除名单选择上，有两种方法，一种是信任区排除法（直接写排除C:\Windows\**,C:\Program Files\**,C:\Program Files (x86)\**之类），这种方法适应面广，属于通用规则系列，缺点是不能防流氓（严格说，通配符路径排除法，属于一放全放，约束力不怎么强）；另一种是精确排除法，无论是系统路径还是用户程序路径一一使用绝对路径进行排除，优点当然是约束力强，缺点是名单敲定太费力，排除是个力气活，没耐心的人会崩溃。
这种借用咖啡自带规则进行修改增强的方法，对于非信任区和不明程序具有很强的防御作用，可以说三条规则就把包括防U盘病毒在内的方面全包括了，但是缺点也是有的——并没有想象中那么强悍！不管是通配符路径，还是精确程序名单排除，对于排除者都没有约束力，属于“我信任，你随意“的”白名单不管“法，譬如，浏览器排除，意味着浏览器可以下载、创建exe之类的可执行文件到windows目录里；windows目录排除或者脚本解释执行器排除，下个恶意脚本点击后就死的难看了……缺点总是有的，想要完善，需要进一步过滤（后续规则跟上）

另外一种方案，就是自定义了——并非全部的自定义，而是在启用一定的自带规则后，加上一些自定义规则进行补充完善，以便组成一个相对”完善“的过滤网。这个，依据个人喜好、脾气的不同，可发挥的东西就太多了，欢迎不同秉性的朋友交流心得。

---------------------------------------------

无论是用哪种方法或者说无论什么方法，大家想要获得的效果，无非也就是——有效，不要漏，最好简单一点。

本帖属于”白水煮咖啡，新年扯淡贴“。欢迎占楼、顶楼、踢楼

新年快乐，Everyone！

显示全部楼层 · 发表于 2016-1-1 20:56:13

本帖最后由 allen6683 于 2016-1-1 21:24 编辑

怎么防捆绑软件自动安装的,最近下载了2个软件...安装都捆绑了软件和修改主页...
在虚拟机上下了小马KMS10.结果修改了主页 sc.711721.com指向了搜狗主页,还有多了什么360,baidu等等文件夹
在实机上.之前用SEP,中了,SEP没反应,.现在换VSE默认设置和PF防火墙,又下了一个软件,本来用沙盘开,开不了.在实机上打开,PF弹出来烦,就开了学习模式,结果给安装上了腾讯管家和主页变搜狗的....

现在给VSE勾上了禁止在 Program Files 文件夹中创建新的可执行文件,保护 Internet Explorer 设置
不知道会好点不

显示全部楼层 · 发表于 2016-1-1 22:21:03

本帖最后由柯林于 2016-1-1 22:22 编辑

allen6683 发表于 2016-1-1 20:56
怎么防捆绑软件自动安装的,最近下载了2个软件...安装都捆绑了软件和修改主页...
在虚拟机上下了小马KMS10. ...

防安装捆绑，有点罗嗦，一般从根源上防止——官网下载没捆绑的安装源是最好的，通常较为好一些的防入口规则，是在使用过程中，防止偷偷安装上。要在安装时防止捆绑，可行的方法，大约有这些：
1、做针对性规则，对于流行的“流氓”，禁止安装。这种方法的缺点，显然就是，你不可能为了防流氓，建立一大堆规则（据说火绒有人做了上千条防流氓反广告的规则，必要性要打个问号），只能对较为流行的“全家桶”，给予限制。
2、欺骗性过滤。如果常用的必要软件已经安装完毕，一般软件，建议安装时候选择自定义路径，安装到非系统盘，这样，在开启默认自带的“禁止在programfiles里创建可执行文件”的规则时，执行安装，捆绑的流氓一般会照默认设置安装到C:\Program Files里而被阻止。
3、如果安装程序所捆绑的东西是个在线安装器，做个端口规则禁止它联网，它也就安装不上了。
4、最后的收拾手段，就是“秋后算账”——中了流氓不生气，不着急，麦咖啡“有害程序策略”里，把流氓程序所有文件添加自定义，咖啡立马就帮你扫除了，以后再遇到此类捆绑，立马当作垃圾扫除。

日常使用下的入口防御，控制exe的创建改写即可有效防止流氓，如果要更全面，再加个防止dll的创建规则（只是排除上麻烦一些）。

ps：保护IE首页，一般你把默认规则“防间谍程序标准保护”里的保护IE设置的规则开起来就好了

显示全部楼层 · 发表于 2016-1-6 13:21:30

本帖最后由 ljyang5230 于 2016-1-6 13:25 编辑

“由默认的system:remote改成*或者*.*，然后加以排除，就能取得很好的防御效果。在排除名单选择上，有两种方法，一种是信任区排除法（直接写排除C:\Windows\**,C:\Program Files\**,C:\Program Files (x86)\**之类）”
最近才换上win7_32位(纯净版)，但mcafee8.8P5通配符*排除无效，不知是不是个案？只好用上P6就可以了

显示全部楼层 · 发表于 2016-1-7 07:13:24

allen6683 发表于 2016-1-1 20:56
怎么防捆绑软件自动安装的,最近下载了2个软件...安装都捆绑了软件和修改主页...
在虚拟机上下了小马KMS10. ...

陌生软件先丢入流氓控制文件夹里跑

[讨论] 关于简单规则