实例看简单入口防御规则的效用

显示全部楼层 · 发表于 2016-1-2 18:56:06

本帖最后由柯林于 2016-1-2 18:58 编辑

简单入口防御规则，虽然简单，而作用不容忽视，譬如最常见的三条规则
1、禁运TEMP文件夹（咖啡自带）
2、禁止创建修改exe （自定义）【要是再加一条禁止创建dll的规则就更赞了】
3、禁止非法联网（自定义端口规则）

对于实际应用中常见的木马、网络攻击，效果可见的（参考下面两篇帖子所说的攻击行为）：
http://bbs.kafan.cn/thread-1873493-1-1.html
http://bbs.kafan.cn/thread-1873269-1-1.html

--------------------------------------------

实例启示我们：别说规则费事和麻烦了，默认规则上简单有效地弄两下，防御力那是嗖嗖提高了一大截啊！不需要多复杂，简单有效地弄一下，效果超赞的。

显示全部楼层 · 发表于 2016-1-2 19:19:00

2、禁止创建修改exe
3、禁止非法联网
你一般排除什么？

显示全部楼层 · 发表于 2016-1-2 20:12:57

本帖最后由柯林于 2016-1-2 20:15 编辑

qpzmggg999 发表于 2016-1-2 19:19
2、禁止创建修改exe
3、禁止非法联网
你一般排除什么？

个人安装软件有限，目前连QQ都没有装，一般就是浏览器、下载工具之类，排除名单较为单纯
exe的排除名单：C:\Windows\bfsvc.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\sys*\Macromed\Flash\FlashPlayerUpdateService.exe, C:\Windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\drvinst.exe, C:\Windows\system32\LogonUI.exe, C:\windows\system32\MRT.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, FrameworkService.exe, HOTFIXINSTALLER.EXE, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, \??\C:\Windows\system32\winlogon.exe 【 HOTFIXINSTALLER.EXE这个是微软个别补丁时的东东，可以删掉的】

禁止上网的排除名单：chrome.exe, FLASHPLAYERUPDATESERVICE.EXE, FLUX.EXE, GOOGLEPINYINDAEMON.EXE, IEXPLORE.EXE, KGSERVICE.EXE, KUGOU.EXE, MCDATREP.EXE, MCSCRIPT_INUSE.EXE, svchost.exe, THUNDER.EXE, THUNDERPLATFORM.EXE

目前就这样

显示全部楼层 · 发表于 2016-1-2 20:42:17

柯林发表于 2016-1-2 20:12
个人安装软件有限，目前连QQ都没有装，一般就是浏览器、下载工具之类，排除名单较为单纯
exe的排除名 ...

这样装新的软件就悲剧了啊

显示全部楼层 · 发表于 2016-1-2 22:11:57

本帖最后由柯林于 2016-1-2 22:31 编辑

qpzmggg999 发表于 2016-1-2 20:42
这样装新的软件就悲剧了啊

是的，这个就是“开着规则装不了软件”，只可以下载系统更新文件。

安全与易用没法子两全，以前我发过开着规则可以安装软件与系统更新的，较真一下，安全性其实还是差，最起码，Temp允许执行文件，就是一大隐患了。为安全，只有牺牲一定的易用性了，反正也没人天天安装软件，需要安装的时候，把这几条（3-4条）妨害安装的规则停用即可。

------------------------------------------------------
要“一定的安全性又易用的通用规则”，可能也是存在的，你试验了看看，比如这类思路：
把系统自带的三条筛选信任区规则开启——“防病毒标准保护-禁止远程创建/修改可执行文件和配置文件” “防病毒爆发控制的那两条”，改为包含* 排除system,C:\Program Files (x86)\**,C:\Program Files\**,C:\Windows\**以及Temp目录和安装程序包目录；这个作为第一道过滤

然后自定义exe与dll的文件创建规则，作为第二道过滤；自带的保护windows目录与programfiles目录的程序文件规则作为第三道过滤，层层把关吧

要允许程序安装，只有不封堵Temp文件夹，补漏措施，开启默认的禁止temp文件夹执行脚本，禁止公用程序从temp文件夹执行文件，再考虑限制下批处理及脚本宿主程序的规则，一般差不多了吧

像这样弄弄，应该也可以实现——通用易用规则：开着规则正常使用又能防毒

显示全部楼层 · 发表于 2016-1-3 00:10:07

本帖最后由 qpzmggg999 于 2016-1-3 00:18 编辑

柯林发表于 2016-1-2 22:11
是的，这个就是“开着规则装不了软件”，只可以下载系统更新文件。

安全与易用没法子两全，以前我发 ...

你觉得vse和组策略能配合使用吗

在基本上，我的防御理念就是拦截系统重要入口处（Windows文件夹，Program Files文件夹以及 Users文件夹）

因为据我的观察，国内的大多数病毒攻击Temp的不多，或者说在国内环境下死守Temp不是什么性价比的选择。

相反，要多留意users下面的 desktop download和document 三个文件夹。

另外解释一下为什么不推荐控制临时文件夹吧，拦截病毒的重要目的就是抓住病毒的特殊性，而大多数软件都会往temp里写东西。
所以抓住了病毒作为应用程序的普遍性而没有筛选出病毒作为应用程序的特殊性必然会带来很多麻烦。

显示全部楼层 · 发表于 2016-1-3 00:55:13

qpzmggg999 发表于 2016-1-3 00:10
你觉得vse和组策略能配合使用吗

在基本上，我的防御理念就是拦截系统重要入口处（Windows文件夹，Prog ...

是我用词不清，我说的控制temp文件夹，指的是禁运，不是指控制这个目录里的文件写入

VSE个人觉得可以结合组策略使用，我现在使用的9条简单规则，就是把com、pif、vxd、vbs、vbe、jse、cmd这些格式，用组策略做了禁运，VSE规则里只控制exe和bat的创建（dll和sys的控制有无别要持保留意见）

个人很少玩毒，对于流行病毒是否喜欢光顾 “桌面、下载”这些文件夹，不大清楚，我的防毒理念是控制exe这个主体的源头文件，加上temp文件夹的禁运，基本上能解决入口问题，至于脚本之类，已经交由组策略防御

再讨论下你说的病毒攻击temp问题，一般常见的资料，IE下载，会在temp里首先生成；邮件附件之类打开时是不是也先生成于temp里暂不清楚；很多有攻击性的行为，都会往temp里生成可执行文件（不管是exe、dll还是sys神马的），先在那里面执行，禁运或者控制住这个文件夹里的文件生成，对防毒是有效果的，好像不借用temp就直接往系统或program files里灌的东西还真不多

个人实际测毒玩得少，缺乏实战经验的总结，究竟当下流行病毒典型行为有哪些，了解不够，以上回答凭旧经验，可能不够严谨和准确。欢迎继续交流，相互促进

显示全部楼层 · 发表于 2016-1-3 08:29:55

柯林发表于 2016-1-3 00:55
是我用词不清，我说的控制temp文件夹，指的是禁运，不是指控制这个目录里的文件写入

VSE个人觉得可以 ...

的确是浏览器里下载的东西一般会先放置在temp文件夹内，但是下载的最终目的地还是指定的下载文件夹，在此期间temp文件夹内的数据是没办法运行或者是被读取的，除非网页挂马进行temp文件夹攻击。然而这种情况在中国挺罕见的。
另外像网络游戏的远程控制木马，都是直接从桌面往system灌的，也许我玩病毒比较有针对性，像国内碰不到的病毒我都不会管。。
实际上VSE真的缺少一个行为跟踪器这是硬伤就看reporter以后整合到VSE里面给不给力了

显示全部楼层 · 发表于 2016-1-3 11:05:31

本帖最后由柯林于 2016-1-3 11:23 编辑

qpzmggg999 发表于 2016-1-3 08:29
的确是浏览器里下载的东西一般会先放置在temp文件夹内，但是下载的最终目的地还是指定的下载文件夹，在此 ...

你喜欢玩毒，这个你比较有发言权。我机子用来做事，只有一台，不想作为试毒机，所以几乎不玩毒。你玩毒的话，建议总结一下常见病毒的典型行为，供麦粉们参考。

客观地说，规则到底有多大作用？实际上可能并没有想象中那么大。规则毕竟只是用来防御未知病毒，一般人遇到的未知病毒会占多大比率，可能10%都不到，大多数的病毒都能被特征库和云杀掉，所以一些用默认规则的人，其实也是安全的。规则的另一个作用，就是防御咖啡不入库的流氓。当然，每个人都想追求“密不透风”，希望把中毒风险降低到零，所以规则总是有用的。

你说的病毒从桌面之类启动，可能是跟很多人喜欢把文件存放在桌面的习惯有关吧。Temp文件夹，个人印象中，有些木马或者病毒是在里面运行的，另外程序安装也需要依赖它，监控它应该会发现一些蛛丝马迹，至于你说病毒直接下载到桌面执行，这个我了解的少，不封印temp会加强通用性是有利通用规则的。

作为入口防御来看，个人意见，像以往叶知他们倡导的，封堵exe与dll的创建，基本上“后续问题”都不存在了。当然还有其他一些格式，比如scr、vbs、bat什么的。控制住文件创建，VSE的防御差不多就成功了。没有行为跟踪检测，的确是咖啡的硬伤。据说当初英特尔收购麦咖啡，是想要做硬件防毒，个人还以为要出防毒芯片或者是集成在cpu什么的，现在也不见动静。

显示全部楼层 · 发表于 2016-1-3 11:31:14

qpzmggg999 发表于 2016-1-3 08:29
的确是浏览器里下载的东西一般会先放置在temp文件夹内，但是下载的最终目的地还是指定的下载文件夹，在此 ...

希望你抽时间推出一个通用规则，实现易用与安全这个很多人想追求的目标。我不玩毒，以往的那些个没信心，现在就用点简单入口防御的，虽然麻烦一点，也不通用，总算安全可靠。你玩毒，有实际经验基础，希望出一个。

[其他相关] 实例看简单入口防御规则的效用

评分