查看: 24702|回复: 35
收起左侧

[讨论] 麦咖啡VSE如何对付加密勒索及各种未知病毒?

  [复制链接]
柯林
发表于 2016-3-5 01:04:15 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2016-3-5 14:39 编辑

已知病毒,不用废话,杀毒及云直接干掉了。未知病毒(包括勒索加密)呢?
其实,有强大的FD封入口,它就根本不是个事。具体做法就入口封杀——读写文件、启动时就干掉。
*************************************************************************
首先,应该明白一点,不管怎么弄,最终防住或“防住”了病毒,对于计算机使用者来说,就等于成功,无须介意什么精确拦截。
例如,人家用邮件发个加密勒索的马儿给你,你不知道,下载了包含马儿的附件,好奇地点击了,结果,啥事也没有,还管它啥呢?

*************************************************************************
第一招:封联网。基本上是个马儿都要联网,封住联网,很多危害性的东东也就没了。
所以VSE,自定义端口规则,禁止**出站访问目标端口0-65535,放行允许联网的程序,就ok了

**************************************************************************
第二招:FD大法
【以下所言,都是在默认的基础上,随便捣腾下,就有很好的效果。所谓默认,就是安装时选择的“标准防护”】

A、最简单也是最方便实用的,就是“重点位置防御”
防毒的基本理念,一般就是,确认自己安装使用的是正常、干净、可靠的程序,外来侵入的未知程序包含风险产物(病毒、木马)在内。所以封住病毒入侵的“口”,就行了。我们要做的,是拦毒,不是鉴毒,挡住不是自己主动安装的程序就行了,才不管你是什么动作什么接口,只要你没在我不知情没确认的情况下就闹腾起来,那就阿米托福。剩下的侦查鉴别工作,交给反病毒专家去解决,交给沙盘之类的工具进行粗略鉴定。

病毒入侵两大来源——网络与移动磁盘(U盘为主)。来自网络的病毒,都有个落脚点,常见的危险位置有四个:下载、桌面、我的文档、Roaming,封杀这些位置,效果立竿见影【如果要扩展,可以再包含其它位置,比如360浏览器下载位置  D:\360安全浏览器下载】
1、封杀桌面
规则名称:2D-K-DKP
要包含的进程:**\Desktop\**
要排除的进程:
要阻止的文件/文件夹名:**
要禁止的文件操作:全部打勾

2、封杀我的文档
规则名称:2D-K-WDWD
要包含的进程:C:\Users\RoBin\Documents\**   【按你自己的实际路径写,用户名RoBin换成你自己的名字】
要排除的进程:
要阻止的文件/文件夹名:**
要禁止的文件操作:全部打勾

3、封杀Roaming
规则名称:2D-K-RMG
要包含的进程:**\AppData\Roaming\**
要排除的进程:                                                 【要排除的进程自己加,例如360安全浏览器】
要阻止的文件/文件夹名:**
要禁止的文件操作:全部打勾

4、封杀下载目录
规则名称:2D-K-DLS
要包含的进程:C:\Users\RoBin\Downloads\**   【按你自己的实际路径写,用户名RoBin换成你自己的名字】
要排除的进程:
要阻止的文件/文件夹名:**
要禁止的文件操作:全部打勾

然后,就是封杀U盘(以你机子上的U盘盘符路径做规则,至少写三条。例如我机子上,硬盘C/D/E/F,光驱G,U盘从H开始,写上H/I/J盘的封杀规则)
5、封杀U盘H
规则名称:KU-H
要包含的进程:H:\**
要排除的进程:
要阻止的文件/文件夹名:**
要禁止的文件操作:全部打勾

6、封杀U盘I(写法同上,路径换成I)
7、封杀U盘J(写法同上,路径换成J)

默认基础上,有了这7条规则,防御力翻番!随便插上带毒的U盘,样本区下载样本来双击,屁用没有,启动就被秒了:


就算人家给你传毒,无论是电子邮件,还是聊天工具,或是浏览器从带毒网站自动下载病毒,都没啥用。【QQ的文件保存位置,建议选在我的文档,不要选安装目录下,这样人家传病毒给你,也会被2D-K-WDWD这条规则秒杀】

这样制作的规则,既不影响程序安装、卸载、系统更新,又能很好地防毒,是菜鸟最值得推荐的用法。

注意:以上所说的防御方法,是针对“病毒落脚点”这种“关键位置”进行的防御,请确保你所使用的上网程序所设定的文件下载保存位置位于规则设定的区域内,否则无效。换句话说,浏览器,邮件收发工具,聊天通信程序,它们的文件保存目录,请仔细检查,如果不在桌面或系统默认的下载位置,请手动设为“我的文档”!

相关问题:对于特别变态的病毒,人家自带dll,无须加载系统dll,这样的防护有效吗?只要是写文件,调用计算机上的程序,都有效。如果这些动作都不做,只是注入它进程,咋办?那就看什么方法了,一般要加驱、安装钩子,才能方便地实现注入,创造钩子文件与驱动文件,被规则禁止,再说,一个程序什么文件都无权读写,在计算机上很难活过十秒钟(自己很快就崩溃退出了)。至于入侵其它进程内存,规则就禁止它读取任何东西,目标都读取不了,不知道怎么操作【虽然AD上的读取与FD上的不一样,实际以VSE这样强悍的FD控制,可能还是有很大影响】(太高端、太变态的就不用考虑了,一般你遇不到,遇到了你也拦不住)

以上7条规则,防御了常见病毒入侵途径,挡了外来。内部呢,万一自己机子上有U盘传播病毒呢?加条规则,一做提示,二做半个阻止:
8、防U盘病毒传播
要包含的进程:**
要排除的进程:【排除刻录程序,或在刻录系统安装光盘时禁用该规则】
要阻止的文件/文件夹名:?:\autorun.inf
要禁止的文件操作:创建

像上面这样弄下,已经够了。如果加上调用rundll32.exe,cmd.exe之类程序的调用管制,性能当然更强,但是影响安装、卸载与更新,综合衡量,得不偿失,没必要。
------------------------------------------------------
B、最厉害最变态的——万物杀!
行为拦截的规则极致,就是——万物杀!不信任的一律杀!
所谓信任与不信任,就是:除了我自己安装使用的程序可信,其它的,一概不信任。
以此写一条规则:禁止任何程序读取、写入、执行任何文件,排除自己的可信程序路径。这就是最厉害最变态的万物杀规则。只此一条,所有的外来入侵者死翘翘,管你是U盘病毒,还是网络病毒,是自己下载还是自动入侵,全都死翘翘。开启这条规则,你就啥都装不上,只能使用已经安装好且授权可以运行的程序。
1、万物杀
规则名称:+BT-WWS
要包含的进程:**
要排除的进程:SYSTEM,\??\C:\Windows\system32\winlogon.exe,C:\Windows\**,C:\Program Files (x86)\**,C:\Program Files\**,D:\Program Files\** 【AppData里的程序,可以逐个添加放行,也可以直接用AppData路径放行】
要阻止的文件/文件夹名:**
要禁止的文件操作:全部打勾
【万物杀威力强大,注意排除,排除不好可能死机或开不了机,如果还有其他规则限制,比如封杀U盘的规则,排除可用*\Windows\**,*\Program Files\**这样的形式;包含的进程,可以写一个星号*即可,或者用*.*以解决某些情况下的system难以排除的问题】

万物杀摆平了不信任程序,对于信任程序,如何加强管束呢?那就是层层剥皮,继续执行过滤,让信任程序也懂得“遵守规矩”,做不了坏事。
既然万物杀放行了Windows、Program Files、AppData,那就针对它们逐个加以限制。

系统一般不用管,使用过程中导致的主要病毒来源,是自己安装使用的用户程序导致的,重点关照和管制用户程序。
2、禁止用户程序创写exe文件
规则名称:+FD-K-PF
要包含的进程:**\Program Files**
要排除的进程:【放行浏览器、迅雷等下载工具,放行麦咖啡的程序】(如果要用迅雷、浏览器下载exe安装包,就需要放行)
要阻止的文件/文件夹名:**.exe
要禁止的文件操作:创建,修改
【注意,排除进程,直接写程序名就可以,不用写绝对路径,因为规则限制的是**\Program Files这个路径下的,你写文件名,放行的是**\Program Files下的程序,虽然**\Program Files的路径宽了一点,理论上包含任何位置的Program Files目录,实际上没这样的,万年难得一遇,担心多余的;真要担心,就分开写三条C:\Program Files (x86)\**,C:\Program Files\**,D:\Program Files\** 的限制规则】

第2条把浏览器排除了,它要是发疯,下病毒exe到系统目录里,咋办?正常情况,绝无此可能,浏览器只会下载文件到指定目录,比如C:\Users\RoBin\Downloads,担心是多余的。但是,非要较真一下,非要预防万一,咋整?加规则限制
3、禁止浏览器写入系统目录
规则名称:自己写
包含的进程:360se.exe,chrome.exe,firefox.exe,iexplore.exe【把你安装的浏览器名字都写上】
要排除的进程:
要阻止的文件/文件夹名:**\windows\**
要禁止的文件操作:创建,写入

要不要再限制浏览器对Program Files目录的写入限制呢?不用了吧,别神经。
那么,下载工具呢,要不要照葫芦画瓢?没必要。如果非要发下神经,仿照第3条写。

对于exe文件的创建写入,如果觉得系统目录也不把稳,那就写上**\windows\**的限制规则,注意排除系统进程、系统更新目录及相关程序,免得开关机死掉,进不了桌面,下载不了系统更新包。
如果,在万物杀里排除了Roaming路径,那就写上Roaming的规则
4、禁止Roaming里的程序写exe
规则名称:自己写
包含的进程:**\AppData\Roaming\**
要排除的进程:
要阻止的文件/文件夹名:**.exe
要禁止的文件操作:创建,写入

剩下的,就是scr、dll、sys、bat、cmd、vbs文件,可以全局限制(禁止*创建这些文件)其实,补充scr、bat、cmd、vbs的就可以了,sys与dll不会自己执行,需要母体来注册或启动
5、禁止创建scr文件
规则名称:自己写
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**.scr
要禁止的文件操作:创建

6、禁止创建bat文件 【可能影响极个别程序的安装卸载】
规则名称:+FD-K-BAT
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**.bat
要禁止的文件操作:创建

7、禁止创建cmd文件
规则名称:自己写
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**.cmd
要禁止的文件操作:创建

8、禁止创建vbs文件
规则名称:自己写
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**.vbs
要禁止的文件操作:创建

基本上需要限制和针对的,就这些,即可。扩展保护,限制下日常应用程序写run启动(注册表),修改IE规则,就ok了。
文件保护的更进一步,是加上数据保护规则,做交叉保护(万物杀搞定未知,数据保护搞定已知)
为了节省规则数量,请养成好的使用习惯(把重要文件归集到一个文件夹里,例如F:\文档资料库),以规则保护
9、保护重要资料
规则名称:F-BS-WD
包含的进程:*
要排除的进程:【资源管理器、文档处理程序、压缩工具、图片工具】
要阻止的文件/文件夹名:F:\文档资料库**
要禁止的文件操作:读取、创建、写入、删除

万物杀规则,既猛,有简单。安装、卸载程序,只需把标着+号的规则禁用(以上设置只有万物杀一条而已),就可以了。系统更新,重启计算机安装系统补丁,重启前,请把访问保护关闭,打好补丁重启后,再开启访问保护。

开着万物杀,基本上可以说是百毒不侵了,除了安装程序时有风险,正常情况(系统补丁打齐,没冲突软件,没恶意软件)下,基本很难中毒,连新程序都装不上。
***********************************************************
(其他相关问题)
其它增强措施呢?需要自己做。比如勾选自带的“禁止svchost执行非windows文件”,安全保障性会高一些,如果影响系统更新,就不要开了。至于注册表规则,一般不需要了,做了其实也没多大用处。
万物杀启动就杀,属于禁运流,看不到程序行为,咋办?想要分析和鉴定未知程序的行为,最好虚拟机与沙盘。如果非要用VSE来双击分析,可以建一个测试目录,把测试对象放里面,在万物杀里放行该目录的路径,另外针对该目录写3条规则:
一条FD规则,禁止测试目录里的任何东西读写修改**
一条AD规则,禁止测试目录里的任何东西执行C:\*.EXE
一条RD规则,禁止测试目录里的任何东西改写注册表项**
应该会有些日志记录记录测试对象的部分行为,加上联网规则的记录,可以看到一些。VSE终归AD不强,用这种方法测试下一般的下载程序,大概还行,专门用来双击测试样本,还是算了。

对于未知程序的处理,除了VSE扫描确认,推荐安装沙盘Sandboxie(不需要去找什么破解,就官方免费功能就够用了),平常也不用开,电子书之类,用它打开就好,新下载的未知程序,里面运行下看看。一般像这样已经足以狙击一切恶意了。一般人不需要这么费神,养成好习惯,用正规软件,上官网下载,VSE扫描下再安装就好,根本就没那么容易中毒的。万物杀开着,网络病毒、U盘病毒,藏在本机旮旯里的病毒,就是“死远点”的味道。

流氓程序,如何对付?直接针对常见的,比如三大桶,写FD规则,例如:
规则名称:AF-LM-360
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**\360
要禁止的文件操作:创建

规则名称:AF-LM-BAIDU
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**\baidu
要禁止的文件操作:创建

规则名称:AF-LM-TXGJ
包含的进程:*
要排除的进程:
要阻止的文件/文件夹名:**\QQPCMGR
要禁止的文件操作:创建

剩下的,比如驱动文件、各种流氓的dll文件、exe文件,有害程序策略里写上文件名,直接当做病毒铲除,落地就被铲。

*********************************************************
一般这样简单弄下,就能达到很好地防御效果。一般用户,推荐方案A,外加联网控制规则,用户数据保护规则,就相当于是智能化的防毒规则,既不影响程序安装、卸载、系统更新,又能有效歼灭网络病毒、U盘病毒。【为加强管理,做到了如指掌,可以勾选自带规则的“windows里创建程序”与“program files里创建程序”这两条的报告,或者写上禁止任何程序创建exe与dll的规则(只勾报告)】

有其它想法或意见的,欢迎交流探讨。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2原创 +1 人气 +1 收起 理由
a330391 + 1 感谢提供分享
KK院长 + 1 VSE不要诱惑我。

查看全部评分

本帖被以下淘专辑推荐:

欧阳宣
头像被屏蔽
发表于 2016-3-5 05:14:04 | 显示全部楼层
VSE我觉得规则可以有针对性的去防护啦,只是个人版我觉得真的是薄弱
马云波波波
头像被屏蔽
发表于 2016-3-6 00:21:52 | 显示全部楼层
柯大,您这条万物杀规则。要想禁运信任区域以外的,直接对系统底层操作的程序,如硬盘炸弹,恐怕够呛吧!
柯林
 楼主| 发表于 2016-3-6 10:59:12 | 显示全部楼层
马云波波波 发表于 2016-3-6 00:21
柯大,您这条万物杀规则。要想禁运信任区域以外的,直接对系统底层操作的程序,如硬盘炸弹,恐怕够呛吧!


不知道,没样本,谁知道怎么回事,万物杀已经是FD极致,它都挡不住的话,那就没解。万物杀对脚本文件(bat、cmd、vbs)无防御力,原因规则规定的,脚本解释器信任,而咖啡不会直接定位bat等文件,只会针对脚本解释器,这个无解,除非你为了防脚本,禁止它们的所有文件操作。
硬盘炸弹,江民已死,哪里还有这么脑残的玩意,有的话,网上能活过几分钟?杀毒都能灭了,何必操心这个
柯林
 楼主| 发表于 2016-3-6 11:51:58 | 显示全部楼层
马云波波波 发表于 2016-3-6 00:21
柯大,您这条万物杀规则。要想禁运信任区域以外的,直接对系统底层操作的程序,如硬盘炸弹,恐怕够呛吧!

如果是批处理,直接用cmd做事的,万物杀没用,需要限制bat或cmd的创建,禁止cmd的文件操作得不偿失,没意义。如果是exe之类的格式,根本就没法启动,也无法调用任何程序。
马云波波波
头像被屏蔽
发表于 2016-3-6 12:01:37 | 显示全部楼层
柯林 发表于 2016-3-6 10:59
不知道,没样本,谁知道怎么回事,万物杀已经是FD极致,它都挡不住的话,那就没解。万物杀对脚本文件( ...

记得以前墨大好像说过,对特定区域的硬盘炸弹只有在特定区域内禁止explorer.exe启动,才能防御
马云波波波
头像被屏蔽
发表于 2016-3-6 12:05:12 | 显示全部楼层
本帖最后由 马云波波波 于 2016-3-6 12:21 编辑
柯林 发表于 2016-3-6 11:51
如果是批处理,直接用cmd做事的,万物杀没用,需要限制bat或cmd的创建,禁止cmd的文件操作得不偿失,没意 ...


之前的样本找不到了,http://bbs.kafan.cn/thread-460392-1-1.html   
这个恐怕防起来就有一定难度
还有这个http://bbs.kafan.cn/thread-1552159-1-1.html
柯林
 楼主| 发表于 2016-3-6 17:16:05 | 显示全部楼层
马云波波波 发表于 2016-3-6 12:01
记得以前墨大好像说过,对特定区域的硬盘炸弹只有在特定区域内禁止explorer.exe启动,才能防御

不懂,具体咋回事,你请教墨池。
逻辑上可以看得很明白的是,万物杀禁止非信任区程序所有FD操作,连读取都不可以,更比说调用了,理论上不可能有资源管理器被调用或插入。除非它是批处理或脚本,由cmd调用explorer或者直接dos操作,那个确实不行,或者脚本解释器调用explorer也是不防的。
柯林
 楼主| 发表于 2016-3-6 17:19:50 | 显示全部楼层
马云波波波 发表于 2016-3-6 12:05
之前的样本找不到了,http://bbs.kafan.cn/thread-460392-1-1.html   
这个恐怕防起来就有一定难度
...

不是dos或脚本都无用,除非咖啡漏洞了,“任何程序读取、执行、写入任何文件及文件夹阻止”,启动都启动不了。
马云波波波
头像被屏蔽
发表于 2016-3-12 20:12:38 | 显示全部楼层
柯林 发表于 2016-3-6 17:16
不懂,具体咋回事,你请教墨池。
逻辑上可以看得很明白的是,万物杀禁止非信任区程序所有FD操作,连读取 ...

柯大,您这条万物杀(全局禁运规则),以咖啡目前的规则体系来看,恐怕无法彻底实现。此前版区的storyhare版主就这样认为。以下是之前她在一个帖子里说过的内容:

真正的全局禁运(可执行区域控制);是这样的规则:

这样的规则,才能够防御几乎所有的病毒(包括一些底层病毒;但不能够拦截脚本)

要包含的进程:*
要排除的进程:无排除
要保护的文件或文件夹名:*
要排除的文件或文件夹名(这项,规则是没有的):C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**(以及其他可执行区域)
要禁止的文件操作:执行

因此,以咖啡目前的体系,是无法实现全盘禁运的!






叶知版主认为,由于咖啡软件内核缺陷,规则防不了引导扇区、磁盘底层、物理内存等行为,规则爱好者用禁读办法可以弥补,如下面一条规则(禁读Programdata中的exe文件):


规则名称:全局禁读-EXE-ProgramData
要包含的进程:*
要排除的进程: 无
要阻止的文件或文件名: C:\ProgramData\**.exe
要禁止的文件操作:  读取




您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:03 , Processed in 0.148201 second(s), 20 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表