电邮病毒与网马的防御以及默认规则的防毒手段

柯林

勒索加密闹得凶，让大家再一次想起了——邮件病毒。
对于邮件病毒，以及网马的防治，VSE自带规则已经具备，就是对Temp文件夹的管束。
一个是“防间谍最大保护--禁止所有程序从Temp文件夹执行文件”，这个是最有力的手段，禁一切邪毒网马。
一个是“防间谍最大保护--禁止从Temp文件夹执行脚本”，这个是防邮件脚本及VB宏病毒的。
一个是“通用标准保护--禁止公用程序从 Temp 文件夹运行文件”，这个最要是防止邮件病毒与网马的。

邮件病毒，通常是附件，多为压缩格式，解压就到%Temp%里去了；宏病毒按分析看，大多也是“释放”到%Temp%；网马，通常也是下载在%Temp%里执行；所以管好%Temp%这个病毒窝，就能有力制止这些威胁。

默认自带三条（没开启），可以选择一个合适的使用。最厉害的是禁止所有程序从Temp执行文件，比较好用而又不影响日常应用（包括程序安装）的是禁止公用程序从temp文件夹执行文件（有兴趣的可以把它默认配置的名单导出来看看，把里面那个包含迅雷在内的thund*的删掉，就不影响迅雷安装了，为了更好地实现防毒拦马，如果你用的程序有点另类，请把你的浏览器、电子邮件程序、聊天程序、压缩工具的程序名补充到里面，就能起到很好的防毒效果）。这一条，压缩工具放里面，防毒效果不错，但也会产生一些“误报”，多了一些不必要的日志与触红，个人意见，如果自定义规则有完善措施，可以从这里面删掉压缩软件，另外定义一条禁止压缩软件执行temp里的exe文件的规则就好。

样本测试，勒索加密马，运行后，会向我的文档与Roming根目录释放病毒主体并删除母体，与实际情况应该是略有出入（以邮件传毒为例，附件带毒，用户打开附件，病毒首先释放到Temp里，在Temp里运行了，才会像拿到手的样本那样，释放主体到我的文档与Roming根目录），所以管好temp是很给力的防毒防马手段。

-----------------------------------------
其实咖啡自身默认配带的规则，都是针对性的，以防毒为目的，理解它们，便于我们更好地使用这款防毒产品。
病毒进入计算机，通常有两大动作：一个是找个藏身处，二是搞破坏。
藏身地最理想，也是最主流的，就是系统目录（system32）下，里面程序太多，鱼龙混杂，一般人哪分得清谁是谁啊，打开去找都要找半天，眼睛都看花了。对此，默认规则已经设置“通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件”，开启这一条，病毒就进入不了系统目录。这个有利有弊，开启会影响一些程序的安装，排除不到位，还会影响系统更新，一般建议开启日志记录即可，只要保持警觉，发现日志记录到不明程序进入系统目录，也能很快揪出病毒。【注意这一条，根据坛友的测试，只防创建，不防改写，对感染性病毒够呛】

病毒不只是进来找个藏身地这么简单，进来了当然要做坏事，最喜欢的手段就是注入其它进程，这个对于VSE来说，超出了防御范畴，大多时候无力，所以VSE防毒最好是入口封住。除了注入这个行为，其它更多的表现，是各种各样的破坏性行为。比如说，为了防止自身被结束，会禁止用户使用任务管理，为了防止自身注册表被用户删除，会禁用注册表（默认规则”防病毒标准保护--禁止禁用注册表编辑器和任务管理器“对此设置保护）；为了达到劫持目的，会exe等文件的打开方式（”防病毒标准保护--禁止拦截 .EXE 和其他可执行文件扩展名“对此设置保护，测试记录表明主要对exe、com、bat、cmd、vbs这些常见格式，需要完整保护，要借助”防病毒最大保护-禁止更改所有文件扩展名的注册“）....很多常见的病毒行为，自带规则已经涉及，开启相关规则，可以进行拦截，或者从日志记录提供依据——机器已中毒！

少数规则是在中毒的情况下使用的。比如”防病毒最大保护-保护电话簿文件免受密码和电子邮件地址窃贼的攻击’与“”防病毒最大保护-保护缓存文件免受密码和电子邮件地址窃贼的攻击”，是在已经中毒的情况下，防止蠕虫病毒利用邮件四处扩散以及制止某些间谍软件的盗窃行为而设立的。至于“防病毒爆发控制”里面的那两条，则是针对局域网（比如公司内部）病毒爆发，或者网络上大规模病毒爆发，防止病毒侵入本机，而采取的一种应急措施，是特殊手段，平常用不到，一般个人用户也用不到。

理解相关规则的作用，有助于我们更好地使用VSE，避免埋头写规则而不知道究竟做了些啥，达到什么效果

再次强调下，规则防毒，仅仅是VSE杀毒的补充，是为了防御第一时间遇到的未知病毒，这在实际使用当中，我们真正遇到的病毒里面，所占比率，不会超过20%，所以实际使用效果而言，规则未必会如想象中那么重要，这个，理性看待就好（不会用规则，用默认设置也是可以的）。
---------------------------------------------------
一点杂谈，个人看法，可能有失偏颇或错漏，仅供参考。如何更好地发挥VSE精、准、快的优点，有效地防御病毒，请感兴趣的朋友多多交流。

yaoogle007

感谢了