最简单傻逼规则

显示全部楼层 · 发表于 2016-3-30 08:17:40

本帖最后由柯林于 2016-3-30 08:45 编辑

系统十多万的API，再脑残的安软，也不会全部监控，随便拉一个出来耍耍，结果通常也“很有趣”。

毛豆作为一个玩具，有人拿来日常防御，有人拿来测试，有人拿来对比，爱怎么玩就怎么玩，反正就一玩具而已，标准自己定，结果自己耍，防住了嘻嘻一笑，防不住也嘻嘻一笑，仅此而已。

喜欢测的自己测，会弄规则的弄规则，不会弄的就默认，爱怎么玩都行。小白不知道怎么弄规则的，开默认，简单弄点傻逼规则就行，很简单，沙盘防火墙全都默认，HIPS开安全模式，简单捣鼓下就可以：
1、添加文件保护（新建分组--爱马文件组,主要图片格式、动画文件、网页文件、*.dat、*.bin，列入其中，添加该组到文件保护里）；默认分组可执行文件，添加JS、JSE、WSH、WSF、PSC1格式；HIPS受保护的文件--第三方协议添加\Device\*，COM接口添加*

2、添加规则放行系统路径、你自己安装使用的程序路径（为使系统正常下载补丁，至少要放行 C:\Windows\servicing\Trustedinstaller.exe的文件操作）

3、修改全局规则收尾：禁止执行?:\Users\*、windows下的程序、浏览器、电子邮件、可执行文件（优先放行%windir%\system32\gatherNetworkino.vbs）、；禁止内存、消息、钩子、驱动安装、物理内存、底层磁盘、COM接口*，注册表禁止自动运行、重要项目，保护文件禁止访问*\windows\*,*\Program Files*，可执行文件、第三方协议、爱马文件组，自己爱怎么耍怎么耍去。【提醒：全局规则上禁止的相关内容，必要的东西，应该在第一步所示的放行规则里加以排除】

平台不同，表现不同，高兴了就歪着嘴笑，不高兴就淡淡一笑，游戏而已。

PS：如果程序不能很好地运行，达不到想要的效果，请把它放到系统目录下去执行。

想知道自己的设置是否正常，可简单执行一些测试，譬如：
Set wmi = GetObject("winmgmts:")
Set collection = wmi.ExecQuery("select * from Win32_Process")
For Each process in collection
WScript.Echo process.getObjectText_
Next
保存为vbs文件执行下看看（资料来自网上，无什么危害）

显示全部楼层 · 发表于 2016-3-30 08:47:09

这个挂马网站，我毛豆全开(沙盘防火墙全都默认，HIPS开安全模式)啥反应也没有，没入沙，hips也没反应，卸了毛豆后，wd都扫出毒了
http://024qdw.com/

显示全部楼层 · 发表于 2016-3-30 10:42:49

亏神发表于 2016-3-30 08:47
这个挂马网站，我毛豆全开(沙盘防火墙全都默认，HIPS开安全模式)啥反应也没有，没入沙，hips也没反应，卸了 ...

说明下你的环境、规则，让相同配置的人帮你复测下。昨晚刚卸了毛豆，在玩win10下的VSE，不便复检

显示全部楼层 · 发表于 2016-3-30 10:51:40

本帖最后由亏神于 2016-3-30 10:53 编辑

柯林发表于 2016-3-30 10:42
说明下你的环境、规则，让相同配置的人帮你复测下。昨晚刚卸了毛豆，在玩win10下的VSE，不便复检

win8.1 沙盘提高到了最高级不信任，其他默认，防火墙默认,HIPS开安全模式,杀毒开启，viruscope开启，进木马网站一点反应没有，也没有什么入沙的，几分钟后chrome浏览器崩溃了，卸载了comodo后，用md扫出木马了

显示全部楼层 · 发表于 2016-3-30 11:03:39

本帖最后由柯林于 2016-3-30 11:08 编辑

亏神发表于 2016-3-30 10:51
win8.1 沙盘提高到了最高级不信任，其他默认，防火墙默认,HIPS开安全模式,杀毒开启，viruscope开启，进 ...

木马是什么？js文件？在哪个位置？沙盘不提高等级，就默认的部分限制看看

显示全部楼层 · 发表于 2016-3-30 11:10:35

本帖最后由亏神于 2016-3-30 11:11 编辑

柯林发表于 2016-3-30 11:03
木马是什么？js文件？在哪个位置？沙盘不提高等级，就默认的部分限制看看

Win32/Ramnit.A ，算了，我就是想为什么不入沙，等你再装毛豆再说吧

http://bbs.kafan.cn/thread-1961050-1-1.html

显示全部楼层 · 发表于 2016-3-30 11:16:56

本帖最后由柯林于 2016-3-30 11:19 编辑

亏神发表于 2016-3-30 11:10
Win32/Ramnit.A ，算了，我就是想为什么不入沙，等你再装毛豆再说吧

http://bbs.kafan.cn/thread-19 ...

7楼AVG报的就是个脚本文件，你把脚本解释器做个规则禁止执行用户目录看看

浏览器作为防毒前哨，可以参考以前的帖子，HIPS里引用浏览器分组，给予必要的限制，从文件创建到com接口到cmd等的调用，进行必要限制

ps：不入沙可能是：完全虚拟化不支持高级别限制，保持默认的部分限制看看，拉高了沙盘等级可能只是恢复以前的策略沙盘，而不是重定向沙盘

显示全部楼层 · 发表于 2016-3-30 11:23:57

毛豆怎么设置才能防住最近流行的把文件锁死打不开的木马？

显示全部楼层 · 发表于 2016-3-30 11:34:07

柯林发表于 2016-3-30 11:16
7楼AVG报的就是个脚本文件，你把脚本解释器做个规则禁止执行用户目录看看

浏览器作为防毒前哨，可以 ...

多谢，我慢慢消化吧

显示全部楼层 · 发表于 2016-3-30 12:37:03

aphorism 发表于 2016-3-30 11:23
毛豆怎么设置才能防住最近流行的把文件锁死打不开的木马？

具体指什么？锁屏之类，默认是否监控相应API，不清楚，可能不会监控，一般没危害的、常用的东东，不会监控，也没必要监控。至于文件操作，FD上可以防御。

什么都没辙的时候，你还可以用最后一招----拒毒于门外：禁止生成与禁运！

[其他相关] 最简单傻逼规则