一种可供尝试的小疯狂模式

柯林

控制要点，开疯狂模式，秒杀“入侵者“，简单折腾下，也不复杂。有兴趣的参考如下内容;
----------------------------------------------------------------------------------------------
第一步：做要点控制，添加保护内容。
1、秒杀端口（文件部分）。新建分组”文件秒杀端口“，添加两个东东：
\Device\DeviceApi\CMApi
\Device\CNG
2、文件操作权限。新建分组”FD存取权限“，添加：\Global??\FltMgrMsg
3、hips受保护的文件，添加分组：”文件秒杀端口“，“文件操作权限”。
     hips受保护的com端口，添加分组”com秒杀端口“，添加com组件：\Sessions\1\Windows\ApiPort
【有上面这几个”活宝', 已经足够玩“秒毒"游戏了。下面的内容是补充和泛化】

4、磁盘内容列入保护（你机子上有几个磁盘添加几个，例如有C\D\E三个磁盘，则添加如下）
hips受保护的文件，添加文件:
\Device\C:
\Device\D:
\Device\E:

5、新建文件分组，”重要文件设备“，添加如下玩意（并引入文件保护）：
\Device\KsecDD
\Device\Afd\Endpoint
\Device\Nsi
\Device\DeviceApi\*
\Device\MountPointManager
\Device\NamedPipe\*
\Device\Pipe\*

（检查下上面内容，如果自带分组”第三方协议“里有不用加了）（\Device\NamedPipe\*与\Device\Pipe\*如果太烦可以捡重要的选）

6、hips受保护的com端口，添加分组”服务管理器接口“，添加COM组件：\RPC Control\ntsvcs
HIPS受保护的com端口，添加组件：\RPC Control\*
HIPS受保护的com端口，添加分组”重要端口“，添加如下com组件：
C:\Windows\System32\dllhost.exe
C:\Windows\System32\svchost.exe
C:\Windows\explorer.exe
\cmdCsrssPort
\ThemeApiPort
\Windows\ApiPort

一般就这样吧，已经够了，以前说的文件、注册表、com加*，没有必要，无谓的东西太多了。

--------------------------------------------------------------
第二步，引用秒杀端口，截未知，放可信：
添加路径C:\WINDOWS\*   允许：文件秒杀端口，FD存取权限，\Device\C:，com秒杀端口
添加路径：C:\Program Files\*  允许：文件秒杀端口，FD存取权限，\Device\C:，com秒杀端口
添加路径：C:\Program Files (x86)\*  允许：文件秒杀端口，FD存取权限，\Device\C:，com秒杀端口

剩下的就看你怎么玩了，要全盘秒，全局规则上拦截以上秒杀端口就ok，有拦截的，如谷歌浏览器之类，加例外规则。
一般不用全盘秒，秒重点危险路径就可以：
添加路径?:\Users\*     阻止：文件秒杀端口，FD存取权限，com秒杀端口，\Device\C:

剩下的随便玩，弹窗弹弹答问题。要限制的话，浏览器组降权，按受限账户权利：
网页浏览器组：阻止创建可执行文件（高优先允许?:\Users\*\Downloads\*.exe与?:\Users\*\Desktop\*.exe），禁止访问%windir%\*，禁止访问注册表HKLM\*与*\SOFTWARE\Policies\*,禁止安装驱动、物理内存、底层磁盘、禁止安装钩子（例外允许四个系统钩子），禁止访问系统进程内存，禁止调用系统危险程序，com接口（危险项目等加以禁止）
另外一个组：伪文件下载，套用“被限制的程序”这个权限就可以了，如果要用到powershell之类，怕因此误杀，可以不设，改用另一种方式处理：新建文件分组“脚本宿主”，添加文件：
cmd.exe
cscript.exe
powershell.exe
powershell_ise.exe
wscript.exe
HIPS规则里，设置“脚本宿主”  阻止执行?:\Users\*

很简单的，像这么弄下就完了。确认机子干净，开学习模式，重启计算机，过个三五分钟，改回疯狂模式，回答一些弹窗就可以了。

HEMM

\Device\DeviceApi\CMApi
\Device\CNG
这两个是干嘛用的？？？
\Global??\FltMgrMsg
这个又是做什么用的？
还有这个= =.......
\Device\KsecDD .......
看不懂啊= =..........
额......这些个都是管什么的啊.......
FD和COM看的我心好乱啊......有木有每个项目管什么的详解= =

柯林

HEMM 发表于 2016-4-3 22:45
\Device\DeviceApi\CMApi
\Device\CNG
这两个是干嘛用的？？？

任何程序，只要\Device\DeviceApi\CMApi，\Device\CNG，\Sessions\1\Windows\ApiPort这三个里面随便拦截一个，这个程序就死了，没法运行。

\Global??\FltMgrMsg这个测试系统自带截图软件，貌似与文件存取有关，拦截就没法保存文件了，装了钩子也不行，好像是这样，你可以验证下。文件控制还有\Device\C:之类，禁止一个程序访问\Device\C:，它就没法在C盘上写东西，换句话说，如果是个截图马、盗密马，截取的东西无法在C盘上生成文件，一般都要先保存为文件再发送的，至于勒索加密马，只要不放在已经授权的系统路径与Program Files路径，它也没法改写C盘上的东西吧，应该是这样。具体可以实验下。

下午简单试了下，那个加载dll控制是不行的，找到这些可以玩一玩的犀利小玩具。还是喜欢咖啡的FD，切回VSE了，以上资料，需要的自己实验下。

HEMM

柯林 发表于 2016-4-3 22:53
任何程序，只要\Device\DeviceApi\CMApi，\Device\CNG，\Sessions\1\Windows\ApiPort这三个里面随便拦截 ...

我还以为你去睡觉了(￣o￣) . z Z........
那个后面带盘符的略霸道不适合我，我只是对你提出的那些接口和FD巴啦啦系列感兴趣.......
没见过嘛~

柯林

HEMM 发表于 2016-4-3 22:56
我还以为你去睡觉了(￣o￣) . z Z........
那个后面带盘符的略霸道不适合我，我只是对你提出的那些接口 ...

那个方法很多，殊途同归，你在文件保护里直接添加?:\*，它也是把你计算机上所有文件保护起来，不需要用\Device\C:这种方式。

HEMM

柯林 发表于 2016-4-3 23:03
那个方法很多，殊途同归，你在文件保护里直接添加?:\*，它也是把你计算机上所有文件保护起来，不需要用\D ...

你先告诉我你除了那些后面带盘符的分别都是管制什么用的.........我对这个比较感兴趣，带盘符的兴趣= =不高

好累！今天我也在弄规则，除了毛豆的还有EMET的，累死了，明天再玩，我睡觉去了....
等你有空一定要跟我讲讲你说的都是些啥？除了带盘符的= =...........

嘿........我的规则越加越多，密密麻麻的，感觉系统都开始有点点顿了.........
\Device\CNG
\Device\DeviceApi\*
\Device\Pipe\*
这三个是干嘛用的？
\Global??\FltMgrMsg之类的我就不添加了......= =.....太.......