查看: 4753|回复: 11
收起左侧

[求助] 请问咖啡企业版如何建立规则禁止浏览器调用任何系统程序

[复制链接]
墨家小子
发表于 2016-11-9 13:17:43 | 显示全部楼层 |阅读模式
最近有点时间想试试企业版,求大神指点一下
Iesous
发表于 2016-11-10 08:16:16 | 显示全部楼层
本帖最后由 Iesous 于 2016-11-10 08:33 编辑

1 禁止读取执行exe对象 两个都要勾 卡的函数不同(system svchost绝对不能不能排除) 2程序文件夹权限直留sytem 管理员组(别把system去了,虽然它有管理员的令牌) 3本地计算机管理wmi 去掉Authenticated Users network LOCAL SERVICE 的动态写入,动态可以转静态的 不用重启(我直接删了Authenticated Users 直留system 管理员组network LOCAL SERVICE ) 4Secondary Logon服务要关闭,如果有需不关,请禁止访问127.0.0.1-127.0.0.1    5 com口严格管理(你只堵住1-2没用 1可以去访问3 3在去访问2 就成了。。) 光mcafee做不到完全 不过就1和2就可以堵住一般启动 不过如果对方电脑上装有Visual Studio*或来自你的网关 就要注意com  cmd(mcafee默认过掉cmd的一些函数 隐秘启动貌似不太可能) shell      文件重定向(这是一个坑,没能力别进) comodo的cmdinstall.exe其实也是个坑 谁都可以用 连时没看清地址 多半要倒霉 我以前不小心连过 之后除了卡就是各种奇疤现象 Workstation(当你下了个php后 有时system会很奇怪的外连445,回环部分也有些小问题)和WinHttpAutoProxySvc服务(关了照样在htttp内部合成)最好关了  最好用沙盘 沙盘对sessions是虚拟化的 comodo的设置太简单 用sandboxie(一定要看好内核,不然多半废了) 像我写的sandboxie规则一加载 直接被火融当毒给干了 蓝屏 蓝屏 启动后 我擦 规则就剩1个了



墨家小子
 楼主| 发表于 2016-11-10 09:24:44 | 显示全部楼层
Iesous 发表于 2016-11-10 08:16
1 禁止读取执行exe对象 两个都要勾 卡的函数不同(system svchost绝对不能不能排除) 2程序文件夹权限直留s ...

没看懂……
羽扇纶巾
发表于 2016-11-10 23:54:06 | 显示全部楼层
刚刚试了试,不知要得不。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 版区有你更精彩: )

查看全部评分

墨家小子
 楼主| 发表于 2016-11-11 13:11:43 | 显示全部楼层
本帖最后由 墨家小子 于 2016-11-11 14:02 编辑
羽扇纶巾 发表于 2016-11-10 23:54
刚刚试了试,不知要得不。


蟹蟹老司机指点
挂梯子测试一下挂马网页呗,看看这个挂马网页是不是ie执行了C:\Windows\System32或者C:\Windows\System64里面的系统程序?
w ww.aulaestudio.com
墨家小子
 楼主| 发表于 2016-11-11 13:59:54 | 显示全部楼层
羽扇纶巾 发表于 2016-11-10 23:54
刚刚试了试,不知要得不。

C:\Windows\SysWOW64\*.exe 也应该加进去吧?用不用?
羽扇纶巾
发表于 2016-11-11 14:41:15 | 显示全部楼层
墨家小子 发表于 2016-11-11 13:59
C:\Windows\SysWOW64\*.exe 也应该加进去吧?用不用?

你试试吧。应该行。

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 感谢解答: )

查看全部评分

墨家小子
 楼主| 发表于 2016-11-12 13:45:40 | 显示全部楼层
羽扇纶巾 发表于 2016-11-11 14:41
你试试吧。应该行。

以此,是不是可以建立禁用陌生程序调用系统程序(排除windows、program*文件夹里的程序),在此之前陌生程序禁止创建可执行程序,就很稳妥了?
羽扇纶巾
发表于 2016-11-13 00:06:17 | 显示全部楼层
本帖最后由 羽扇纶巾 于 2016-11-13 00:09 编辑
墨家小子 发表于 2016-11-12 13:45
以此,是不是可以建立禁用陌生程序调用系统程序(排除windows、program*文件夹里的程序),在此之前陌生 ...


对。完全可以这么做。windows、program*文件夹里的程序尽量不用通配,最好逐一排除(排除到.exe就行了。量也不是很大)。

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 感谢解答: )

查看全部评分

qftest
发表于 2016-11-15 13:12:04 | 显示全部楼层
规则名称:禁止浏览器调用系统程序
要包含的进程: C:\Program Files**\Internet Explorer\iexplore.exe
要排除的进程:
要阻止的文件或文件夹名:C:\Windows\**.exe
要禁止的文件操作:读、执行
阻挡、报告

试试?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 09:05 , Processed in 0.125112 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表