本帖最后由 柯林 于 2017-12-26 10:25 编辑
VSE流畅稳定,防毒效果不错,值得爱好者使用。对于一般人来说,一套简单实用的规则就ok了。
简单聊两句:VSE是个杀软,杀毒高于一切,规则只是补充——捡杀毒之漏(杀毒能干掉,规则只是摆设)。VSE的缺点,主要AD方面差,对于钩子、注入之类的没法,可是看一看各大杀软,不带HIPS功能的又有几个能抗?所以这都不是问题,做好入口防御就够了。
VSE的使用环境,个人看法,普通上网或办公用户比较适合,也就是需求单纯,环境干净,比如这样:windows7以上系统,软件只是——解压缩、office、中文输入法、播放软件、浏览器、聊天软件、下载工具、电子邮件、看图软件,一点为数不多的可靠的小游戏小工具,玩个网游啥的,这样相对典型的普通上网用户,所用软件都从官网下载可靠软件,防毒很简单,VSE就比较适合。与此相反,系统环境复杂,又喜欢下载和试用大量的软件,最好使用大杀器,比如BD或卡巴之类。
对于如上所说的“正规”普通用户而言,防毒很简单,一个VSE就足够用了:网络防护,只需制定一条管制程序连出的规则就可以,连入有系统墙控制,依托系统墙可靠的防外及包过滤,二者配合,并不比某些带墙的差。病毒防护,两大来源——网络与U盘。禁止上网程序下载exe文件,大多数威胁没了;禁用自动播放,U盘病毒基本歇菜;禁止执行用户TEMP目录里的文件,反安装反毒(网上传毒,不管什么途径,几乎都是压缩包,只要你不把病毒解压出来,直接点压缩包内的文件,受这一条限制,病毒是无法发作的,这就差不多克住了常见的网传病毒)。剩下只有重大漏洞及网页恶意代码,那些情况轮不到普通人操心——操心无用,重大漏洞被利用,厂家修复之前,差不多都是白瞪眼,用什么都差不多。
综合以上,一个“规矩的普通上网用户”,防毒需求并不高,用VSE防护好入口就可以了。以目前常见的勒索之类的破坏病毒为例,做好资料保护规则,限制住压缩包内的毒,基本上就搞定了。只要你安全意识在,保持好习惯,少下乱七八糟的软件来用,中毒不容易,当然前提:干净的操作系统(原版镜像),无毒的PE,所用软件不复杂且从官网下载。满足这些要求,十几条规则就够了。
适当的规则:VSE历来有两种极端用法,要么直接不管,默认,要么超级严厉,举步杀,这都不好,应该取其中——在默认基础上适当强化,做好入口防御,能够有效弥补杀毒之漏,而不影响日常应用,有一定的安全强度,比较好。以下所示实例,不影响系统更新,但能限制软件安装以及具有一定的防御强度。(注意,示例规则,最好在安装好系统,装好硬件驱动,并打上主要补丁后加以使用,具体原因看各条解释。
=========== VSE8.8p10普通规矩用户上网防护简要规则 =============
自定义规则:
首先是资料保护(这两年勒索病毒闹得凶,资料无价),把你最重要的文件,分类——重要的文件(资料、图片、软件……)归结在一个目录(比如E盘的ABS文件夹);私人文件(信件、协议、报表、文档)归结在一个目录(比如F盘上的SRS文件夹),做规则保护:
1, 保护资料夹【防勒索与盗窃】
包含*
排除C:\Windows\explorer.exe,C:\Windows\system32\notepad.exe
目标E:\ABS\**
读,写,删
2, 保护私人文件【防勒索与盗窃】
包含*
排除C:\Windows\explorer.exe,C:\Windows\system32\notepad.exe
目标F:\SRS\**
读,写,删
如上所示两条,就能保护得好好的,自己用,复制出来修改,改完再放进去。如果嫌麻烦,自己添加可靠程序的排除,降低一点安全性。
与勒索病毒相关的防护:
3,禁止产生新的scr文件【防勒索】
包含*
排除C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标*.scr
建
4、禁止执行我的文档里的EXE【防毒】
包含*
目标?:\Users\*\Documents\**.exe
执行
(这一条聊胜于无,预备补漏,某些病毒会把病毒文件释放到我的文档里执行,这条起作用其实已经“漏”了)
5、禁止执行卷影命令【防勒索】
包含*
排除C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\poqexec.exe
目标vssadmin.exe
执行
(虽然实际使用没有记录到影响系统,但是,当你新装系统,第一次更新,系统一次下载几百个补丁来安装,还是建议你临时禁用该条,只开报告即可——毕竟windows很“搞人”,下半天补丁,安装两三个小时才完,中间哪里有点阻挡,安装失败,回滚又要一两个小时,哭无地!)
---------------------------------------------
来两条聊胜于无的设置(这两条其实意义不大,聊胜于无,可能一年到头也没一个日志)
6、禁止执行格式化命令【防恶意格盘】
包含*
目标format.com
执行
7、禁止脚本解释器执行User文件【防毒】
包含cscript.exe, powershell.exe, wscript.exe
目标?:\Users\**
读取,执行
(更正:仅拦执行没用,必须从禁读开始,否则拦不住)
-----------------------------------------------
设几条防毒规则:
8、禁止自动播放【防U盘病毒】
包含explorer.exe
目标HKCU /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/*/shell/autorun** 项
全部打勾
9、锁定IE主页【防流氓】
包含*
排除C:\Windows\regedit.exe,C:\Windows\system32\rundll32.exe
目标HKCU /Software/Microsoft/Internet Explorer/Main/Start Page 值
全部打勾
(新装系统第一次大量补丁更新,建议临时禁用该条,因为系统升级为IE11时会触犯该条)
10、禁止设为开机启动【防流氓】
包含*
排除c:\windows\system32\consent.exe,MCSHIELD.EXE,C:\WINDOWS\SYSTEM32\MRT.EXE
目标:HKALL /Software/Microsoft/Windows/CurrentVersion/Run/** 项
全部打勾
(这一条只是防御一些软件安装时以最常见的方式设为开机启动,如果你安装的软件需要开机启动,请临时禁用。新装系统第一次大量补丁更新,建议临时禁用该条)
11、禁止上网程序下载exe【防毒】
包含chrome.exe, iexplore.exe, wmplayer.exe(迅雷、QQ、电子邮件等,凡是第12条里放行,不可靠,容易招鬼的程序,都添加在这里)
目标*.exe
建
--------------------------------------------
网络防护——程序联网控制
12、禁止不明程序联网【防马】
包含*
排除CFSERVICE.EXE, CFWORKER.EXE, chrome.exe, FLASHPLAYERUPDATESERVICE.EXE, iexplore.exe, MCSCRIPT_INUSE.EXE, MSFEEDSSYNC.EXE, QQ.EXE, QQPROTECT.EXE, svchost.exe, system, THUNDER.EXE, THUNDERPLATFORM.EXE
目标端口0-65535,出
注意:需要让它上网的程序,需要添加在这里排除,否则上不了网(可以参看日志排除);需要在线安装的程序,可以临时禁用该条,安装好再开启。(这一条开启,流氓下载器,后台下载安装,一些普通的马儿,都歇菜了)
“windows自带的系统防火墙是很好的墙(win7以上),可惜不防程序上网”,很多人如此抱怨。VSE加这么一条,完美解决。连入,系统墙会弹窗询问,回答即可。vse防连出即可,墙还是系统的墙,VSE只是程序联网控制,二合一真的很好。
---------------------------------------------
13、禁止调用摄像头(可选)
包含*
排除(授权程序
目标(摄像头程序
执行
14、禁止执行Temp文件【安装拦截】
包含*
排除dism.exe, frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe
目标*\AppData\Local\Temp\**
执行
(这一条就是安装总开关,有它在,一般常用的安装方式无法安装程序。这一条还能有效防御压缩包内的病毒,只要你不把病毒解压出来,只是作为一时好奇,点进压缩包里去点它,它是发作不了的——当然,自解压并自动运行的就不受限制——问题是允许直接传送自解压的exe格式文件?介意的话,可写上全局管制exe的规则,那样的话,更新系统时须禁用)
==========================
附加【流氓防御】(这一条可有可无)
鉴于某些流氓软件会在安装过程中捆绑安装浏览器插件,比如chrome浏览器,如果你正在用谷歌浏览器,可以自定义一条针对性的保护规则(如下图):
如果你在安装软件的过程中,该条产生日志,通常说明你“中招”了——你所安装的这个软件是个流氓软件。
如果你要自己给chrome浏览器安装扩展插件,请临时禁用该条。
==========================
VSE自带规则
监控规则---以下规则,开启监控(只勾选报告)
windows目录里创建新文件【建议】
programfiles目录里创建新文件【建议】
注册服务【可选】
注册自动运行【可选】
(win7以上系统,强化了数字签名认证,没数字签名的驱动受限制,对带驱动的病毒提高了门槛,所以规则针对驱动防御,在VSE来说,意义不大了,在乎可设置自带规则的注册服务进行控制)
==========================
本贴所说的“普通上网规矩用户”用这18条就够了——不影响系统更新,装上不用管,系统该打补丁自动打;软件装不上,你不在机子前,不希望别人乱装东西,可实现;不喜欢的程序不让它上网;下不了病毒(exe格式);别人给你传给个带毒的压缩包,你不知道的情况下,点了也没事(变态者除外,参看第14条的解释)。这样一个中等强度的防御规则,对于一般用户刚好。
============================
新手,不熟悉规则制作的,无需特别严厉的规则,如本贴所示的适当防御就好。规则其实很简单的,看一些介绍贴,明白通配符用法就好。比如注册表方面:HKLM:表示 HKEY_LOCAL_MACHINE 主键。
HKCU:表示 HKEY_CURRENT_USER 主键。
HKCR:表示 HKEY_CLASSES_ROOT 主键。
HKCCS:表示 HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet 部分和 HKEY_CURRENT_CONFIG 主键。
HKULM:表示 HKCU+HKLM+HKEY_USER 三大主键。
HKALL:表示所有主键。
=============================
一些不喜欢的软件,可以用有害策略管制,比如:
百度:bd0001.sys,bd0002.sys,BDArKit.sys,BDDefense.sys,BDEnhanceBoost.sys,BDMNetMon.sys,BDMWrench.sys
360卫士:BAPIDRV.SYS,efimon.sys,hookport.sys,qutmdrv.sys,qutmipc.sys,360SelfProtection.sys,360reskit.sys,360netmon.sys,360LanProtect.sys,360Camera.sys,360Box.sys,360AntiHacker.sys
腾讯管家:SSK.sys,TFsFlt.sys,TsFltMgr.sys
瑞星:sysmon.sys,rsutils.sys,rsndisp.sys,protreg.sys,kguard.sys,vpatch.dll,ravext.dl,bsmain.exe
如以上示例所示,把困扰你令你不爽的程序添加就可以自定义“扫除”。
----------------------------------------------
参考:(更正脚本防御)
按照网上的统计资料(见下图),powershell应用比例很大,第7条里添加powershell.exe强化脚本防御,或许好一点:
补充两句废话:系统尽可能“干净”,无驱软件最好——迅雷用精简版(ThunderMini1.5.3.288),QQ国际版,这二者都是无驱动的;针对JS挖矿代码越演越烈,用谷歌或火狐浏览器装上拦截插件吧(比如谷歌浏览器装上No Coin,No mining,Anti Miner)
|
[复制链接]
发表于 2017-12-19 10:58:41
楼主
