收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 COMODO 折腾党们,动起来!
1234下一页
返回列表 发新帖
楼主: 柯林
 收起左侧

[讨论] 折腾党们,动起来!

[复制链接]
柯林
 楼主| 发表于 2017-12-28 13:50:32 | 显示全部楼层
KK院长 发表于 2017-12-28 13:21
以后恶意脚本为重点,JS,VBS, PowerShell ,Word的宏 等都是传播勒索的路径。
闪人。
坐等   ...

近来js挖矿代码确实是个风向,可能以后更多,这个还是看网址拦截能力吧。用谷歌或火狐浏览器,装上插件就解决了
回复

举报

rex_bbs
发表于 2017-12-28 15:40:10 | 显示全部楼层
感觉现在太过于相信信任程序,好比近期的企鹅窗口问题
HIPS在安全模式下,即使是添加了询问规则,受到信程序好像还是无视的,必须手工直接设置规则内容为阻止。

卡规则的问题猜的可能没有使用sqlite吧
回复

举报

柯林
 楼主| 发表于 2017-12-28 15:53:42 | 显示全部楼层
rex_bbs 发表于 2017-12-28 15:40
感觉现在太过于相信信任程序,好比近期的企鹅窗口问题
HIPS在安全模式下,即使是添加了询问规则,受到信程 ...

所以,太相信了,还是不好,“害人之心不可有,防人之心不可无”,适当的限制还是有必要的
回复

举报

rex_bbs
发表于 2017-12-28 16:02:59 | 显示全部楼层
柯林 发表于 2017-12-28 15:53
所以,太相信了,还是不好,“害人之心不可有,防人之心不可无”,适当的限制还是有必要的

感觉还是把这类应用直接丢虚拟机里好,比如企鹅现在会往“Windows\System32\config\systemprofile\AppData\Roaming”这个目录下写文件,防不胜防。
回复

举报

柯林
 楼主| 发表于 2017-12-28 16:41:40 | 显示全部楼层
rex_bbs 发表于 2017-12-28 16:02
感觉还是把这类应用直接丢虚拟机里好,比如企鹅现在会往“Windows\System32\config\systemprofile\AppDat ...

如上所说,直接把?:\Users\*入沙,防火墙再拦截联网,也就搞不起事了
回复

举报

HEMM
发表于 2017-12-28 18:11:39 | 显示全部楼层
变化:
-因特网安全要点(在对中间人攻击中的保护)现在是可选的(默认选择),在安装过程中可以在组件部分找到。 -GeekBuddy设置完全被移除。它是可选的,而不是默认选择的。如果你没有安装GeekBuddy,你可以访问Live support,它将在默认浏览器中启动极客好友聊天窗口。
-“手动扫描”扫描配置文件现在有了启发式选项,默认选项会被选中,就像“全扫描”一样。 在评级扫描中,当您看到未受信任的证书列表时,名称将来自“发布到”字段。可信根证书由“颁发到”字段列出,因此更容易找到。
-由于与即将推出的Windows RS4越来越不兼容,我们已经消除了增强的保护模式(默认情况下是禁用的);有一些先进的方法,这些方法已经不再被微软所支持。


我们已经消除了增强的保护模式
我们已经消除了增强的保护模式
我们已经消除了增强的保护模式


..............




回复

举报

柯林
 楼主| 发表于 2017-12-28 18:55:31 | 显示全部楼层
HEMM 发表于 2017-12-28 18:11
变化:
-因特网安全要点(在对中间人攻击中的保护)现在是可选的(默认选择),在安装过程中可以在组件部分找 ...

不跟上形势不行啊,系统变了,还守着老一套,肯定落伍,相信官人很快找到移植方法
回复

举报

HEMM
发表于 2017-12-28 22:46:45 | 显示全部楼层
柯林 发表于 2017-12-28 18:55
不跟上形势不行啊,系统变了,还守着老一套,肯定落伍,相信官人很快找到移植方法

你应该知道硬件虚拟化的重要性......这个没了.......
新技术...
希望规则大于拦截点......
回复

举报

rex_bbs
发表于 2017-12-29 10:42:29 | 显示全部楼层
柯林 发表于 2017-12-28 16:41
如上所说,直接把?:%users\*入沙,防火墙再拦截联网,也就搞不起事了

像企鹅那样把文件下载到非":\user\*"的目录下,然后发起安装,也可以拦截
回复

举报

柯林
 楼主| 发表于 2017-12-29 11:00:41 | 显示全部楼层
本帖最后由 柯林 于 2017-12-29 11:11 编辑
rex_bbs 发表于 2017-12-29 10:42
像企鹅那样把文件下载到非":%user\*"的目录下,然后发起安装,也可以拦截

首先,防火墙拦截那个进程联网,它就下不到文件,当然这有点过火,可以不用这样
其次,就算它下载下来,并运行了,路径规定入沙,所以它装在沙盘里,一重启计算机,它就不会动了,再一倒沙(清空沙盘),啥都没了,防火墙规则规定好一点,禁止沙盘内的程序联网,它在沙盘里运行了也是作用有限啊

当然你也可以换个思维,用HIPS管制:
禁止?:\Users\*执行*\Temp\*
禁止:*\Program Files*执行?:\Users\*
禁止?:\Users\*执行?:\ProgramData\*
禁止:*\Program Files*执行?:\ProgramData\*
禁止?:\Users\*访问?:\ProgramData\*.exe,?:\ProgramData\*.dll,?:\ProgramData\*.com,?:\ProgramData\*.scr
禁止:*\Program Files*访问?:\ProgramData\*.exe,?:\ProgramData\*.dll,?:\ProgramData\*.com,?:\ProgramData\*.scr
禁止*\Program Files*访问?:\Users\*.dll(意思是禁止在用户路径下创建、修改dll文件,如有影响个别程序,加例外规则)
一般也能有效防毒防流氓,安装程序时可能需要关闭HIPS(比如在线安装QQ游戏啥的)

回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-5-21 02:56 , Processed in 0.098577 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表