楼主: cardmeal
收起左侧

[求助] 诚心的求教:这样设置够安全了吗?

[复制链接]
cardmeal
 楼主| 发表于 2018-1-22 14:09:09 | 显示全部楼层
HEMM 发表于 2018-1-22 14:05
姐姐.......套用的时候,不开启我是要你快速的学习前辈的使用经验........
当你没经验的时候,你开启是 ...

谢谢,明白了

HEMM
发表于 2018-1-22 14:17:44 | 显示全部楼层

下载规则导入后,千万别直接使用,关闭掉HIPS和沙盒.....怕......怕由于你不懂出意外。
看看前辈对于程序是怎么权限设置的,不懂可以百度查阅,说实话,HIPS主要还是得靠自己.......
虽然前辈的规则能给你一个方向,但是不能照搬,你知道的,环境不同.......
你只能学习权限为什么这么分配,意义在那,不懂可查阅作者的教学帖子........
没人会告诉你那个键值是什么,那个进程需要怎么办,这个我从MD就开始向人问,没问出任何所以然.......因为学的东西太多,别人无法通过帖子详细告诉你。
只能靠自己查....自己学.....
cardmeal
 楼主| 发表于 2018-1-22 14:21:50 | 显示全部楼层
HEMM 发表于 2018-1-22 14:17
下载规则导入后,千万别直接使用,关闭掉HIPS和沙盒.....怕......怕由于你不懂出意外。
看看前辈对于程 ...

恩恩,谢谢提醒
柯林
发表于 2018-1-22 14:54:26 | 显示全部楼层
本帖最后由 柯林 于 2018-1-22 14:58 编辑
cardmeal 发表于 2018-1-22 13:34
【每贴必提:小白发帖,不知深浅,毫无恶意,如果我的内容判定“违规”,肯请版主尽早删除,感激不尽!!! ...

说实话,规则这东西,每个人只能根据自己需求取舍,要说到“科学性”,老手也未必觉得满意,只能求个平衡。

comodo列出的14项防御项目里,安装驱动和钩子、访问其它进程内存、访问物理内存、底层磁盘访问,这几项是比较危险的,历史上,一些知名病毒及恶意程序,就是通过这些手段搞坏事的。一般来说,正常的普通应用程序,一般不需要加驱,也无须安装钩子,也不需要访问物理内存和底层磁盘,至于访问其它进程内存,可能会读取资源管理器的内存做一些交互,由于毛豆读写不分,读取内存还是改写内存区别很大,眉毛胡子一把抓了,当然从防窃的角度来说,应该连读取也不许(毕竟每个程序的内存属于私密空间),但是拦截后可能会影响一些程序的某些功能。

简单点说,除了硬件、杀毒软件,一般的程序就不应该安装驱动程序(影音解码例外);除了杀毒软件防火墙,一般的程序不应该安装钩子(但是QQ之流不得不允许)。钩子和驱动是最大的威胁了。除了系统相关进程,一般的程序不应该访问物理内存和底层磁盘,当然杀毒软件必须例外,如果有硬件相关的管理软件可能也要例外,但是一些播放器(动态管理内存使用)、系统优化、清理软件、磁盘工具,你也必须允许。
进程间内存访问,这个就看你用的程序,以及它要访问的目标进程是谁。一般杀毒软件及windows核心进程,你可以设置允许它访问任何进程的内存【设置这一项的意义,需要结合病毒形势,了解新病毒利用此项的行为,明白哪些程序容易被“恶鬼附身”,才能针对性的设置保护,乃至于自保】

对于上网安全来说,信息泄露是件大事,从HIPS的角度,安装钩子和监听键盘是主要的窃密手段,其它还有截屏、访问剪贴板、访问用户浏览历史、cookies等,用家需要严防钩子与键盘(但是键盘访问【监听】这玩意,凡是需要按键输入的程序你都得放行,比如记事本、画图工具、office软件、浏览器、聊天工具、游戏等,否则玩游戏按键失灵,记事本浏览器输入不了文字)

剩下的访问屏幕与发送消息,一般来说危害性低,是个要用的程序都必须放行,但是,某些木马会利用访问屏幕截屏,你需要考虑。
弄懂以上这些,哪些程序该套用哪种权限,一般就有个大致的谱。但是,国内的一些浏览器、QQ、迅雷都开始加载驱动了,你用是不用?用就得放行。而众所周知,windows的尿性:驱动一加,神马都是浮云!
-----------------------------------------------------------
针对以上各项,做出合适的权限匹配,就安全了吗?no!以当下流行的勒索病毒为例,comodo默认的保护项目,只包括系统重要文件/目录及可执行程序,对于用户自己的资料夹、文档、图片等,并不在保护之列,如果你自己不添加保护并制定规则允许哪些程序访问,一旦运行勒索病毒,立马就会遭殃,除非你规则严厉,让它运行不起来,或者运行途中崩溃,否则就是倒下……

-----------------------------------------------------------
所以,综合比较来说,如果纯靠HIPS防御,要制定一套严密、合理的规则,真的不简单,有漏洞就是失败。相比较而言,自动沙盘简单粗暴而高效:FD与RD操作虚拟化,AD权限被严重剥夺【最严重的是全阻截】,除非穿沙,否则真的是被安全隔离,对用户实机一点伤害都没有。

所以,这就是现在的形势和趋势:自动沙盘完美防毒,没有遗漏【除非comodo自身设计缺陷或bug】,而且不影响正常软件的安装与更新!开手动HIPS,规则制定就是一大挑战,稍有考虑不周,FD与RD必然遗漏,一些AD方面可能也会有漏,而且还严重影响程序安装与系统更新(能够完美兼顾安装与防御的规则,除了毛豆另辟蹊径走信誉验证搞黑白名单的智能化,一般很难兼顾)。理性一分析和比较,费时费力折腾十天半月,效果可能还不如简简单单安安静静的自动沙盘,所以这就是自动沙盘成为主流和趋势的原因。

cardmeal
 楼主| 发表于 2018-1-22 16:35:28 | 显示全部楼层
本帖最后由 cardmeal 于 2018-1-22 16:44 编辑

[comodo列出的14项防御项目里,安装驱动和钩子、访问其它进程内存、访问物理内存、底层磁盘访问,这几项是比较危险的,历史上,一些知名病毒及恶意程序,就是通过这些手段搞坏事的。一般来说,正常的普通应用程序,一般不需要加驱,也无须安装钩子,也不需要访问物理内存和底层磁盘,至于访问其它进程内存,可能会读取资源管理器的内存做一些交互,由于毛豆读写不分,读取内存还是改写内存区别很大,眉毛胡子一把抓了,当然从防窃的角度来说,应该连读取也不许(毕竟每个程序的内存属于私密空间),但是。]
--------我的理解:恩恩,长知识了。“拦截后可能会影响一些程序的某些功能”,确实,有的程序真的无法运行了。



[简单点说,除了硬件、杀毒软件,一般的程序就不应该安装驱动程序(影音解码例外);除了杀毒软件防火墙,一般的程序不应该安装钩子(但是QQ之流不得不允许)。钩子和驱动是最大的威胁了。除了系统相关进程,一般的程序不应该访问物理内存和底层磁盘,当然杀毒软件必须例外,如果有硬件相关的管理软件可能也要例外,但是一些播放器(动态管理内存使用)、系统优化、清理软件、磁盘工具,你也必须允许。
进程间内存访问,这个就看你用的程序,以及它要访问的目标进程是谁。一般杀毒软件及windows核心进程,你可以设置允许它访问任何进程的内存【设置这一项的意义,需要结合病毒形势,了解新病毒利用此项的行为,明白哪些程序容易被“恶鬼附身”,才能针对性的设置保护,乃至于自保】]

-------我的现状:“除了杀毒软件防火墙,一般的程序不应该安装钩子”,我也这么认为,但是有些程序不给权限不能运行,比如chrome浏览器就安装钩子、读取内存、读取屏幕等等所有权限。我试着屏蔽,哪怕仅仅屏蔽安装钩子,结果打开浏览器就崩溃、不显示网页。如果我没操作失误的话,看来chrome的权限极大,关闭任何一个都不行。
-------我的做法:
因此只给杀毒软件防火墙那些关键权限,其他程序不给,这么做是不是不现实?总有些程序不得不用。要么放到沙盘,可是只是隔离程序对主机的修改,程序运行时依旧能读取主机的文件、内存等,相关权限关闭不了。虚拟机,不可能所有高权限的程序放到虚拟机里运行。既然些某些程序不给权限不能运行,我能否阻止它把读取的信息上传到网络?就好比流氓软件读取信息我挡不住,我可以尽全力阻止它联网?

-------我的领悟:“设置这一项的意义,需要结合病毒形势,了解新病毒利用此项的行为,明白哪些程序容易被“恶鬼附身”,才能针对性的设置保护,乃至于自保”,如果没理解错的话,我终于明白了comodo收费的价值:是实时的规则么



[对于上网安全来说,信息泄露是件大事,从HIPS的角度,安装钩子和监听键盘是主要的窃密手段,其它还有截屏、访问剪贴板、访问用户浏览历史、cookies等,用家需要严防钩子与键盘(但是键盘访问【监听】这玩意,凡是需要按键输入的程序你都得放行,比如记事本、画图工具、office软件、浏览器、聊天工具、游戏等,否则玩游戏按键失灵,记事本浏览器输入不了文字)]
[剩下的访问屏幕与发送消息,一般来说危害性低,是个要用的程序都必须放行,但是,某些木马会利用访问屏幕截屏,你需要考虑。]

-------我的现状:“用家需要严防钩子与键盘”等等权限,这个我分辨率不了,也处理不了超多的权限申请,一个个设置更是不可能。
-------我的做法:系统安装初期,仅仅安装驱动时,应该是最干净的(--系统镜像没问题、激活也没问题、驱动官方下的),这时大量的权限申请应该是无害的吧(虽说也有厂商后门--我认为是,屏蔽就好了)?这时基本赋予申请所有权限,应该风险最低。使用当中,之前漏网的系统权限申请,比如记事本、画图工具、office软件,人脑判断,一路放行。新安装的程序,在能运行的情况下尽量关闭安装钩子、监听键盘等等窃密手段。实在关不掉相关权限,亦或是漏网之鱼,通过防火墙警报、相关网络流量软件屏蔽其联网,不让泄露的信息上传。在平时的使用中,尽量用国外大厂软件,应该风险能低一点?


[弄懂以上这些,哪些程序该套用哪种权限,一般就有个大致的谱。但是,国内的一些浏览器、QQ、迅雷都开始加载驱动了,你用是不用?用就得放行。而众所周知,windows的尿性:驱动一加,神马都是浮云!]

-------我的做法:大神说加驱的软件,要么我不用,要么全部被我扔到虚拟机里了。个别的,虚拟机里又套了个沙盒,所以对我影响应该不大。唯一就怕下载文件的时候连接到危险网站,攻击我,比如下电影(正常的电影)时
-------我的领悟:“一般就有个大致的谱”,有点头绪了。

[针对以上各项,做出合适的权限匹配,就安全了吗?no!以当下流行的勒索病毒为例,comodo默认的保护项目,只包括系统重要文件/目录及可执行程序,对于用户自己的资料夹、文档、图片等,并不在保护之列,如果你自己不添加保护并制定规则允许哪些程序访问,一旦运行勒索病毒,立马就会遭殃,除非你规则严厉,让它运行不起来,或者运行途中崩溃,否则就是倒下……]
-------我的现状:按上面自定义允许运行的程序,白名单都被我删了,况且我下载程序很注重来路清白。
-------我的做法:下载的非白名单、陌生程序运行时,comodo应该会显示弹窗警告吧,我设置为“不显示弹窗警告--阻止运行”、“不显示提权警告--阻止运行”,是不是就能阻止勒索病毒的运行?
------不知去年爆发初期,按上面我的设置,Comodo能否阻挡wanncry加密文件?

[所以,综合比较来说,如果纯靠HIPS防御,要制定一套严密、合理的规则,真的不简单,有漏洞就是失败。相比较而言,自动沙盘简单粗暴而高效:FD与RD操作虚拟化,AD权限被严重剥夺【最严重的是全阻截】,除非穿沙,否则真的是被安全隔离,对用户实机一点伤害都没有。]
-------我的现状:“制定一套严密、合理的规则”,目前达不到,慢慢学。
-------我的疑问:comodo的沙盘能阻止程序的某些权限而又不影响运行吗?沙盘不是仅仅阻止对系统的修改,其他权限不受影响么?
-------我的疑问:FD、RD、AD是什么?

[所以,这就是现在的形势和趋势:自动沙盘完美防毒,没有遗漏【除非comodo自身设计缺陷或bug】,而且不影响正常软件的安装与更新!开手动HIPS,规则制定就是一大挑战,稍有考虑不周,FD与RD必然遗漏,一些AD方面可能也会有漏,而且还严重影响程序安装与系统更新(能够完美兼顾安装与防御的规则,除了毛豆另辟蹊径走信誉验证搞黑白名单的智能化,一般很难兼顾)。理性一分析和比较,费时费力折腾十天半月,效果可能还不如简简单单安安静静的自动沙盘,所以这就是自动沙盘成为主流和趋势的原因。]
--------我的现状:“还严重影响程序安装与系统更新”,没错,杀毒软件时常不能更新。一直担心,comodo的白名单是不是除了病毒,哪怕流氓也能给钱就上?——这也是我删除白名单的原因。
-------我的领悟:有些程序,我以后放到comodo的沙盒里运行。话说,沙盒里面能限制程序的权限吗?比如沙盒能限制chrome运行钩子吗?


感谢大神


HEMM
发表于 2018-1-22 17:55:17 | 显示全部楼层
本帖最后由 HEMM 于 2018-1-22 17:58 编辑
cardmeal 发表于 2018-1-22 16:35
[comodo列出的14项防御项目里,安装驱动和钩子、访问其它进程内存、访问物理内存、底层磁盘访问,这几项是 ...

虚拟机里又套了个沙盒.......呃...........
COMODO的沙盒可以削部分权限而不影响运行,大概........

沙盘可调制限制等级,我的是限制级别,别和我学,基本双击的未知无法运行...一闪而过,甚至闪都没,入后没.....

我复制过来的.....
虚拟化运行-运行应用程序将运行在一个虚拟的环境完全隔离的操作系统和其余的您的计算机上的文件。

限制运行-允许应用程序访问操作系统资源很少。应用程序不允许一次执行超过 10 个进程和运行具有非常有限的访问权限。在此设置下,一些应用程序,像电脑游戏可能无法正常工作。

阻止-应用程序不允许所有运行。

忽略-应用程序不会在沙盒内和允许使用所有权限来运行。

部分限制-SB内的进程不受大部分系统限制,进程以系统提供的默认安全限制运行,虚拟化、进程内存占用和执行时间限制依然施行。

低权限-SB内的进程应用了一部分系统支持,进程以受限访问运行,类似非管理员模式,进程不能执行超过10个子进程。

限制性-SB内的进程受大部分系统限制,进程受限访问并比受到比低权限更多的限制,进程不能执行超过10个子进程,禁止访问许多系统资源如剪切板等。程序如游戏,可能会无法正常运行。

不信任-SB内的进程受到所有系统限制,进程受限制访问类似限制级,进程不能创建其他进程并禁止访问一些系统资源。交互性程序在此无法运行。

还可以定义些其他设置,我没定义过,嫌麻烦........

要运行对外信誉良好,但是你又想限制的如某通讯家,采取部分限制级别,这是沙盒内最低的限制级别.....
其余的级别自己尝试......

另:https://baike.so.com/doc/5583980-5796573.html
嘻嘻,我懒.......


柯林
发表于 2018-1-22 18:13:54 | 显示全部楼层
cardmeal 发表于 2018-1-22 16:35
[comodo列出的14项防御项目里,安装驱动和钩子、访问其它进程内存、访问物理内存、底层磁盘访问,这几项是 ...

你这个文风,看着头大。

具体实情不了解,个人觉得comodo作为安全证书颁发机构,应该还是比较严谨的,给钱就加白,这应该是国内作风,当然具体内幕如何,不知,印象中还没听说过此类丑闻。对于国产软件的加白,更可能的原因是:“人在屋檐下,不得不低头”,要进入大陆市场,就要“入乡随俗”。

-----------------------------------------
其实安全最简单的做法是:备两台机子,一台上网,随便装(卡巴或国产数字装一个就行),随便玩,不存储重要资料,网购就用手机。
另一台存储重要资料,做事情,绝不联网,装个CCAV就够了——要它的自动沙盘功能,病毒库无所谓。设置沙盘规则,把U盘和光盘路径入沙即可【实在犯奸心,把Windows目录与Program Files (x86)目录及Program Files 目录忽略外,加条“所有应用程序*入沙的规则(不管信誉如何)】。另外,准备个移动磁盘,把重要资料备个份【防止机子“炸了”或硬盘废了】。

像这么玩,再不安全的世界又能耐你何?顶多丢个论坛账号之类的,其它的哪会有什么损失!
HEMM
发表于 2018-1-22 18:34:57 | 显示全部楼层
柯林 发表于 2018-1-22 18:13
你这个文风,看着头大。

具体实情不了解,个人觉得comodo作为安全证书颁发机构,应该还是比较严谨的, ...

可人新只是不知道肿么引用.....你要告诉他要点引号引用你的段子。

嘻嘻~
无欲则刚惹....时间和金钱的衡量........

其实每个人的资料对于每个人的意义不同,比如游戏存档,大不了毁掉了,对于很多人不会心痛,我要是个人不小心删掉了,我会发疯30分钟来悼念。
备两台电脑是土豪的做法,偶素穷X偶自豪.......可人的小新新只是想在现有条件下尽量的提高安全性惹,表示理解并想勒索内裤作为燃料,果照作为纪念(女免....)~
cardmeal
 楼主| 发表于 2018-1-22 18:57:34 | 显示全部楼层
HEMM 发表于 2018-1-22 17:55
虚拟机里又套了个沙盒.......呃...........
COMODO的沙盒可以削部分权限而不影响运行,大概........

了解了
cardmeal
 楼主| 发表于 2018-1-22 19:00:59 | 显示全部楼层
本帖最后由 cardmeal 于 2018-1-22 19:44 编辑
柯林 发表于 2018-1-22 18:13
你这个文风,看着头大。

具体实情不了解,个人觉得comodo作为安全证书颁发机构,应该还是比较严谨的, ...

大神是如何阻止程序调用摄像头、麦克风的?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 17:25 , Processed in 0.098112 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表