查看: 1588|回复: 4
收起左侧

[讨论] 安全小建议

[复制链接]
柯林
发表于 2018-7-1 10:42:23 | 显示全部楼层 |阅读模式
windows目前的机制,进了ring0就无法无天了,一切都将成为摆设
用毛豆的人,如果想追求一点“更多的安全”,有点“第二道保障”,可能需要强化一点,比如说:
开HIPS,全局制定规则:禁止加驱!【为免蓝屏死机,加上这条规则后,建议改学习模式,重启系统跑一下,再改回安全模式】
相关辅助规则,加一条全局禁止访问系统注册表服务项【排除windows系统进程组与毛豆组】(这一条安全性虽好,排除却很麻烦,系统更新时,有些相关程序会访问,可能需要临时禁用HIPS,否则补丁打不上)(为免蓝屏死机,同样的,改学习模式重启机子看看)
【凡是学习模式得到的规则,自己整理编辑下,不合适的就改掉】

防止加驱第一重要,剩下的,大概也没多少重点了,可以全局禁止访问windows系统进程、浏览器的内存,拦截钩子安装,禁止访问键盘,就选这几项简单点的要点吧。拦截键盘监听这一项,根据日志调整,放行你要用的程序;钩子安装,一般可以拦截的都拦截了试试,实在不行再放,比如QQ

至于入口防御,可以在沙盘规则里加一条禁止执行*\AppData\Local\Temp\*的关门规则,需要安装、卸载软件时再临时关闭。

懒散,不想太费精力的人,或许这样简单弄点重点防御用用也就可以;追求极致不妨上HIPS疯狂模式,只是不稳定的Bug豆经常丢规则,靠规则防御是个问题。没心思玩软件浪费精力的人,可以考虑其它简单、省事的安全套装,比如Sep与FSCS之类(优先推荐Sep,西门提克大企业,专职吃安全饭这么多年,技术积累可信,关键一点,人家曾经与微软交换过源代码,是最懂windows门道的内行之一)

ps:防火墙里经常显示的System,这个无路径的东东,究竟是啥?有防火墙显示,它指向的对应实体是C:\Windows\system32\ntoskrnl.exe,应该是指系统核心处理网络的功能模块。别再为这东东纠结了。
con16
发表于 2018-7-1 12:40:57 | 显示全部楼层
現在很懶得弄些規則

去官方論壇看最近一些問題有人提問
毛豆官人說法是管不了使用者行為.....
HEMM
发表于 2018-7-1 16:40:33 | 显示全部楼层
本帖最后由 HEMM 于 2018-7-1 16:48 编辑

ntoskrnl.exe~咩咩咩~,蓝屏之王表示经常看见这个进程哦~
虽然BUG豆儿有这样那样的问题,没心思玩我也不想换......反正有HIPS在我就开心~其余的带HIPS的我又用不惯......
有尝试接触过火绒......实在是不习惯,BUG豆儿和MD像一点儿,有组规则,省心,稀饭。
禁驱,一般把系统内的驱动全允了完事,学习模式太可怕了,BUG豆儿不是MD,不推荐使用学习模式,一个更改修正规则后没时间点查询参考的豆儿,使用这个就是灾难,规则多一点儿........。
总之MD是最接近完美的HIPS,虽然也有规则太多,打开后响应会变长等问题,氮素要舒服的多,其余的......哈~都各自有闪瞎眼的问题。

wang55
发表于 2018-7-1 18:16:21 | 显示全部楼层
好建议
太古汇聚
发表于 2018-7-2 08:52:40 | 显示全部楼层

学习了,感谢分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-29 15:10 , Processed in 0.146496 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表