查看: 2920|回复: 13
收起左侧

[讨论] 另类防御方案--侧重数据保护+限制性防御

[复制链接]
柯林
发表于 2018-10-24 12:15:01 | 显示全部楼层 |阅读模式
假设你的机子,硬盘分了四个分区,可以尝试用如下方案执行保护。

========== 假设你机子干净(全盘扫毒后)===========

禁止C:\Users\* 写入、创建、删除、执行 D:\*,E:\*,F:\*

禁止cmd.exe,wscript.exe,powershell.exe写入、创建、删除、执行 D:\*,E:\*,F:\*,U盘(譬如I:\**,J:\**,K:\**,L:\**)

禁止cmd.exe,wscript.exe,powershell.exe执行C:\Users\*及下载目录(比如D:\360安全浏览器下载\**,E:\迅雷下载\**)

禁止U盘上的程序(譬如I:\**,J:\**,K:\**,L:\**)写入、创建、删除、执行C:\*, D:\*,E:\*,F:\*

禁止*写入C:\Users\*\Desktop\**,C:\Users\*\Pictures\**,C:\Users\*\Documents\**【排除C:\Windows\explorer.exe,压缩软件, C:\Windows\system32\dllhost.exe, C:\Windows\system32\notepad.exe,所用的浏览器,电邮软件,QQ等通讯程序】(这一条影响安装程序创建快捷方式到桌面,变通法则之一可以手动打开安装目录,自己创建一个快捷方式)

【补充防护】:禁止下载目录(比如D:\360安全浏览器下载\**,E:\迅雷下载\**)读取、写入、执行**

【二道保护】:对重要的资料夹设置特别保护规则(只允许指定的程序读取、写入)

========= 驱动管理 ========

禁止C:\Users\*操作注册表HKLM  /SYSTEM/CurrentControlSet/Services/** 服务项 (如果影响极个别需要安装驱动或服务的软件安装运行,临时调整下)

禁止U盘上的程序(譬如I:\**,J:\**,K:\**,L:\**)操作注册表HKLM  /SYSTEM/CurrentControlSet/Services/** 服务项

======== 开机启动管理 =======

修改自带规则“通用最大保护--禁止将程序注册为自动运行”,删除排除项目,删除包含项目,将包含项目改为:C:\Users\*, D:\*,E:\*,F:\* 以及下载目录(比如D:\360安全浏览器下载\**,E:\迅雷下载\**)(如果该条影响个别软件的安装(装好后自动运行),临时调整下)


---------------------------------
该方案的设计思路,尽量贴近自带的默认规则,一般情况下,设好后就不用管,几乎可以忘记它的存在,不影响系统更新,也不影响软件的安装卸载,基本上与默认规则区别不大。

规则侧重于数据保护(系统盘玩坏,重装系统就是,其他盘数据保持完整),重点防御来自网络与U盘的病毒。
设想是:在VSE杀毒有漏的时候,尽可能地保护用户资料;规则遗漏,可能对于敲竹杠的脚本,以及注入型病毒不得力——该方案的主要设计思路是,不限制病毒文件的下载、创建,甚至执行,只是限制它的破坏能力,如果设计可行,理想状况是,病毒下载就下载了,VSE没有判黑杀掉也就算了,用户不知是毒,点击运行也就运行了,大不了把系统盘搞废,重做系统就是,用户数据能够保持完好就ok,附加一些行为记录(喜欢看日志的可以看看)。

该方案需要用户有一定的了解及动手能力,新版MSE上设置较佳,VSE上实行起来相对麻烦(要加的规则太多了)

有兴趣的可以尝试看看,能够指出漏洞、不足,加以提升完善是最好的。如果这种思路设计得好,完全就是“智能化”的规则,能够有效防毒而又能很好的保护用户数据,使用上贴近“少打扰、不费心”的原则。


ldkvfeng
发表于 2018-10-24 20:03:55 | 显示全部楼层
打破零回复,柯大的帖子一定要支持,咖啡很少有人发教程了
wfl5201314
发表于 2018-10-24 20:19:37 | 显示全部楼层
收藏备用,
柯林
 楼主| 发表于 2018-10-24 21:12:49 | 显示全部楼层
ldkvfeng 发表于 2018-10-24 20:03
打破零回复,柯大的帖子一定要支持,咖啡很少有人发教程了

逻辑推演上,规则是有漏洞的:如果病毒创建可执行文件到了windows目录及Program Files*里,就突破了对C:\Users\*之类设置的限制,如果没有被杀毒kill掉,就悲剧了
所以必要的话,可勾选默认自带“禁止创建可执行文件到windows目录及Program Files”这两条来防御,加了之后,会影响系统更新与程序安装,需要调整或排除,这又有点复杂了,且违背“智能傻瓜化分流”的初衷

或许,VSE+Sandboxie是最好的选择,可以参考网上的经验,做“互补设计”——
VSE锁定的目录,只允许读取,不允许写入;VSE允许写入的目录,Sandboxie作虚拟化处理。二者结合起来,病毒可能就很难进来搞事了。
asdx145266
发表于 2018-10-24 22:04:35 | 显示全部楼层
柯大,我现在用的是ves精简版规则,正在慢慢实验,感觉挺好用的。希望多写点教程
柯林
 楼主| 发表于 2018-10-25 08:08:15 | 显示全部楼层
asdx145266 发表于 2018-10-24 22:04
柯大,我现在用的是ves精简版规则,正在慢慢实验,感觉挺好用的。希望多写点教程

VSE教程,以前的大咖们已经差不多讨论得穷尽了,那些严厉得“铁桶一般”的规则就是极致,基本没啥好说的了

我这两年发的小白规则,主要是改善易用性(最起码的系统更新不要受影响)加侧重数据保护,防护上其实没有以往那些“百毒不侵”型强,你可以找那些教程看看(比如叶版、熊猫、邪版等人的)

VSE毕竟只是一个组件,要完整,可以考虑加上Sandboxie,或者直接换新版MSE玩(对机器性能要求高点)
DDT12345678
发表于 2018-10-25 18:19:30 | 显示全部楼层
收藏备用
asdx145266
发表于 2018-10-25 23:00:40 | 显示全部楼层
本帖最后由 asdx145266 于 2018-10-25 23:41 编辑
柯林 发表于 2018-10-25 08:08
VSE教程,以前的已经差不多讨论得穷尽了,那些严厉得“铁桶一般”的规则就是极致,基本没啥好说的 ...

柯大mes,我不会玩,,而且8以前的大咖们的规则好像是8.几,可以用在最新版上吗
柯林
 楼主| 发表于 2018-10-26 08:29:24 | 显示全部楼层
asdx145266 发表于 2018-10-25 23:00
柯大mes,我不会玩,,而且8以前的大咖们的规则好像是8.几,可以用在最新版上吗

一般来说,规则都是通用的(通常32位系统与64位系统注册表路径不同),只是极个别版本,通配符路径可能有稍许不同(一般都是用家自己实验摸索出来的),另外规则思想不一致,看你的需要了——比如以前叶版等的规则相对较严,墨池大大的则是最严的了,这个要看你的喜好决定
hagcse
发表于 2018-10-26 21:08:13 | 显示全部楼层
柯林 发表于 2018-10-26 08:29
一般来说,规则都是通用的(通常32位系统与64位系统注册表路径不同),只是极个别版本,通配符路径可能有 ...

这个我也认同,规则基本是通用的。 只是个人使用上面有区别,但只要大的方向不变,基本够用的。太严格了不适合自己,太宽松了又怕不安全。所以这个得因人而异,随时用随时调整你的规则。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 18:07 , Processed in 0.133419 second(s), 21 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表