查看: 45362|回复: 181
收起左侧

[分享] 优秀的安全辅助软件——OSArmor系统护甲

  [复制链接]
qftest
发表于 2018-10-29 18:03:39 | 显示全部楼层 |阅读模式
本帖最后由 qftest 于 2019-1-12 10:25 编辑
一、前言

ERP v4难产,test30了仍迟迟未能推出正式版,有同学就问我有没有类似软件可推荐,想拿来防止被偷偷安装流氓软件、后台静默滥用脚本以及利用系统程序做坏事,要求兼容性好+免费+操作简单+流畅轻巧+排除方便+......
当时我就说,OSArmor要不要!

Monitor and block suspicious processes behaviors to prevent infections by malware, ransomware, and other threats. This security application analyzes parent processes and prevents, for example, MS Word from running cmd.exe or powershell.exe, it prevents ransomware from deleting shadow copies of files via vssadmin.exe, it blocks processes with double file extensions (i.e invoice.pdf.exe), it blocks USB-spreading malware, and much more. It monitors commonly exploited processes (such as MS Office, Java, Web Browsers, Adobe PDF, Flash, etc) and blocks suspicious child processes, blocking the exploit payloads and thus preventing the malware infection.

                                                                                                                                                                                                                                                              ———— NoVirusThanks

OSArmor(以下简称OSA)为系统添加了一个额外的保护层,作为一款免费的基于规则的安全辅助软件,与同宗的ERP不同的是,OSA内置了500多条规则以阻止恶意程序行为和提高系统安全,普通用户几乎无须修改默认设置,就象作者说的“You don't have to configure anything, just install it and forget about it.”(安装它,忘记它),如果对系统环境非常了解,还可以勾选启用高级规则甚至手动添加自定义规则给予系统更好的保护
OSA安装包8Mb,主进程和UI运行时仅占用四十几兆内存,而且兼容性好,可以与EMSI/BD/NS/KIS/ESET等大多数杀软同时运行,事实上还可以与SSP/HMPA/SBIE等安全辅助软件和谐共处,尽管如此LZ仍然习惯性建议互相排除一下
you should make sure that OSArmorDevSvc.exe, OSArmorDevUI.exe, OSArmorDevCfg.exe and OSArmorExcHlp.exe are allowed/excluded in the HIPS settings.

All OSArmor .EXE files are located in C:\Program Files\NoVirusThanks\OSArmorDevSvc\


(SHA256:B958CF6672436ABEB02BFD45B6E27091F7F285E77EF88FAC60DABDBD03DEBBC9)

官方下载:https://www.novirusthanks.org/products/osarmor/

更多的相关讨论在这里:
https://www.wilderssecurity.com/ ... -of-defense.398859/
https://malwaretips.com/threads/novirusthanks-osarmor.78195/

二、配置OSA

在主界面或托盘图标右键点击“open configurator”都可以进入OSA设置





1、Main Protections 主要的保护项目
With default settings enabled you gain a good additional layer of defense, it blocks VBS/JS/VBE/WSF scripts, MS Word/Excel/PowerPoint/etc exploit payloads, COM/PIF processes, and much more.

This way you drastically reduce the possibility of getting infected by ransowmare, malware, trojans, etc spread via emails, scripts, maldocs, .pdf.exe, etc.

在默认设置中是全部启用的,无须修改,保持默认就行





2、Anti-Exploit 漏洞保护
With the "Anti-Exploit" module, OSArmor protects a process by monitoring the child processes using smart internal rules, thus blocking the exploit payload.

在默认设置中是全部启用的,无须修改,保持默认就行





3、Advanced 高级规则

By enabling some or most of the Advanced options (recommended only to experts) you can increase the protection layer.

考虑到兼容性,在默认设置中仅启用了寥寥数条高级规则,除非十分了解自己正在做什么,否则建议保持默认







4、Settings 设置
截图对默认设置做了些许改变
另,由于LZ不喜欢OSA自带提示音所以换了一个,可以覆盖为C:\Program Files\NoVirusThanks\OSArmorDevSvc\loon.wav






5、Exclude 白名单
OSA添加白名单很简单——系统运行过程中触发OSA规则、右下角弹窗报警,如果确认是误拦,直接点击Exclude按扭打开详情界面,然后点击Add to Exclusions即可



三、小结

OSA完全可以做到“安装它,忘记它”,非常适合想拥有额外免费保护层的普通用户,推荐!

据说v1.5正在研发中,届时将有自动更新的功能,期待中~

关于实战,OSA作者有话要说:
This program does not block the ransomware when it is executed manually by double clicking the .exe file, it prevents the infection by a ransomware by blocking the payload of the exploit used to delivery the ransomware.

It works by preventing a malware or ransomware infection in real-world scenario.

You should test it with real-world scenarios:
- Opening a malicious .DOC\.PDF.\XLS.\etc. file used to exploit MSWord\MSExcel\PDF Reader\etc to drop\download and execute a payload (malware\ransomware\etc) in the system
- Visiting a malicious website that exploits a vulnerability (Java\Flash Player\PDF\etc) to download and execute a payload in the system
- And so on. Simply clicking on a .exe file or a .vbs file would not trigger any alert.

所以如果双击样本没有触发OSA拦截,可不要武断地认为OSA失效哦!

本来帖子最后LZ还想弄点实战的,结果因为时间关系弄不了,感兴趣的同学还是去看OSA作者的相关实战视频吧https://www.youtube.com/user/novirusthanks/videos



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 18分享 +2 人气 +37 收起 理由
qq5150 + 1 版区有你更精彩: )
freesoft00 + 3
HEMM + 3 这是啥子玩具?
Kaspersky用户 + 3 加分鼓励
Johnkay.Young + 1 谢谢q桑

查看全部评分

本帖被以下淘专辑推荐:

qftest
 楼主| 发表于 2018-11-7 10:13:47 | 显示全部楼层
JAYSIR 发表于 2018-11-5 14:03
嗯,怎么都不能卸载,添加白名单好像也没用,不排除我操作问题,我直接关了软件。
不过我电脑上基本没流 ...

AdGuard等确认无害的软件,可以在安装/卸载时临时禁用OSA,否则会被误拦——因为AdGuard在安装过程中会调用sc注册服务、并且调用net启动服务

尽管OSA已设计为尽量少的干涉系统正常运行,但对于任何基于规则的安软而言,误报仍是难以避免的,你无法预期各种各样的软件是如何运行

此时,可以参考85#、87#的操作

若实在不知如何处理,可以将相关日志贴上来,日志文件夹是C:\Program Files\NoVirusThanks\OSArmorDevSvc\Logs

我会提供帮助,OSA作者也会不定时通过谷歌翻译查看本帖提交的报告以解决可能存在的BUGs



关于中文版的问题,OSA作者已有相关回复,作者表示将在未来版本中支持多国语言

@gtc   @联特讯(曹)   @494823846   @feelingdld23   @z123456789x   @lkjx21   @zhuzao110   @lanmao   @HEMM   @红猫   @boyving   @fqpy

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3人气 +9 收起 理由
HEMM + 3 他帅吗?
JAYSIR + 3 幸苦了幸苦了
KevinYu0504 + 3 小Q辛苦了,积极为卡饭大家找福利

查看全部评分

qftest
 楼主| 发表于 2019-1-12 10:24:17 | 显示全部楼层


v1.42正式版经过test7终于发布了~

+ During uninstallation, ask user "Do you want to remove all settings, log files and .DB files?"
+ Improved internal rules to block suspicious process activities
+ New rule: Prevent msiexec.exe from executing unsigned .tmp files (useful to mitigate "exe-to-msi" behaviors)
+ Improved uninstaller scripts (both .sys files are now removed)
+ Improved internal rules to block suspicious command-lines
+ Fixed: If I move the taskbar on left, top or right, the notification dialog is not displayed correctly
+ Added option to password-protect power options (Configurator -> Password tab)
+ Fixed some false positives
+ Minor improvements

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 我怀疑作者是单身= =

查看全部评分

zghnsy127
发表于 2018-10-29 18:07:27 | 显示全部楼层


谢谢分享 看看能不能第二...
Kaspersky用户
发表于 2018-10-29 18:07:36 | 显示全部楼层
前排资瓷其实我个人感觉这贴更应该发到原创工具区-软件分享
KevinYu0504
发表于 2018-10-29 18:25:58 | 显示全部楼层
小Q好久不见 ~

辛苦您发了这么一篇优质好文 ~

评分

参与人数 1人气 +3 收起 理由
qftest + 3 好久不见

查看全部评分

浅美
发表于 2018-10-29 19:17:49 | 显示全部楼层
收藏了,毕竟小众软件容易忘记。
飞碟1234
头像被屏蔽
发表于 2018-10-29 19:38:48 | 显示全部楼层
过来拜读欺负姐大作

评分

参与人数 1人气 +1 收起 理由
qftest + 1 哈哈: )

查看全部评分

gtc
发表于 2018-10-29 19:43:28 | 显示全部楼层
要有中文就更好了

评分

参与人数 1人气 +1 收起 理由
qftest + 1 感谢支持,欢迎常来: )

查看全部评分

alalei
发表于 2018-10-29 19:49:21 | 显示全部楼层
收藏,下载试用
联特讯(曹)
发表于 2018-10-29 20:08:02 | 显示全部楼层
小Q大大,能不能弄成汉化版的啊?

评分

参与人数 1人气 +1 收起 理由
qftest + 1 请看32楼回复

查看全部评分

f59375443
发表于 2018-10-29 21:40:43 | 显示全部楼层
大概是什么拦截原理,hips?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 13:24 , Processed in 0.142261 second(s), 23 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表