小白脑洞：简单保护资料

柯林

这年头，勒索把大家都闹紧张了，资料很重要，如何保护？
如果只想简单弄下，以保护数据为目的，用VSE简单弄下就可以啦。

======= 操作参考以下步骤 =========
1、把桌面、我的文档、图片库，迁移到非系统盘（方法请百度）
2、打开vse，自定义保护规则
假设你系统安装在C盘，写上对非系统盘的保护规则就可以了，譬如说你有D\E\F盘

规则1、保护D盘文件不受非法写入
包含：*
排除：C:\PROGRAM FILES (X86)\**.EXE, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\system32\notepad.exe
目标：D:\**
操作：（勾选）写入  删除
（说明）：如果个别操作需要dllhost.exe，那就在排除名单里加上C:\Windows\system32\dllhost.exe（一般能不加入就不加这东西）

同法炮制，再写上对E盘、F盘的保护规则，是不是超级简单？效果，什么勒索、批处理、脚本，是破坏不了这些磁盘上的文件的（当然加驱的病毒就浮云了，加密磁盘引导区的病毒也不在此列，这个只是对付常规病毒、恶意脚本）。经测试，dos命令可以删除，为安全防护到位，应该再加上禁止删除。单是防止写入，还是有漏洞。

这什么意思呢？意思就是，除了C:\Program Files里的exe，谁也不能改写这些磁盘上的文件，例外还有explorer.exe与notepad.exe等。
那么，病毒要是跑到C:\Program Files里，不就白忙啦？所以哈，有这顾虑，那就加上一把锁——打开访问保护，通用最大保护里，（勾选）禁止在 Program Files 文件夹中创建新的可执行文件，那就没有漏洞啦。勾选这一条，会影响程序安装、卸载，所以你在安装、卸载程序时，需要临时禁用。（极个别系统补丁可能受影响，比如ie8升级为ie11，如果日志显示补丁更新失败，临时禁用该条，再安装一下补丁看看）

如果讨厌后台推广（全家桶什么的），以及一些恶意程序，可以打开访问保护，防间谍程序最大保护，（勾选）禁止所有程序从 Temp 文件夹运行文件。这一条同样影响程序的安装、卸载，以及系统补丁的更新（因为这一条包含了C:\Windows\Temp在内），当你安装、卸载程序以及更新系统时，需要临时禁用这一条。

简单加强，为本机数据提供有力保护，在默认基础上，就这么随便弄弄，效果就很赞。喜欢的小白可以一试。

补充下：假如迁移桌面之类太麻烦，可以变相处理---比如说，你喜欢把文件存储、下载到桌面使用，那么可以在D盘或者E盘建立一个文件夹，取名“桌面文件保存处”（不要冒号），建个快捷方式到桌面，把以前放到桌面的文件都放里面就可以了。有必要的话，图片也类似处理（建个快捷方式到桌面，再把该快捷方式移动到图片库里，把网上下载的图片放进去即可）

如果追求保险，最好加两条----禁止*执行格式化命令，以及分区命令
--------------------------------------------------------------------------------------
再补充两句：排除名单直接写C:\PROGRAM FILES (X86)\**.EXE, C:\Program Files\**.exe，是属于懒人做法，目的求通用，规则做好就可以不管，Program Files里不管安装的什么程序，都无须调整规则。如果有精细控制欲，可以具体一些，指定Program Files里有哪些程序可以完全访问被保护的磁盘（对受保护的数据盘执行改写操作），后果就是麻烦一些，有新的软件安装，就需要调整规则，而相应地，也有一点好处，不用再锁定Program Files里的文件安装，即使病毒跑到Program Files里也没有关系。（关于排除名单，如果你有一些程序放在非系统盘上，如果要用它操作受保护的磁盘上的文件，也得添加排除，请酌情修订）（如果有备份系统的习惯，在备份操作时，可能得暂时停用规则）
如果有特别重要的文件，收录在某个文件夹里，最好再针对该目录做一条严厉规则，禁止非授权程序对其：读取、创建、写入、删除。
在制定此类规则时，需要考虑系统更新问题（系统更新时，会把一些文件解压到某个磁盘的根目录上执行），不能把所有的磁盘都包住，必须留一个（至少系统盘C），否则补丁打不上，又得禁用规则。

注意：如此设置，仅仅是保护常规病毒或恶意程序无法修改受保护的磁盘上的文件，以此起到“受保护的文件不受伤害的作用”，但是无法防御病毒的运行，对于盗号之类的木马也毫无作用；另外，对于宏病毒，这个也没有保护作用，有需要得另加规则，不想加规则请使用高版本的office（2007以上）并且永不使用宏。【再次提醒，这些设置，对于加载了驱动的病毒是没用的；另外是否有厉害病毒利用系统漏洞直接绕过杀软的防护而使一切形同虚设，理论上有可能。】如果有精力，最好加一些入口防御规则。按windows的机制，病毒一旦设为开机启动，就麻烦了，一些安软，对这个抓瞎，咖啡是否防护更得力一些，没测过，不清楚，如果是一样的，那这次不中毒，关机再开就完了。

最后的忠告：规则不是万能，仅是杀毒的一个补充，万一哪天遇到可怕漏洞，一切都是摆设，那就惨啦。最好勤备份。

l10x

谢谢分享。

jone_jys

----------------------------------------------------------------------------------------------------------------------
4 全局运行非系统磁盘程序（预留规则，可选）

子规则
禁止执行所有非系统盘程序   （操作：执行）
包括 文件?:\**.*
排除 文件C:\**

----------------------------------------------------------------------------------------------------------------------

ENS下面，一条规则。

简约 而不简单！

dllhost.exe，这个是提权了的。如果explorer.exe搞不定的，dllhost.exe就会出来了。反过来说，如果禁止explorer操作的话，后者就没机会出现了。

柯林

jone_jys 发表于 2018-12-1 10:47
ENS下面，一条规则。

简约 而不简单！

理解了，兄弟的意思是再加上一条禁运非系统盘的规则。
这一条确实简单高效。但是对于脚本与批处理无力，比如U盘上的bat文件与vbs文件，执行者在system32下
个人测试，对于wscript.exe执行某地方的vbs文件，单是勾选拦执行，防不住，必须勾上禁读，奇吊的是默认自带的禁止执行Temp那一条能够防住，不知道默认是怎么设置的（是不是勾了禁读）

另：桌面也是个奇诡的地方，假设把bat文件放在桌面上执行，禁止cmd.exe执行*\Desktop\**也是防不住的，必须勾选禁读才可以，其它地方则无须这样（而且奇诡的是，第一次执行桌面上的批处理，日志拦截竟然是svchost（如下）：
2018/12/1        9:34:47        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\SYSTEM32\SVCHOST.EXE        C:\USERS\ABC\DESKTOP\KJH.CMD        防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件        已阻止的操作: 读取
（明明是我点击的，应该是explorer，咋就和svchost扯上关系，不懂！）

之后再测，才是拦截的cmd：
2018/12/1        9:34:47        已由访问保护规则禁止         MRF\ABC        C:\WINDOWS\SYSTEM32\CMD.EXE        C:\USERS\ABC\DESKTOP\KJH.CMD        用户定义的规则:禁止执行桌面上的批处理【防毒】        已阻止的操作: 读取

nuaaaaun

感谢分享方法

侠氕

感谢分享

www-tekeze

技术帖！先顶再看。。

柯林

www-tekeze 发表于 2018-12-1 14:39
技术帖！先顶再看。。

这个毫无技术可言啊，只是基本的用法，FD保护这样简单一些。

www-tekeze

柯林 发表于 2018-12-1 15:28
这个毫无技术可言啊，只是基本的用法，FD保护这样简单一些。

看你说的，对小白的我来说像天书一样。。。晚上抽空研究。。

柯林

www-tekeze 发表于 2018-12-1 15:37
看你说的，对小白的我来说像天书一样。。。晚上抽空研究。。

晕了