本帖最后由 柯林 于 2019-3-28 11:36 编辑
病毒进入机子,运行起来就麻烦了,入口拦截可能是最简单高效的防御(特别是对于VSE这样AD欠缺的杀软)
一般人没时间精力进行折腾,规则尽可能的简单有用(抓关键的东东)才是“白菜所爱”。对于VSE这样的杀软来说,可以在默认的基础上,抓关键点,进行一些针对性的简单设置,加强防御就可以。以下思路,是一种简单的“增强型入口防御方案”,有兴趣的可以尝试下。
=============================================================
从创建与执行两方面进行控制(为了便于掌握与控制,设置集中到自定义规则里)
---------------------------------------------
1、数据保护规则---对重要的目录实施保护(数据盘E盘、F盘,桌面(安装时需禁用)、我的文档、图片)
------------------------------------------------
【文件管制】
2、重点文件管制---禁止创建pif、bat、vbs、scr、ps1文件
3、重点管制---禁止创建修改exe文件与dll文件(想要放过系统更新,添加必要的排除名单)
4、宏病毒防护--保护重要模板
------------------------------------------------
【执行监控】
5、禁运用户目录下的temp目录(安装时需要禁用,排除麦咖啡必要进程);禁止执行*.tmp(安装时需要禁用)
6、脚本管制--禁止cmd.exe, cscript.exe, powershell.exe, wscript.exe读取执行任何文件(安装时需要禁用)(禁止cmd是否影响正常应用,可能需要观察、测试)
------------------------------------------------
【注册表防护】
7、驱动与服务防护---禁止不明程序访问system下的services项(安装时需要禁用,系统更新时可能也要禁用)【参考自带规则进行设置、调试,或可添加排除名单排除Program Files文件夹以及系统目录下的重要进程比如 C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, )
8、自动运行防护---禁止不明程序操作注册表里的run项(排除*\Program Files\**,系统更新时或许要禁用)
----------------------------------------------------
【网络访问控制】
9、切断危险程序的网络访问---譬如禁止cmd.exe, cscript.exe, powershell.exe, wscript.exe的网络访问
如果用了系统墙增强控件WFC无须费神,如果只是用的系统墙,可以做一条网络访问拦截规则(禁止0-65535端口出站,自己添加允许访问网络的程序名单,安装软件与更新系统时或许需用禁用该规则)
------------------------------------------------------
【监控记录】---可以适当打开一些默认规则的日志记录,以便日后追溯
-------------------------------------------------------
以上所有涉及到安装(需要临时禁用的规则),用统一的符号在规则名称上进行标记,进行安装或系统更新时,将其临时禁用。
|
发表于 2019-3-28 11:35:22
楼主
