搜索
查看: 810|回复: 6
收起左侧

[讨论] 增强入口防御

[复制链接]
柯林
发表于 2019-3-28 11:35:22 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2019-3-28 11:36 编辑

病毒进入机子,运行起来就麻烦了,入口拦截可能是最简单高效的防御(特别是对于VSE这样AD欠缺的杀软)
一般人没时间精力进行折腾,规则尽可能的简单有用(抓关键的东东)才是“白菜所爱”。对于VSE这样的杀软来说,可以在默认的基础上,抓关键点,进行一些针对性的简单设置,加强防御就可以。以下思路,是一种简单的“增强型入口防御方案”,有兴趣的可以尝试下。
=============================================================
从创建与执行两方面进行控制(为了便于掌握与控制,设置集中到自定义规则里)

---------------------------------------------
1、数据保护规则---对重要的目录实施保护(数据盘E盘、F盘,桌面(安装时需禁用)、我的文档、图片)

------------------------------------------------
【文件管制】

2、重点文件管制---禁止创建pif、bat、vbs、scr、ps1文件

3、重点管制---禁止创建修改exe文件与dll文件(想要放过系统更新,添加必要的排除名单)

4、宏病毒防护--保护重要模板
------------------------------------------------
【执行监控】

5、禁运用户目录下的temp目录(安装时需要禁用,排除麦咖啡必要进程);禁止执行*.tmp(安装时需要禁用)
6、脚本管制--禁止cmd.exe, cscript.exe, powershell.exe, wscript.exe读取执行任何文件(安装时需要禁用)(禁止cmd是否影响正常应用,可能需要观察、测试)

------------------------------------------------
【注册表防护】

7、驱动与服务防护---禁止不明程序访问system下的services项(安装时需要禁用,系统更新时可能也要禁用)【参考自带规则进行设置、调试,或可添加排除名单排除Program Files文件夹以及系统目录下的重要进程比如 C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, )

8、自动运行防护---禁止不明程序操作注册表里的run项(排除*\Program Files\**,系统更新时或许要禁用)

----------------------------------------------------
【网络访问控制】

9、切断危险程序的网络访问---譬如禁止cmd.exe, cscript.exe, powershell.exe, wscript.exe的网络访问

如果用了系统墙增强控件WFC无须费神,如果只是用的系统墙,可以做一条网络访问拦截规则(禁止0-65535端口出站,自己添加允许访问网络的程序名单,安装软件与更新系统时或许需用禁用该规则)

------------------------------------------------------
【监控记录】---可以适当打开一些默认规则的日志记录,以便日后追溯
-------------------------------------------------------
以上所有涉及到安装(需要临时禁用的规则),用统一的符号在规则名称上进行标记,进行安装或系统更新时,将其临时禁用。

评分

参与人数 3人气 +4 收起 理由
ly910326 + 2 版区有你更精彩: )
wheyu。。。 + 1 版区有你更精彩: )
l10x + 1 精品文章

查看全部评分

ikochina
发表于 2019-3-28 17:41:28 | 显示全部楼层
突然回过味来,论坛都把vse当成hips在用啊
柯林
 楼主| 发表于 2019-3-28 20:39:24 | 显示全部楼层
ikochina 发表于 2019-3-28 17:41
突然回过味来,论坛都把vse当成hips在用啊

HIPS也好,主防也好,辅助措施也好,对于使用者来说,能够有效防毒就好(同时简单管用更好)
已知的病毒入侵手段与套路就那么些,从进入计算机到运作搞事有一个过程,入口就封住或运行中被拦截,效果都差不多——最终能够防止病毒搞事就行。
在这个勒索病毒大行其道,各种后台搞怪层出不穷的时代,能够“密封”是最好的。
holywinking
发表于 2019-3-28 22:34:09 | 显示全部楼层
虽然看不懂,但是觉得挺厉害
wheyu。。。
发表于 2019-3-29 09:47:17 | 显示全部楼层
学习了,然后把这个放火绒上使用
ikochina
发表于 2019-3-29 10:38:43 | 显示全部楼层
wheyu。。。 发表于 2019-3-29 09:47
学习了,然后把这个放火绒上使用

火绒即使加上各种规则也没vse这么耐操的,火绒主防还是弱了点,漏洞也不少
wheyu。。。
发表于 2019-3-29 13:47:58 | 显示全部楼层
ikochina 发表于 2019-3-29 10:38
火绒即使加上各种规则也没vse这么耐操的,火绒主防还是弱了点,漏洞也不少

嗯,能加强点是点,而且主要用着也是防止那些流氓软件瞎运行
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-10-15 02:34 , Processed in 0.087790 second(s), 18 queries .

快速回复 返回顶部 返回列表