移植eset官方反“无文件攻击”hips规则到comodo的hips上（基于CIS 12）

显示全部楼层 · 发表于 2019-4-4 17:15:41

本帖最后由 tg123321 于 2019-4-4 17:49 编辑

导入方法：设置 - 一般设置 - 配置 - 导入 - 激活 - 确定

1.规则基于win 10 x64 1809和CIS 12制作，理论上win7和cav、cfw应该也能使用，没有测试过

2.基于安全考虑，默认开启自动沙盒的未知文件入沙、explorer运行新文件警报

3.因为是自用规则，网络区域那块各位自行清理下

4.因为开启了自动沙盒和hips、viruscope等组件，我觉得是足够安全了，没有移植eset官方的firewall规则

5.会自己编辑hips规则的童鞋，可以不必下载我这套规则，自行DIY：

eset官方反无文件攻击的hips规则：https://support.eset.com/kb6119/
eset官方反无文件攻击的firewall规则：https://support.eset.com/kb6132/

看不懂英文的童鞋可看此贴的中文总结（规则附在最后）：https://bbs.kafan.cn/thread-2053386-1-1.html
该贴的官方反勒索规则2：禁止 explorer.exe 执行脚本解释器那块把C:\windows\system32\ntvdm.exe去掉，英文网页那里没有这条规则

6.祝大家用comodo 12版玩得愉快

显示全部楼层 · 发表于 2019-4-4 17:23:49

无文件攻击现在真的很流行.

显示全部楼层 · 发表于 2019-4-4 17:50:36

@HEMM 你再看看附件还是无效吗？

显示全部楼层 · 发表于 2019-4-4 17:56:59

本帖最后由 HEMM 于 2019-4-4 18:07 编辑

tg123321 发表于 2019-4-4 17:50
@HEMM 你再看看附件还是无效吗？

= =天啊！老实人.....都说人间有情，究竟情为何物，是皮卡丘吗？我就皮了一下而已.......珍素的，万一我找你要穿过的内裤，你可怎么办啊？
我上完人气正准备回帖的，噼里啪啦打完一串字，我回了我回了，255.........
真是服了老实人，我到底要说什么来着竟然忘到一干二净，让我想想......

打开记事本，看了看规则，我陷入了0.5秒的沉思，看不懂.........算了，这密密麻麻的让我头痛，一个*应该可以替代.......嘻嘻

提醒了提醒了，我提到了我自己，快来看帖吧........我是我自己的小伙伴了呢？我自己都不知道~

哼！打不开打磨机32官方，异次元就是异次元，人类的网站就那么难上........

显示全部楼层 · 发表于 2019-4-4 18:08:58

12好像说有改经过脚本分析，谁弄几个攻击样本测试下

显示全部楼层 · 发表于 2019-4-4 19:46:40

12版bug太多，已退回11

显示全部楼层 · 发表于 2019-4-4 21:05:21

早就用了吧里的全局禁运流已经可以了

不过可以学习下感谢楼主

显示全部楼层 · 发表于 2019-4-4 21:36:59

链接不是ransomware吗？怎么变成无文件攻击了？

显示全部楼层 · 发表于 2019-4-4 22:01:42

Karna 发表于 2019-4-4 21:36
链接不是ransomware吗？怎么变成无文件攻击了？

官方的命名确实是against ransomware，但是这套规则对真正的exe形式的ransomware起不到任何拦截作用，反而对拦截无文件攻击有作用，包括脚本类的ransom，我就直接叫反无文件攻击了。这个叫法更准确，官方的against ransomware反而是个误人子弟的说法

显示全部楼层 · 发表于 2019-4-5 08:23:59

COMODO已经自带防御fileless攻击啊，而且已经比较全面了。

[规则] 移植eset官方反“无文件攻击”hips规则到comodo的hips上（基于CIS 12）

本帖子中包含更多资源

评分