重点黑杀-小折腾

柯林

对于懒人、小白、官方默认的策略（对于CIS）而言，正常使用的情况下，“够了，够了，够了”
如果想要“最低限度的投入”，或许也可考虑，来点重点入口防御的黑名单阻断法，具体如下
-----------------------------------------------------------------------------------------------
在默认策略的基础上，增开HIPS，进行最简单的设置：
在HIPS规则里，打开全局规则（最后一条垫底的“所有应用程序*”的规则），第一项“执行一个程序”，“（优先）阻止”里面增加%Temp%\*或者*\Temp\*)  
这样一来，就把临时文件夹禁运了，管它是后台推广也好，什么病毒木马下载恶意程序来执行也好，一般都是放在临时文件夹里执行的，这就被阻止了。当然写%Temp%\*或者*\Temp\*有点霸道，连带系统更新释放补丁到C:\Windows\Temp里打补丁也被阻止了，如要区别，只须写用户目录下的Temp即可，那样不影响系统更新。一般也没关系，要更新系统补丁，在重启计算机之前，关闭HIPS，只用默认的沙盘策略即可。这样设置，你要自己安装软件什么的，关闭HIPS即可。
（想要再贱一点，全局规则的阻止运行程序里，再加上：*\Documents\*，*\Pictures\*）（喜欢的再补个*\Tasks\*

再加一条“重点程序关注规则”：
首先打开文件组，新建一个组，取名“重点管制程序”，添加以下文件：
*\cmd.exe
*\cscript.exe
*\regsvr32.exe
*\rundll32.exe
*\powershell.exe
*\wscript.exe
*\mshta.exe
然后到HIPS规则里，引用这个分组，为“重点管制程序”组新建一条规则，位于全局规则之上，打开这条规则，第一项“执行一个程序”，“（优先）阻止”里面增加以下内容：
?:\Users\*
%ProgramData%\*
*.bat
*.vbs
*.ps1
*\cmd.exe
*\cscript.exe
*\powershell.exe
*\wscript.exe
*\regsvr32.exe
*\format.com
*\vssadmin.exe
*\wmic.exe
*\diskpart.exe
*\mshta.exe
-------喜欢强化扩展的再加上-------
*\taskkill.exe
*\tasklist.exe
*\debug.exe
*\Cacls.exe
*\net.exe
*\net1.exe
*\telnet.exe
*\tftp.exe
*\Shutdown.exe
最后到防火墙应用程序规则里，引用这个分组，为“重点管制程序”组新建一条规则，位于全局规则之上，禁止它访问网络（如果你没有为防火墙的应用程序规则制定过“所有应用程序*”的规则，是不存在全局规则的，不用理会，随便添加就可以了）
（说明，对于家用机而言，这些东东一般是没用的，只有病毒喜欢利用。宏病毒也好、勒索也好、邮件病毒也好，一般常见的方式，无外乎几种：一是cmd与wscript之类相互之间各种噼里啪啦的调用（病毒要简单高效，最佳途径就是利用系统自带功能，用各种脚本与命令进行操作）；一个是把病毒或脚本下载到?:\Users下进行执行（最常见的是%Temp%目录），有的则下载到%ProgramData%里加以执行。这样设置一下，就把常见威胁给阻断了）

如果想要全面一点，再加个反向勾补：
在HIPS规则里，打开全局规则，新增一条规则，路径选?:\Users\*，对其规则设为，第一项“执行一个程序”，“（优先）阻止”里面增加以下内容：引用分组---重点管制程序
在HIPS规则里，打开全局规则，新增一条规则，路径选%ProgramData%\*，对其规则设为，第一项“执行一个程序”，“（优先）阻止”里面增加以下内容：引用分组---重点管制程序

其它，使用mbr分区表，或许可以考虑，把磁盘重点位置加入受保护的文件列表，然后在全局规则上加以拦截（是否起作用，请自行测试）
\Device\Harddisk0\DR0
\Device\Harddisk1\DR1
使用GPT分区的可以无视
-----------------------------------------------------------------------------

没时间折腾，而又有点不放心默认策略，或者想要简单折腾下，初品毛豆的新人，可以尝试这么简单弄下。这样设置不影响正常应用，只对一些恶意程序及病毒有阻截作用。一般来说，HIPS虽然开了，但在安全模式下，受白名单牵制，几乎没有任何影响。想要安装、卸载程序或更新系统时，关掉HIPS就好。这种”重点阻截“的'黑名单拦截”玩法，影响甚微，喜欢的话，你可以扩展使用“比如不喜欢的流氓后台推广程序、广告软件之类，可以在文件组里建个组，把它们罗列在一个组里，到沙盘规则里引用这个分组，阻止它运行即可”。
===============CCAV线================
如果用的是CCAV，可以尝试用自动沙盘进行补强：
1、U盘入沙（把你机子上的U盘路径强制入沙，譬如H:\*,  I:\*)
2、?:\Users\*入沙【安装软件时请关闭，个别程序加例外】
3、*\cmd.exe入沙【安装软件时请关闭】
4、*\cscript.exe入沙
5、*\powershell.exe入沙
6、*\wscript.exe入沙
7、*\format.com阻止运行
8、*\vssadmin.exe阻止运行
9、*\wmic.exe阻止运行
10、*\diskpart.exe阻止运行
11、*\mshta.exe阻止运行

xingluhuayu

默默的看了看 没看懂啊哎 要是有时间 研究研究

daerer

学习了。顺问如何增加*.vbs这种文件？

daerer

hips中explorer.exe默认比较靠下，把它提到最上面，有无不良影响？

柯林

daerer 发表于 2019-4-9 12:59
学习了。顺问如何增加*.vbs这种文件？

打开规则编辑画面，手动输入英文字符

柯林

daerer 发表于 2019-4-9 13:01
hips中explorer.exe默认比较靠下，把它提到最上面，有无不良影响？

没有，但是没必要
参见规则流程教程
明确路径只与通配符路径相关（默认设置下，通常来说，一个程序的规则影响，只有三个：1是程序本身的规则，2是全局规则，3是相关程序的自保规则——此等说明，仅针对没有自行添加*.*与*.exe之类通配路径规则的前提下，整个设置画面里只有默认自带的“所有应用程序*”这样一条通配符路径涉及到本程序的规则）

KK院长

老大上点图最好,嘻嘻.
辛苦了.

zgj_lz

再奔腾奔腾

柯林

KK院长 发表于 2019-4-9 13:58
老大上点图最好,嘻嘻.
辛苦了.

在用VSE，没装豆子，没法截图，凭脑补瞎说。
看了很多分析帖，什么宏病毒、勒索、木马，参见的招数就那些，最喜欢利用的就是这些东东，反正一般人也用不到，拦了安全点，也不复杂，小白也能很快搞定的。

万里云天

大大，我不想让explorer访问修改某个文件夹下的文件，增加规则后，修改了explorer的评级依然不起作用，请指点迷津@柯林