office宏病毒的一个可能解决方案

rex_bbs

office宏病毒由于很容易做到白+黑,导致直接避开毛豆的防线直接中招,不过在office特定版本下可以做到将office文件视同普通可执行文件进行是否可信任检查,非任性模式下直接进入沙盒,使得白+黑的模式无效.

以下测试基于c2r模式安装的office 2019(必须是此版本,2016以下版本都不行),毛豆11\12版皆可.
毛豆设置思路是将office主程序加入毛豆的命令行分析行列.如下是测试步骤截图.

con16

這種用法確實是都入沙
因為文件本來就是看啟用程式是否是白名單
你加入分析，就是都直接進去

rex_bbs

office主程序本身是在白名单里的,命令行分析只有对office2019版才有效,对于2016版这种是无效的的.
而且这里需要注意的是这个特定环境下,office文件被视作了必须判断的脚本文件而不是一个普通文件去申请白名单内的应用去打开它,导致两种完全不同的状况.以往无法防护的office宏病毒得到了抑制.

柯林

以毛豆主打沙盘的特点来说，没必要紧张吧，说到底，还得是恶意代码下载病毒来执行，能够隔离病毒就完事了
通常病毒都是exe格式，做成msi格式的基本上很少有流行价值，对其防御，应该也有很多步骤与方法
比如说，宏病毒，说到底，大多是一段脚本，禁运或强制入沙wscript之类，还有以后吗
比如把特定位置的msi入沙（病毒正规套路都是下载到%temp%里执行），如果毛豆把msi当作文件（如同bat），那么禁止msiexec.exe执行%temp%就行，或者把%temp%强制入沙试试
总之方法很多，在病毒运作的环节链上，有很多地方可以下手

tg123321

完全不必要草木皆兵，hips里禁止excel执行msiexce.exe即可

BBCALL

柯林说的才是正解，毛豆规则中，本来就有脚本及下载的组，只是预设中，无加入规则，把毛豆预设的文件组中的如脚本解释等群组加入规则中，这种毒更本是低阶玩具，更好的方法是大量的文件档更本不需要特别或系统功能，你只要设一个无行为组，加上这些档案的附档名就好，如此一来，档案还没发作到脚本类规则时，就全部死跷翘，版内以往的规则中就有许多思路。

zgj_lz

学习学习