折腾杀软到最后，还是白名单最省心

yexo

761773275 发表于 2020-6-4 23:26
兄弟你的码可以看得到，AI可以消

现在AI还有这么强大的功能？麻烦能告知一下软件的名字吗？谢谢。

ccboxes

ELOHIM 发表于 2020-6-4 23:23
我刚才在想，是否可以在论坛进行一次裸奔前提下的入侵防御或者恶意文件执行防御测试呢。
要求只限于使用 ...

允许使用组策略吗？
不允许的话没有任何意义，筛子。
如果允许的话使用SRP和Applocker可以打造白名单防护，不过这样就不是“被动”了。另外对exploit也没招，一旦利用exploit获取了shell，一样是任人宰割。总之在不考虑exploit和用户手贱的情况下，裸奔的Windows远不如Linux安全。如果考虑，那裸奔毫无意义，还是要装安软。

yyt3150

ccboxes 发表于 2020-6-4 22:11
闭关锁国最安全，99.9%的病毒在非白即黑下没有任何生存空间，何况voodooshield还有antiexploit

英文不好，对设置和提示的理解不清楚，电脑软件又多折腾起来累人，楼主是否可以写个简要的使用说明和注意事项。喜欢这样的软件。

13097113

这软件防勒索厉害啊,碰到0day勒索根本不怕,我也用了大半年,觉得的有点卡,卸载了,换了精简版360.

curfew

如何防范在白名单的软件被利用呢？比如之前CCleaner官网调包和华硕自动更新推送病毒，未来这个趋势不会停下来

ccboxes

curfew 发表于 2020-6-5 06:01
如何防范在白名单的软件被利用呢？比如之前CCleaner官网调包和华硕自动更新推送病毒，未来这个趋势不会停下 ...

问题在于白名单中的软件如何被利用。
如果是白加黑，那首先要有黑dll+白exe/driver或者黑exe+白driver进入系统并被无意间启动，在VS进入锁定模式后，没有任何非授权exe或命令行可以运行，那白加黑如何进入系统呢？除非我自己作死引入，不然没有问题。

如果是expliot比如利用浏览器漏洞或者PDF阅读器漏洞，那就要看情况了。VS没有办法阻止入侵过程，但绝大多数exploit会启动新的进程或者运行shell来进行恶意行为，VS会拦截他们。但仍然有部分高危expliot可以在不运行新程序和shell的情况下执行恶意代码，这是VS无能为力的。我的解决办法是将windows10自带的exploit protection开启并对部分高危进程使用更严格的设置，同时搭配Malwarebytes Anti-Exploit。

像当时的ccleaner这种威胁正确的名字是供应链攻击，只能说这是世界性难题，即使是所谓零信任的防护软件也总要去信任一些东西。VS带有virustotal扫描器和自己的机器学习扫描器可以部分缓解这个问题，然而我们都知道当时ccleaner让大部分安软吃瘪了，所以为了避免这种问题应该尽量使用来自大公司的软件以及开源软件，除此之外没有其他方法。

华硕的自动下载这种就太好防御了，VS禁止任何非白名单exe运行，同时白名单exe执行其他程序也会二次检查，payload根本无法运行。

PanzerVIIIMaus

因为各种游戏多（一些汉化补丁涉及远线操作，更激进的忘了），所以我更习惯尽量去封点（比如在咖啡MES把PowerShell规则都开了，反正日常只会用CMD那部分命令），楼主能提供一些意见吗？

ccboxes

yyt3150 发表于 2020-6-5 02:58
英文不好，对设置和提示的理解不清楚，电脑软件又多折腾起来累人，楼主是否可以写个简要的使用说明和注意 ...

免费版没有任何设置项，只需要三步。
1、在确认安全的系统上安装VS。
2、在autopilot模式下使用一段时间，让VS自动建立白名单，这段时间要小心只用你认为安全的应用。
3、在你常用的应用都被加入白名单后进入always on模式，拒绝任何非授权应用。

我不推荐小白使用VS这种antiexe，虽然VS提供了virustotal扫描器帮助你判断新应用，但很多时候你只能依赖你自己。

a8855942

软件没用过，原来用诺顿，后面杀软综合征来了。现在用卡巴保平安了。

zghnsy127

这厮 遇到某些东西会卡 哈哈 还是nod和卡巴罩得住