楼主: ccboxes
收起左侧

[讨论] 折腾杀软到最后,还是白名单最省心

  [复制链接]
hdx2016
发表于 2020-6-5 21:11:53 来自手机 | 显示全部楼层
其实像我这种使用固定程序的用户即使不要白名单感觉也不危险。虽然买了norton和eset。只要你把Windows当功能机用并设定强密码。其实问题都不大。另外你用用Windows server就知道其实server默认安全性不错的,还有企业版Windows默认开的功能和默认设置其实比Windows家庭版多,理论上默认情况下Windows server安全性大于Windows家庭版大于Windows企业各个非服务器版本(例如Windows长期支持版就是企业版本,默认能运行PS脚本,这在家庭版是不存在的,server在默认增强安全模式下几乎访问不了任何除了微软的网页,而且内置功能都是关闭的要手动一个一个的开)。而且对于喜欢折腾的小白来说没有一个系统是安全的
帝辛
发表于 2020-6-5 22:40:15 | 显示全部楼层
本帖最后由 帝辛 于 2020-6-5 22:42 编辑
ccboxes 发表于 2020-6-5 20:40
你没理解我的意思,卡巴可以区分,但是不能以执行链为单位设置规则。在卡巴受信任模式下信任组程序A执行 ...

卡巴会识别的。只不过不能设置而已。
举个例子你从信任组启动信任组,是信任组。
你从非信任组启动信任组。还是非信任组。
当然不是单靠组来识别的。比较智能化。
不能手动设置不代表卡巴不会自动设置。

另外。不使用破解不使用小文件的而且还要有一定判别能力的确实可以这样。我感觉确实不太方便。有时候你想使用一个软件还是得放行,杀毒用低误报的还是可以放心运行的,低误报的报毒的确实不敢用。使用高误报杀毒。确实还不如你这种方法。
ccboxes
 楼主| 发表于 2020-6-5 23:14:33 | 显示全部楼层
御宅一族 发表于 2020-6-5 21:04
等学习模式适应记录完自己的软件,然后开启自动后,下载下来的未知可执行文件或命令文件拒绝执行?
...

没错
wzmczhy
发表于 2020-6-5 23:19:12 | 显示全部楼层
这类软件只适合少数人,不然早就流行了。
liumailong
发表于 2020-6-5 23:23:00 | 显示全部楼层
这东西对可信程序被攻破后的危险行为有自动限制吗?
比如游览器被攻破,恶意读取文件。
是否有额外的自动判断,还是完全靠手动规则。
ccboxes
 楼主| 发表于 2020-6-5 23:26:15 | 显示全部楼层
帝辛 发表于 2020-6-5 22:40
卡巴会识别的。只不过不能设置而已。
举个例子你从信任组启动信任组,是信任组。
你从非信任组启动信任 ...

我也说了卡巴能识别,但归根到底应用程序控制的规则系统不是为了受信任应用程序模式专门设计的,具体使用起来还是不方便。

比如你说的从信任组启动信任组还是信任组,在受信任应用程序模式里就完全帮了倒忙,你不加进信任组不让运行,加了信任组所有信任组程序启动它都没提示了。白名单防护的白名单粒度一定要细,卡巴这个就粗放了。在voodooshield里,同一个程序的父进程、命令行参数、运行账户不同都会被视作新程序需要单独加白。
帝辛
发表于 2020-6-5 23:30:17 | 显示全部楼层
ccboxes 发表于 2020-6-5 23:26
我也说了卡巴能识别,但归根到底应用程序控制的规则系统不是为了受信任应用程序模式专门设计的,具体使用 ...

不是。。信任组启动信任组才是信任组。
就是两个都满足才是。其中有一个不满足都会被打入低限制组。当然有时候低限制组启动信任组一样能加入信任,看卡巴的智能调控。
ccboxes
 楼主| 发表于 2020-6-6 00:39:00 | 显示全部楼层
liumailong 发表于 2020-6-5 23:23
这东西对可信程序被攻破后的危险行为有自动限制吗?
比如游览器被攻破,恶意读取文件。
是否有额外的自动 ...

VoodooShield是,也只是anti exe,它可以防止被利用的程序运行其他程序和命令,但如果恶意行为完全不需要执行其他命令就无法防御了。需要搭配anti exploit
faily_1976
发表于 2020-6-6 01:01:49 | 显示全部楼层
还是虚拟机吧
ccboxes
 楼主| 发表于 2020-6-6 09:31:49 | 显示全部楼层
帝辛 发表于 2020-6-5 23:30
不是。。信任组启动信任组才是信任组。
就是两个都满足才是。其中有一个不满足都会被打入低限制组。当然 ...

你的语文似乎有问题,车轱辘话说了三遍你还是没有理解。。。。。。。
举个例子你从信任组启动信任组,是信任组。
你从非信任组启动信任组。还是非信任组。
我可是写过应用程序控制教程的,这个还能弄不清楚?当时我摸索白名单制防护时第一个想到的也是卡巴的受信任程序模式。你这段话就有点像从我的教程里抄来的。归根到底,卡巴的设置是子进程继承父进程的权限限制,这个规则在一般情况下很方便,但在白名单模式下时就让应用程序控制变得十分麻烦。

卡巴受信任的应用程序模式(也就是白名单模式)下,只有信任组的程序能够运行,那想要一个程序A能运行就必须将A加入信任组,然而explorer启动A和svchost启动A意义是完全不同的,后者很可能是一次exploit。卡巴的权限继承制使得你无法单独加白explorer启动A这个执行链,只能先加白A,再为可能被入侵的进程单独添加禁止启动A的规则,规则数会很快膨胀到难以管理的程度。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 22:23 , Processed in 0.099327 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表