OSArmor个人汉化版

lkjx21

感谢LZ~上次看了介绍就心痒痒了~VoodooShield有中文版吗

lg560852

qftest 发表于 2020-10-18 11:07
触发的是阻止伪装系统进程规则，看起来是个误拦，应该可以加入排除。原因估计是OSA与win10的兼容性问题
...

但是HIPS太重量级了，服务器上有杀软，有部分AD功能，怕冲突。
何况HIPS需人工干预，而服务器级别的保护，一般需要脱离人工干预。
web应用主要是怕漏洞攻击、提权和后门上传，免杀弄得厉害，漏洞让人无法防护周全，所以考虑下来，用轻量级的文件夹防篡改把应用文件夹和中间件文件夹用FD控制住，我觉得差不多就够了吧，高级点，弄个攻击实时监控，记录及即时提醒。
EDR考虑过，但是那些玩意好像都是收费的，没发现有免费的，消耗资源也不少。
或许有没有别的思路？换ESET的高启发+部分HIPS功能？

qftest

lg560852 发表于 2020-10-19 16:02
但是HIPS太重量级了，服务器上有杀软，有部分AD功能，怕冲突。
何况HIPS需人工干预，而服务器级别的保护 ...

SSP可以设置自动拦截可疑行为、无需人工参与决策；
漏洞攻击这个无解，提权可以事先做限制，阻断上传要靠防火墙，能同时满足这几点要求的免费软件暂时想不出来；
说到FD，目前能想到的folderfication（也许是最好的FD工具？）但要付费；
服务器这种环境也许appguard更适合高安全要求？但还是要付费；
至于你说的怕冲突，倒是可以尝试下hard_configurator，它免费，只提供了配置系统自身SRP+WD+smartscreen等安全功能的管理界面，有些类似于WFC，优点是简单方便，兼容性是最好的；
ESET服务器版太高端了没用过，不敢乱说
@zoozkop5  @helokii8  谢谢支持

@lkjx21  
据我所知，VS没有中文版

zghnsy127

HEMM 发表于 2020-10-18 21:07
煮稀饭呢............结果煮一桌子.........
这个功能好，毛豆是一竿子打死型，要嘛都可以访问，要嘛统 ...

喵喵  升64G内存！

lg560852

qftest 发表于 2020-10-19 20:13
SSP可以设置自动拦截可疑行为、无需人工参与决策；
漏洞攻击这个无解，提权可以事先做限制，阻断上传要 ...

SSP?
是指SSM吗？System Safety Monitor?

lg560852

qftest 发表于 2020-10-19 20:13
SSP可以设置自动拦截可疑行为、无需人工参与决策；
漏洞攻击这个无解，提权可以事先做限制，阻断上传要 ...

folderfication 好像更倾向于防randsom？
appguard 好像倾向于APP？
而且这俩貌似不好找破解
hard_configurator装了一下，感觉这个界面设计的好古朴，没看明白他怎么设置
以前用hips的印象是，装上就卡得要命，弹窗弹得要死ESET也未必非用企业版，我看了下版本对比，好像个人防病毒和带防火墙的就足够
主要是有FD，增加策略就行
防漏洞无解，这个可以理解，但是我觉得，漏洞他必然只是一个利用手段，然后把工具传上来才是近一步的关键
所以尽量保证中间件和系统上不出异常的文件应该能一定程度上解决这些问题，不知这个想法是否合理，毕竟也没更好法子
传统那些自启动、自加载、DLL注入、驱动服务级木马，好像在web和服务器渗透中更不怎么流行了，依赖中间件的那种web后门好像更容易搞，而且也容易绕过杀软。

qftest

lg560852 发表于 2020-10-20 16:31
folderfication 好像更倾向于防randsom？
appguard 好像倾向于APP？
而且这俩貌似不好找破解

楼上提及的SSP是指SpyShelter Premium，主要用于键盘加密和防截屏之类的防泄漏，FD是其中的一个功能；
folderfication可以满足关于FD防护的几乎所有的幻想，ransomware只是个广告噱头，谁让勒索病毒现在是热门话题呢；
是的appguard更倾向于app，鉴于服务器软件环境相对稳定，配置好以后利用其“LockedDown”应该会既省事又安全；
如果稍微研究两天就会发现，H_C其实很容易上手；
最后，如果只是想防篡改，那么其实还可以考虑OSA的本家兄弟FSP（FileSystemProtector），这货免费又轻便小巧，是专门用来防写的，心动了吧！

lg560852

qftest 发表于 2020-10-20 20:55
楼上提及的SSP是指SpyShelter Premium，主要用于键盘加密和防截屏之类的防泄漏，FD是其中的一个功能；
f ...

不知是不是找错了，我试了试那个FileSystemProtector，no virus thanks.org下载的
发现几个问题（win10系统）：
1）程序不开防不住，这倒不算啥
2）默认规则，创建C:\ProtectedFiles文件夹，新的空文档创建不拦截，修改拦截，这也不算啥
3）txt文档，有原内容，一修改就被拦截不能保存，这个不错，但是有原内容的直接被置空，这。。。
4）doc文档，倒是修改不置空了，但是修改拦不住，不知为何

qftest

lg560852 发表于 2020-10-21 10:33
不知是不是找错了，我试了试那个FileSystemProtector，no virus thanks.org下载的
发现几个问题（win10 ...

没错就是这个FSP；
看了你说的那些问题，你要知道这是免费的，而且是很久没更新的免费版；
在FSP语法中DENY_WRITE是无效的，至少我前几年玩的时侯就没见起过作用，用它就得用DENY_ALL；
刚测试了一下，果然还是一样的味道；

;测试规则，禁访文件夹
[%OPER%: DENY_ALL] [%PROC%: *] [%FILE%: z:\qftest]



;测试规则，禁访文件
[%OPER%: DENY_ALL] [%PROC%: *] [%FILE%: z:\qftest\test.txt]



在实际应用中，我觉得首先应该排除explorer，然后再添加禁访规则，以达成“禁止未授权的第三方软件读写受保护的文件/文件夹“的目的；

例如：
1、在Exclusions.DB中写入C:\Windows\explorer.exe   
2、在Rules.DB中写入[%OPER%: DENY_ALL] [%PROC%: *] [%FILE%: z:\qftest\*.*]   
（PS. 注意路径不要写成 z:\qftest）  

效果如下，第三方软件无法读写/改名/删除指定路径下的文件和文件夹：






不过我平时不用这种小软件，既没有自保也不能隐藏或加密，玩玩还可以，真要用于工作的话还是付费吧！

lg560852

qftest 发表于 2020-10-21 14:24
没错就是这个FSP；
看了你说的那些问题，你要知道这是免费的，而且是很久没更新的免费版；
在FSP ...

要是deny all 我还是用win自带的NTFS权限管理更合适。。。我得只读啊。。。folderfication正在用，效果感觉还不错，可是为何我保护一个文件夹，还得必须在下边窗口指定好可执行进程或者可执行进程的文件夹？
我阻止所有程序或者进程修改该文件夹不就行了？
这个工具必须联网验证授权，不联网，策略不启用