楼主: 柯林
收起左侧

[其他相关] 【入口防御】26条精简防毒VSE规则(最后修订)+懒人规则

  [复制链接]
柯林
 楼主| 发表于 2021-1-10 22:59:25 | 显示全部楼层

个人觉得,作为防毒补充,管主要的大的方面就行了,纠缠太细微的东西没必要。毕竟VSE也不是HIPS,按“事无巨细、密不透风”来设计规则太累了……一般的用法,不放心就全盘扫描,再不就手工查毒,再不放心重做系统算了,盯着太细的规则,弄得一天到晚紧张,不划算。
柯林
 楼主| 发表于 2021-1-10 23:32:06 | 显示全部楼层

补充两句废话:VSE怎么说,它也是个著名的杀毒软件,绝大部分威胁,都能干掉,所以无须紧张,适当补强一下,防御可能它认不出的新病毒,就可以了。
看病毒入侵流程与分析报告,万变不离其宗,来来去去也就那么些套路。比如说,通常病毒都是从exe发起的,防住exe,绝大部分后续问题都没有了。有些木马病毒,可能以dll的形式入侵,注入到系统进程里,实现隐蔽运行,可如果是网上下载的,通常是下载到%Temp%里执行,禁运了%Temp%,它不也就没用?假如说你担心,病毒作者为了突破你这规则,另外设定一个运行目录,那也未免想多了,除非有仇或精神好,否则没哪个会专门针对你vse这么一条规则而另辟蹊径,天底下的其他机器不是照常默认%Temp%运行,干嘛要专门针对少数?再说,就算dll之类注入的病毒能得逞,追根溯源,还不是得首先有个母体exe作怪,才发生的,一般都这样。再比如病毒会释放驱动进行对抗,推根溯源,还是从exe起步的,没有病毒母体,啥也没有!
再比如U盘病毒,常见也就exe、vbs,外加一些bat文件,基本就三样,管住它们,基本上也就没啥问题了。
这些年勒索病毒盛行,为了鱼目混珠,病毒爱用scr格式来骗人,禁止创建也就废了。另powershell攻击日渐增多,管一管它也就好了。
把这些问题想清楚,其实要管的东西也没多少,轻轻松松就能做到“搞定主要问题”。
你要纠结,“万一系统进了毒怎么办”?那可真的不好办,就以常见病毒文件exe为例,可能藏在系统,或任何一个位置,病毒dll、配置文件之类的也是,加上运行起来各种动作,钩子、驱动啥的,那可就越纠结越麻烦,越考虑越多,规则弄得最后“都把自己封死了,也未见得解决问题”。
再如要纠结,“要是系统已经中了厉害的毒,查都查不到,一点痕迹都没有”,怎么办?要这样的话,除了干净地重做系统,对一般人似乎也没啥好办法。再说,对一般人而言,不就是“习惯决定命运”,要是用正规点的干净的软件,尽量官网下载,少用各种难以预料的,那些奇奇怪怪的问题,也难以产生不是。
至于遇到系统严重漏洞,翻车的,那属于“中奖好运”,大概也无法避免。所以个人愚见,考虑基本的、常规的、逻辑能够把握的就行了。把规则设置得太严厉,企图把VSE当作HIPS,或者啥也不管,就默认规则,都不是好习惯,抓住重点适当补强补好吗,干嘛要在两个极端摇摆?
sanguoyiliya
发表于 2021-1-11 09:50:24 | 显示全部楼层
这个要支持一下
liusiying
发表于 2021-1-11 12:11:27 | 显示全部楼层
不能自己安装程序???
sdtzsf
发表于 2021-1-11 12:30:50 | 显示全部楼层
柯林 发表于 2021-1-10 23:32
补充两句废话:VSE怎么说,它也是个著名的杀毒软件,绝大部分威胁,都能干掉,所以无须紧张,适当补强一 ...

谢谢,受教了。
柯林
 楼主| 发表于 2021-1-11 13:07:46 | 显示全部楼层
liusiying 发表于 2021-1-11 12:11
不能自己安装程序???

里面有图示说明,只要把“【安装拦截】”与“【总开关】”这两条停用,就可以无碍地安装与卸载,平常这两条开启的情况下,你啥也装不了,就算是压缩包内的程序,你也无法使用——想从网上下载程序,即使压缩包,也没用;想从光盘安装、U盘拷贝程序来使用,一样的玩完。一句话,自定义规则开启,除了系统更新,新的程序别想进机子,有需要自己“临时处理”。

评分

参与人数 1人气 +3 收起 理由
sweetnokia + 3 精品文章

查看全部评分

sweetnokia
发表于 2021-1-11 13:31:41 | 显示全部楼层
柯林 发表于 2021-1-11 13:07
里面有图示说明,只要把“【安装拦截】”与“【总开关】”这两条停用,就可以无碍地安装与卸载,平常这两 ...

这个防毒的理论要从源头抓起,只有这个控制了,问题就不是问题了,

说明白点,良好的上网习惯,不要太好奇了,你中奖的机率很少的。

柯大所说的,也很直白的讲述了这个层面,望大伙,引起重视。

说起来,好的杀毒不是百毒不侵,只要较来历而已。

好帖子。赞!
柯林
 楼主| 发表于 2021-1-11 14:26:24 | 显示全部楼层
sweetnokia 发表于 2021-1-11 13:31
这个防毒的理论要从源头抓起,只有这个控制了,问题就不是问题了,

说明白点,良好的上网习惯,不要太 ...

这个是从普通大众的角度说的。如果有精力,习惯折腾,各种极端精细控制的方法,大可进行,只是一般人耗不起这个,弄得太严厉、太复杂,自己使用也不方便,系统更新、程序安装、日常使用排除啥的,都变成复杂问题,所以对一般人来说,适度就好,能够卡住入口,就没那多事了。
看病毒分析很热闹,可看来看去,也就那些招数,什么自启动,挖空程序内存做僵尸,dll之类注入运行啥的,包括驱动隐藏对抗,其实源头,还是来自一个母体病毒。至于网页挂马什么的,无非是系统漏洞,打个补丁比啥都管用。
看来看去,主要的攻击,是网络,蠕虫那类自动流窜的病毒都不大行了,现在玩“社会工程学”,主要是邮箱投毒,管住这个,基本上威胁解除了一大半。
看网上的介绍,做木马病毒的,基本就三个套路,一是邮箱投毒,二是捆绑在一个著名程序里提供大面积下载,三就是弄在种子文件里分发……管住源头,真的,很多问题都烟消云散。至于U盘病毒,除了机房、单位内部,打印店,一般还真难遇到。
sweetnokia
发表于 2021-1-11 19:40:03 | 显示全部楼层
柯林 发表于 2021-1-11 14:26
这个是从普通大众的角度说的。如果有精力,习惯折腾,各种极端精细控制的方法,大可进行,只是一般人耗不 ...

受教了,说得太详细了,一直都没有对这块深放研究的。

听你这样一说,也有底了。
zhang.year
发表于 2021-1-17 17:05:46 | 显示全部楼层
非常适用的规则,实用就好。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 00:35 , Processed in 0.112065 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表