【入口防御】26条精简防毒VSE规则（最后修订）+懒人规则

柯林

sdtzsf 发表于 2021-1-10 22:49
好的。谢谢。

个人觉得，作为防毒补充，管主要的大的方面就行了，纠缠太细微的东西没必要。毕竟VSE也不是HIPS，按“事无巨细、密不透风”来设计规则太累了……一般的用法，不放心就全盘扫描，再不就手工查毒，再不放心重做系统算了，盯着太细的规则，弄得一天到晚紧张，不划算。

柯林

sdtzsf 发表于 2021-1-10 22:49
好的。谢谢。

补充两句废话：VSE怎么说，它也是个著名的杀毒软件，绝大部分威胁，都能干掉，所以无须紧张，适当补强一下，防御可能它认不出的新病毒，就可以了。
看病毒入侵流程与分析报告，万变不离其宗，来来去去也就那么些套路。比如说，通常病毒都是从exe发起的，防住exe，绝大部分后续问题都没有了。有些木马病毒，可能以dll的形式入侵，注入到系统进程里，实现隐蔽运行，可如果是网上下载的，通常是下载到%Temp%里执行，禁运了%Temp%，它不也就没用？假如说你担心，病毒作者为了突破你这规则，另外设定一个运行目录，那也未免想多了，除非有仇或精神好，否则没哪个会专门针对你vse这么一条规则而另辟蹊径，天底下的其他机器不是照常默认%Temp%运行，干嘛要专门针对少数？再说，就算dll之类注入的病毒能得逞，追根溯源，还不是得首先有个母体exe作怪，才发生的，一般都这样。再比如病毒会释放驱动进行对抗，推根溯源，还是从exe起步的，没有病毒母体，啥也没有！
再比如U盘病毒，常见也就exe、vbs，外加一些bat文件，基本就三样，管住它们，基本上也就没啥问题了。
这些年勒索病毒盛行，为了鱼目混珠，病毒爱用scr格式来骗人，禁止创建也就废了。另powershell攻击日渐增多，管一管它也就好了。
把这些问题想清楚，其实要管的东西也没多少，轻轻松松就能做到“搞定主要问题”。
你要纠结，“万一系统进了毒怎么办”？那可真的不好办，就以常见病毒文件exe为例，可能藏在系统，或任何一个位置，病毒dll、配置文件之类的也是，加上运行起来各种动作，钩子、驱动啥的，那可就越纠结越麻烦，越考虑越多，规则弄得最后“都把自己封死了，也未见得解决问题”。
再如要纠结，“要是系统已经中了厉害的毒，查都查不到，一点痕迹都没有”，怎么办？要这样的话，除了干净地重做系统，对一般人似乎也没啥好办法。再说，对一般人而言，不就是“习惯决定命运”，要是用正规点的干净的软件，尽量官网下载，少用各种难以预料的，那些奇奇怪怪的问题，也难以产生不是。
至于遇到系统严重漏洞，翻车的，那属于“中奖好运”，大概也无法避免。所以个人愚见，考虑基本的、常规的、逻辑能够把握的就行了。把规则设置得太严厉，企图把VSE当作HIPS，或者啥也不管，就默认规则，都不是好习惯，抓住重点适当补强补好吗，干嘛要在两个极端摇摆？

sanguoyiliya

这个要支持一下

liusiying

不能自己安装程序？？？

sdtzsf

柯林 发表于 2021-1-10 23:32
补充两句废话：VSE怎么说，它也是个著名的杀毒软件，绝大部分威胁，都能干掉，所以无须紧张，适当补强一 ...

谢谢，受教了。

柯林

liusiying 发表于 2021-1-11 12:11
不能自己安装程序？？？

里面有图示说明，只要把“【安装拦截】”与“【总开关】”这两条停用，就可以无碍地安装与卸载，平常这两条开启的情况下，你啥也装不了，就算是压缩包内的程序，你也无法使用——想从网上下载程序，即使压缩包，也没用；想从光盘安装、U盘拷贝程序来使用，一样的玩完。一句话，自定义规则开启，除了系统更新，新的程序别想进机子，有需要自己“临时处理”。

sweetnokia

柯林 发表于 2021-1-11 13:07
里面有图示说明，只要把“【安装拦截】”与“【总开关】”这两条停用，就可以无碍地安装与卸载，平常这两 ...

这个防毒的理论要从源头抓起，只有这个控制了，问题就不是问题了，

说明白点，良好的上网习惯，不要太好奇了，你中奖的机率很少的。

柯大所说的，也很直白的讲述了这个层面，望大伙，引起重视。

说起来，好的杀毒不是百毒不侵，只要较来历而已。

好帖子。赞！

柯林

sweetnokia 发表于 2021-1-11 13:31
这个防毒的理论要从源头抓起，只有这个控制了，问题就不是问题了，

说明白点，良好的上网习惯，不要太 ...

这个是从普通大众的角度说的。如果有精力，习惯折腾，各种极端精细控制的方法，大可进行，只是一般人耗不起这个，弄得太严厉、太复杂，自己使用也不方便，系统更新、程序安装、日常使用排除啥的，都变成复杂问题，所以对一般人来说，适度就好，能够卡住入口，就没那多事了。
看病毒分析很热闹，可看来看去，也就那些招数，什么自启动，挖空程序内存做僵尸，dll之类注入运行啥的，包括驱动隐藏对抗，其实源头，还是来自一个母体病毒。至于网页挂马什么的，无非是系统漏洞，打个补丁比啥都管用。
看来看去，主要的攻击，是网络，蠕虫那类自动流窜的病毒都不大行了，现在玩“社会工程学”，主要是邮箱投毒，管住这个，基本上威胁解除了一大半。
看网上的介绍，做木马病毒的，基本就三个套路，一是邮箱投毒，二是捆绑在一个著名程序里提供大面积下载，三就是弄在种子文件里分发……管住源头，真的，很多问题都烟消云散。至于U盘病毒，除了机房、单位内部，打印店，一般还真难遇到。

sweetnokia

柯林 发表于 2021-1-11 14:26
这个是从普通大众的角度说的。如果有精力，习惯折腾，各种极端精细控制的方法，大可进行，只是一般人耗不 ...

受教了，说得太详细了，一直都没有对这块深放研究的。

听你这样一说，也有底了。

zhang.year

非常适用的规则，实用就好。