搜索
查看: 6650|回复: 121
收起左侧

[其他相关] (终结)小白规则【3月26日更新】【智能防御“全系列”】

  [复制链接]
柯林
发表于 2021-1-13 18:32:04 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2021-3-26 10:36 编辑

※※※※※※《小白福音-菜鸟无忧-智能防御新春规则2.0》※※※※※※

vse要不要规则?默认太弱,严厉的太麻烦,有没有简单一点,装上就用,几乎不用调整的?

按照常规使用习惯,以大多数人爱用的常见软件环境为基础,制作这个“菜鸟无忧-智能防御规则”

规则特点:对机子上的重要文件实施强力保护,防御勒索病毒;针对病毒的一些特点,设置“巧妙的”拦截,减少中毒的几率与被攻击的风险;兼顾日常应用与常规使用习惯,能够正常地更新系统打补丁,能够顺当地安装软件,“与默认几无差别”——“病毒来了,能够防一防;正常应用,没有影响;几乎不需要设置与调整,一次搞定,终身受用”........

(3月26日更新)精简反打规则:

终结更新
      



制作系统、搞软件啥的,可用《平安规则》:
3月9日更新,修正《断网规则》的错误,补齐文字规则。
修正《金装防御》第一道大过滤,排除名单的漏洞,更正名单*\Program Files (x86)\**, *\Program Files\**, *\Windows\**, system, \??\C:\Program Files (x86)\**, \??\C:\Program Files\**, \??\C:\Windows\System32\**

======================== 建议 ============================
在乎性能的,在默认的基础上,加13条规则就可以了:
1、保护桌面文件    2、保护普通文件 (存放普通资料的目录)   3、保护重要文件(存放重要资料的目录)
3、禁止高危程序联网(cmd.exe, conhost.exe, cscript.exe, mshta.exe, powershell.exe, regsvr32.exe, rundll32.exe, wscript.exe)
4、卷影保护4条     5、禁止执行格式化命令   
6、防止压缩包带毒2条    7、宏病毒保护3条(**\Normal.dot*,*\XLSTART\**,*\Startup\**)

========================= 以下为旧版本 ======================




提醒:导入的规则是否起作用,最好自己测试下——比如在D盘任意目录里,新建一个文件夹,命名为:我的重要资料,在里面存放一些图片,用系统自带的画图工具,对图片执行修改(比如添加一些文字)看看能否扛住?或者用cmd命令试试。

2021-2-9,最后更新
=========================================================
补:关于机器优化--涉及方面太多,用家自己总结吧(不善于调配,再好的配置,也只剩下数框框了)
比如说,明明网络通畅,带宽也不低,为啥,打开个网页就磕磕绊绊呢?
可能性之一,就是奸商又在作妖了,可以尝试“管理员身份”,打开记事本--打开hosts,添加:
127.0.0.1 cpu.baidu.com
127.0.0.1 union.baidu.com
127.0.0.1 mssp.baidu.com
其他一些,自己搜集吧(在你打开网页,页面在转圈,左下角出现的网址,很可能就是作妖的东东,把它记下,查询,如果与你要访问的网页无关,把它加入屏蔽就是)
也许如此这般处理一下,网页打开的速度就上去了



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
sdtzsf
发表于 2021-1-13 20:44:31 | 显示全部楼层
非常期待,辛苦。能附文字版的吗?
ldkvfeng
发表于 2021-1-13 21:01:43 | 显示全部楼层
柯大的规则总结起来就是:封住入口,保护重要的路径,确保资料用正确软件打开,基本上就能应付一般情况了,而且还比较“懒”
柯林
 楼主| 发表于 2021-1-13 22:53:01 | 显示全部楼层
ldkvfeng 发表于 2021-1-13 21:01
柯大的规则总结起来就是:封住入口,保护重要的路径,确保资料用正确软件打开,基本上就能应付一般情况了, ...

懒人比较好
柯林
 楼主| 发表于 2021-1-13 22:55:32 | 显示全部楼层
sdtzsf 发表于 2021-1-13 20:44
非常期待,辛苦。能附文字版的吗?

已补充在1楼。试验了有结果,告诉我暂时没精神验证(要重新装一遍P15太烦了)
sdtzsf
发表于 2021-1-14 18:56:57 | 显示全部楼层
我安装的是P16,按文字版调教后,暂未出现什么异常情况。非常感谢。
柯林
 楼主| 发表于 2021-1-14 19:16:33 | 显示全部楼层
sdtzsf 发表于 2021-1-14 18:56
我安装的是P16,按文字版调教后,暂未出现什么异常情况。非常感谢。

我实际弄了一下,好像有点小毛病,我修改了更新在1楼,你下了对比下(新订规则三十多条)
柯林
 楼主| 发表于 2021-1-18 10:51:27 | 显示全部楼层
本帖最后由 柯林 于 2021-1-18 12:49 编辑

补充一点傻傻的想法《小白简化防毒规则》(嫌麻烦,可以精简几条用用就行)
一、防黑
默认自带“禁止远程创建可执行文件与配置文件”已经很给力;再把“禁止远程创建自动运行程序”给勾上,差不多就全了。
远程攻击,除了利用系统漏洞,最主要的还是用户的“恶习”,弥补措施:1、给系统设置16位以上复杂的登陆密码
2、如果不玩远程桌面,组策略里,用户权利指派,禁止从网络访问这台计算机,添加everyone和Administrators吧;允许远程关闭此计算机,把那个Administrators删掉。这一条如果不会弄就算了,最主要是第1条,设置复杂的登陆密码,被入侵的通常是白痴密码。
3、关掉3389端口,系统墙里加规则,或者用VSE的端口规则,禁止*从3389到3389入站

二、防恶意及隐私保护
1、开启“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”,排除C:\Program Files\**.exe, explorer.exe, frameworkservice.exe, logonui.exe, rasphone.exe, svchost.exe, \Program Files (x86)\**.exe
2、自定义文件规则:保护谷歌浏览器历史(禁止*读取**\AppData\Local\Google\Chrome\User Data\Default\History  排除C:\Program Files\Google\Chrome\Application\chrome.exe(按你的谷歌浏览器路径写)
3、摄像头保护,如果使用摄像头,防止被木马调用,可以补一条文件规则:禁止*执行(摄像头程序比如amcap.exe),排除explorer.exe,QQ.exe(希望安全一点,请写全路径,比如C:\Windows\explorer.exe

三、基本的防毒
1、不管病毒多么花哨,常见的手段,其实都要用到命令操作(毕竟用系统自带的功能最方便、快捷、高效,如果像做正规软件一样弄大工程,那是吃错药了),不管过程怎么复杂,最终的结果,往往是借用powershell和wmic之类上网去下病毒文件,把bitsadmin.exe, cmd.exe, cscript.exe, mshta.exe, powershell.exe, wmic.exe, wscript.exe禁止联网(出站、入站),让它瞎忙活去吧,到头啥也没捞到。当然这个只能对付常规手段,对于那些注入系统进程,比如利用svchost.exe去下病毒的,小白也只能干瞪眼,除了寄希望于麦咖啡的杀毒,大概也没别的。

2、一些容易招鬼的程序,弄来的病毒,通常是放到%Temp%里执行,开启自带规则“禁止公用程序从 Temp 文件夹运行文件”,修改排除名单,把 \::之前的全删掉,换成263em.exe, alimail.exe, eudora.exe, explorer.exe, firefox.exe, Foxmail.exe, iexplore.exe, mailchat.exe, mailmaster.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, regsvr32.exe, rundll32.exe, thebat.exe, thebat32.exe, thebat64.exe, thunderbird.exe, WinMail.exe,

3、U盘防毒,很简单,禁止*执行u盘上的任何文件就行了;如果是脚本病毒,补一条:禁止 cscript.exe, wscript.exe读取、执行u盘上的文件

4、网络病毒防御:如果把QQ、电子邮件的默认下载目录,设置在“我的文档”里,写一条“禁止执行我的文档里的程序”,就能得到很好的防御(exe、scr、com、pif格式的文件);对于脚本病毒,不管是下载到“我的文档里”,还是放到桌面上,也不管是上网程序下载到用户路径的temp里,写一条:禁止cmd.exe, cscript.exe, mshta.exe, wscript.exe读取、执行?:\Users\**就管用了

5、保持网络通畅。病毒再厉害,只要不断网,随着病毒库升级,总会被查杀,于是有的病毒上来就断网,常见手段,就是修改hosts文件,所以要保护:禁止*写入C:\Windows\System32\drivers\etc\hosts   排除C:\Windows\system32\notepad.exe

6、破坏性病毒防御,最常见是格式化磁盘,写上一条:禁止*读取、执行format.com

7、许多病毒,最喜欢的手段之一,就是添加开机启动,利用抢先启动的时间做坏事,这一条有点犯难,设置可能影响一些正常软件的安装,特别是硬件,比如说,装个显卡驱动啥的要被拦了,那不得哭?所以一般人可以忽略,开日志记录就行。如果你在乎,想要设置,请记得,在安装硬件时,最好停用。设置方法,打开“通用最大保护-禁止将程序注册为自动运行‘,排除名单修改为C:\Program Files*\**.exe, C:\Windows\SoftwareDistribution\Download\install\*.exe,TrustedInstaller.exe,poqexec.exe,regedit.exe,setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe,spuninst.exe, sqlredis.exe,supdate.exe,uninstall.exe, update.exe, updater.exe,winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp,mmc.exe, msi*.tmp, msiexec.exe, kb*.exe, LogonUI.exe,ie-kb*.exe, ieupdate.exe,???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe  然后勾选阻挡与报告(注意观察这一条,看是否会误拦个别系统补丁的更新,如有,则添加排除)

8、关于宏病毒。保护模板,防止染毒文档污染模板,造成大面积感染,是可以做一做的预防措施:禁止*创建、写入、执行*\XLSTART\**    禁止*创建、写入、执行*\Startup\**      禁止*写入**\Normal.dot*  排除C:\Windows\explorer.exe

9、是否限制文件创建?这几年勒索病毒比较常见,最爱冒用的格式是scr文件,禁止*创建**.scr 排除C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\System32\Dism.exe, C:\Windows\System32\poqexec.exe, C:\Windows\WinSxS\*\TiWorker.exe   一般也就可以了,其他格式可以忽略

10、命令行防御。假设病毒进了机子搞动作,能从命令操作方面限制一点,以常见方式来说,可以写几条:1、禁止cmd.exe执行powershell.exe      2、禁止cmd.exe执行 wmic.exe    3、禁止cmd.exe, powershell.exe, wmic.exe执行icacls.exe      3、禁止cmd.exe, powershell.exe, wmic.exe执行cacls.exe

三、关于勒索病毒
主要做两个工作,一是文件保护规则,防止重要文件被破坏;二是保护卷影备份,留”最后一根稻草“
文件保护规则,你要有精力,可以写规则把桌面上的重要文件、我的文档、音乐库,以及资料盘,都给保护了;如果想要简单一些,写3条就够了
1、保护重要资料(禁止*写入、删除**\我的重要资料\**  排除C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe),用法:在桌面上、我的文档、音乐库、非系统盘的任意一个目录下,新建一个文件夹,命名为:我的重要资料,把你要想保护的文件,放进去
2、保护我的私人文件(禁止*读取、创建、写入、删除**\我的私人文件\** 排除C:\Program Files (x86)\Microsoft Office\Office*\EXCEL.exe, C:\Program Files (x86)\Microsoft Office\Office*\WINWORD.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\notepad.exe(依据你用的office软件及压缩软件来设置排除,如果要求最安全,只排除C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe,缺点是你不能直接修改里面的文档之类的文件,必须复制出来修改)用法:在非系统盘的隐秘位置,任意目录下,新建一个文件夹,命名为:我的私人文件,把你的相片、私人影片、最重要的文档、资料什么的放进去
3、受vse保护的文件(禁止*写入、删除**\受vse保护的文件\** 排除C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\MRT.exe, C:\Windows\System32\mspaint.exe, C:\Windows\System32\notepad.exe, C:\Windows\System32\SnippingTool.exe)在桌面、图片库、非系统盘上的任意位置或目录下,新建一个文件夹,命名为:受vse保护的文件,把你想要加以保护,防止被不明程序修改、删除的文件与资料,放进去

卷影保护,主要是防止病毒调用命令行执行删除卷影:禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行vssadmin.exe,禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行wbadmin.exe,禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行bcdedit.exe,禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行wevtutil.exe

最保险的资料保护,无过于物理备份,有条件有心的,用移动磁盘、光盘乃至U盘,把重要资料做个备份。云盘也不错,但要考虑”万一它突然倒闭了,被墙了,下载龟速了……“(存进U盘带着满地跑,注意防备U盘丢失导致的后果,最好把资料用winrar加密后存放(不要忘了密码)

四、开启一点监控记录:比如勾选”禁止在 Windows 文件夹中创建新的可执行文件“,”禁止在 Program Files 文件夹中创建新的可执行文件“的报告,就可以知道,最近都有神马东东,对你的机子”做了手脚“。其它的,视自己的需要开启(无需太多,拣重要的开一点即可)

剩下的就算了吧,非vse所长,非个人精力所长,比如安装驱动,你能不让安装?比如钩子,像QQ之类不给钩子它不干活,你用还是不用?至于键盘记录的木马,vse没这功能,平日里习惯好一点,少用来历不明的软件,希望vse给力一点,帮你把病毒杀得光光的,机子很干净,啥也没有,那又担心啥呢?(网银支付最保险的做法,无过于物理防御:准备一张专门网购的卡,里面不要存太多资金,需要使用的时候,临时充值,不是更给力?)

一个普通用户,在力所能及的范围内,适当弄一弄,增加一点心理安慰,总归是好的。剩下的事情,交给麦咖啡,交给习惯与运气,该挣钱挣钱,该做事做事,该娱乐娱乐……







duke580
发表于 2021-1-23 06:01:46 | 显示全部楼层
感谢为小白用户整理强化规则
柯林
 楼主| 发表于 2021-1-23 14:13:16 | 显示全部楼层
duke580 发表于 2021-1-23 06:01
感谢为小白用户整理强化规则

有重要资料还是做好备份才好‘
毕竟vse保护磁盘分区这块不清楚,万一遇上直接修改或加密磁盘分区表的,就麻烦了,特别是mbr分区的盘
一般的倒也还没啥,遇上加驱的、改磁盘分区的,安装钩子的,直接内存运作的,不清楚。一般养成好点的习惯,少招鬼,可以降低“翻车”的几率
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 湘ICP备2021004765号-1 ) GMT+8, 2021-4-18 05:28 , Processed in 0.113273 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表