本帖最后由 柯林 于 2021-1-18 12:49 编辑
补充一点傻傻的想法《小白简化防毒规则》(嫌麻烦,可以精简几条用用就行)
一、防黑
默认自带“禁止远程创建可执行文件与配置文件”已经很给力;再把“禁止远程创建自动运行程序”给勾上,差不多就全了。
远程攻击,除了利用系统漏洞,最主要的还是用户的“恶习”,弥补措施:1、给系统设置16位以上复杂的登陆密码
2、如果不玩远程桌面,组策略里,用户权利指派,禁止从网络访问这台计算机,添加everyone和Administrators吧;允许远程关闭此计算机,把那个Administrators删掉。这一条如果不会弄就算了,最主要是第1条,设置复杂的登陆密码,被入侵的通常是白痴密码。
3、关掉3389端口,系统墙里加规则,或者用VSE的端口规则,禁止*从3389到3389入站
二、防恶意及隐私保护
1、开启“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”,排除C:\Program Files\**.exe, explorer.exe, frameworkservice.exe, logonui.exe, rasphone.exe, svchost.exe, \Program Files (x86)\**.exe
2、自定义文件规则:保护谷歌浏览器历史(禁止*读取**\AppData\Local\Google\Chrome\User Data\Default\History 排除C:\Program Files\Google\Chrome\Application\chrome.exe(按你的谷歌浏览器路径写)
3、摄像头保护,如果使用摄像头,防止被木马调用,可以补一条文件规则:禁止*执行(摄像头程序比如amcap.exe),排除explorer.exe,QQ.exe(希望安全一点,请写全路径,比如C:\Windows\explorer.exe
三、基本的防毒
1、不管病毒多么花哨,常见的手段,其实都要用到命令操作(毕竟用系统自带的功能最方便、快捷、高效,如果像做正规软件一样弄大工程,那是吃错药了),不管过程怎么复杂,最终的结果,往往是借用powershell和wmic之类上网去下病毒文件,把bitsadmin.exe, cmd.exe, cscript.exe, mshta.exe, powershell.exe, wmic.exe, wscript.exe禁止联网(出站、入站),让它瞎忙活去吧,到头啥也没捞到。当然这个只能对付常规手段,对于那些注入系统进程,比如利用svchost.exe去下病毒的,小白也只能干瞪眼,除了寄希望于麦咖啡的杀毒,大概也没别的。
2、一些容易招鬼的程序,弄来的病毒,通常是放到%Temp%里执行,开启自带规则“禁止公用程序从 Temp 文件夹运行文件”,修改排除名单,把 \::之前的全删掉,换成263em.exe, alimail.exe, eudora.exe, explorer.exe, firefox.exe, Foxmail.exe, iexplore.exe, mailchat.exe, mailmaster.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, regsvr32.exe, rundll32.exe, thebat.exe, thebat32.exe, thebat64.exe, thunderbird.exe, WinMail.exe,
3、U盘防毒,很简单,禁止*执行u盘上的任何文件就行了;如果是脚本病毒,补一条:禁止 cscript.exe, wscript.exe读取、执行u盘上的文件
4、网络病毒防御:如果把QQ、电子邮件的默认下载目录,设置在“我的文档”里,写一条“禁止执行我的文档里的程序”,就能得到很好的防御(exe、scr、com、pif格式的文件);对于脚本病毒,不管是下载到“我的文档里”,还是放到桌面上,也不管是上网程序下载到用户路径的temp里,写一条:禁止cmd.exe, cscript.exe, mshta.exe, wscript.exe读取、执行?:\Users\**就管用了
5、保持网络通畅。病毒再厉害,只要不断网,随着病毒库升级,总会被查杀,于是有的病毒上来就断网,常见手段,就是修改hosts文件,所以要保护:禁止*写入C:\Windows\System32\drivers\etc\hosts 排除C:\Windows\system32\notepad.exe
6、破坏性病毒防御,最常见是格式化磁盘,写上一条:禁止*读取、执行format.com
7、许多病毒,最喜欢的手段之一,就是添加开机启动,利用抢先启动的时间做坏事,这一条有点犯难,设置可能影响一些正常软件的安装,特别是硬件,比如说,装个显卡驱动啥的要被拦了,那不得哭?所以一般人可以忽略,开日志记录就行。如果你在乎,想要设置,请记得,在安装硬件时,最好停用。设置方法,打开“通用最大保护-禁止将程序注册为自动运行‘,排除名单修改为C:\Program Files*\**.exe, C:\Windows\SoftwareDistribution\Download\install\*.exe,TrustedInstaller.exe,poqexec.exe,regedit.exe,setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe,spuninst.exe, sqlredis.exe,supdate.exe,uninstall.exe, update.exe, updater.exe,winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp,mmc.exe, msi*.tmp, msiexec.exe, kb*.exe, LogonUI.exe,ie-kb*.exe, ieupdate.exe,???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe 然后勾选阻挡与报告(注意观察这一条,看是否会误拦个别系统补丁的更新,如有,则添加排除)
8、关于宏病毒。保护模板,防止染毒文档污染模板,造成大面积感染,是可以做一做的预防措施:禁止*创建、写入、执行*\XLSTART\** 禁止*创建、写入、执行*\Startup\** 禁止*写入**\Normal.dot* 排除C:\Windows\explorer.exe
9、是否限制文件创建?这几年勒索病毒比较常见,最爱冒用的格式是scr文件,禁止*创建**.scr 排除C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\System32\Dism.exe, C:\Windows\System32\poqexec.exe, C:\Windows\WinSxS\*\TiWorker.exe 一般也就可以了,其他格式可以忽略
10、命令行防御。假设病毒进了机子搞动作,能从命令操作方面限制一点,以常见方式来说,可以写几条:1、禁止cmd.exe执行powershell.exe 2、禁止cmd.exe执行 wmic.exe 3、禁止cmd.exe, powershell.exe, wmic.exe执行icacls.exe 3、禁止cmd.exe, powershell.exe, wmic.exe执行cacls.exe
三、关于勒索病毒
主要做两个工作,一是文件保护规则,防止重要文件被破坏;二是保护卷影备份,留”最后一根稻草“
文件保护规则,你要有精力,可以写规则把桌面上的重要文件、我的文档、音乐库,以及资料盘,都给保护了;如果想要简单一些,写3条就够了
1、保护重要资料(禁止*写入、删除**\我的重要资料\** 排除C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe),用法:在桌面上、我的文档、音乐库、非系统盘的任意一个目录下,新建一个文件夹,命名为:我的重要资料,把你要想保护的文件,放进去
2、保护我的私人文件(禁止*读取、创建、写入、删除**\我的私人文件\** 排除C:\Program Files (x86)\Microsoft Office\Office*\EXCEL.exe, C:\Program Files (x86)\Microsoft Office\Office*\WINWORD.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\notepad.exe(依据你用的office软件及压缩软件来设置排除,如果要求最安全,只排除C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe,缺点是你不能直接修改里面的文档之类的文件,必须复制出来修改)用法:在非系统盘的隐秘位置,任意目录下,新建一个文件夹,命名为:我的私人文件,把你的相片、私人影片、最重要的文档、资料什么的放进去
3、受vse保护的文件(禁止*写入、删除**\受vse保护的文件\** 排除C:\Program Files (x86)\**.exe, C:\Program Files\**.exe, C:\Windows\explorer.exe, C:\Windows\System32\dllhost.exe, C:\Windows\System32\MRT.exe, C:\Windows\System32\mspaint.exe, C:\Windows\System32\notepad.exe, C:\Windows\System32\SnippingTool.exe)在桌面、图片库、非系统盘上的任意位置或目录下,新建一个文件夹,命名为:受vse保护的文件,把你想要加以保护,防止被不明程序修改、删除的文件与资料,放进去
卷影保护,主要是防止病毒调用命令行执行删除卷影:禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行vssadmin.exe,禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行wbadmin.exe,禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行bcdedit.exe,禁止cmd.exe, powershell.exe, rundll32.exe, wmic.exe执行wevtutil.exe
最保险的资料保护,无过于物理备份,有条件有心的,用移动磁盘、光盘乃至U盘,把重要资料做个备份。云盘也不错,但要考虑”万一它突然倒闭了,被墙了,下载龟速了……“(存进U盘带着满地跑,注意防备U盘丢失导致的后果,最好把资料用winrar加密后存放(不要忘了密码)
四、开启一点监控记录:比如勾选”禁止在 Windows 文件夹中创建新的可执行文件“,”禁止在 Program Files 文件夹中创建新的可执行文件“的报告,就可以知道,最近都有神马东东,对你的机子”做了手脚“。其它的,视自己的需要开启(无需太多,拣重要的开一点即可)
剩下的就算了吧,非vse所长,非个人精力所长,比如安装驱动,你能不让安装?比如钩子,像QQ之类不给钩子它不干活,你用还是不用?至于键盘记录的木马,vse没这功能,平日里习惯好一点,少用来历不明的软件,希望vse给力一点,帮你把病毒杀得光光的,机子很干净,啥也没有,那又担心啥呢?(网银支付最保险的做法,无过于物理防御:准备一张专门网购的卡,里面不要存太多资金,需要使用的时候,临时充值,不是更给力?)
一个普通用户,在力所能及的范围内,适当弄一弄,增加一点心理安慰,总归是好的。剩下的事情,交给麦咖啡,交给习惯与运气,该挣钱挣钱,该做事做事,该娱乐娱乐……
|
[复制链接]
发表于 2021-1-13 18:32:04
楼主
