查看: 13228|回复: 56
收起左侧

[讨论] 终极虚拟—天罗地网“迷魂阵”

  [复制链接]
柯林
发表于 2021-1-26 10:15:48 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2021-1-26 12:53 编辑

毛豆什么最强?当然是主动防御,里面的,自动沙盘!有了这“神器”,防毒轻而易举。

有人说,我安着毛豆,可还是被全家桶给Q了,被白+黑给耍了,被木马病毒把资料给盗了……那是你“心慈手软,太过温柔”的缘故。

安全,当然是很多因素构成的。比如,你要是给windows系统设置个白痴密码,那要“不招蜂惹蝶”,恐怕很难。再比如,系统方面的致命bug,比如win10最近闹出的那个“遇到致命短字符就格盘”的“战略性手段”,以及许多普通人不知的0day之类;再比如cpu的致命漏洞;那可能不是什么牛皮软件或“神仙规则”能够抗住。

抛开人力所不能掌握的部分,在我们力所能及的范围内,把防御捣腾得“比较扎实”,“留给病毒的机会恨渺茫”,这是“玩防毒的人”应该追求的目标——“以最小的代价最简单的方法,实现最大化的防御”。

具体到毛豆来说,就是用好它“独步武林”的“神功”——自动沙化。众所周知,有款给力的软件,叫做Shadow Defender,能把“一切修改恢复原初”,玩的是全盘虚拟。我们要做的,是与Shadow Defender相反的思路——把病毒和未知程序全部虚拟,并尽可能地减少虚拟化下的“损失”。

具体方法,三大招——

第一招:防火墙
1、拦截危险程序联网---新建一个文件分组,取名:危险程序,添加以下文件:
*\bitsadmin.exe
*\cmd.exe
*\cscript.exe
*\mshta.exe
*\powershell.exe
*\wmic.exe
*\wscript.exe
在防火墙应用程序规则里,新建一条规则,引用这个分组,配以“被拦截的程序”(设为禁止访问网络)

2、全局询问:防火墙应用程序规则里,新建一条规则——所用应用程序*以TCP/IP协议进、出,询问并记录(不喜欢一大堆拦截记录,可以不开记录--缺点是有时候你可能不知道自己的程序被拦了)

第二招:文件隐身
把你“宝贝的东西”不给病毒看,即使进了病毒或木马,它连“你的宝贝”在哪都不知道,不也就提高了防毒防马的安全性?假设你有C\D\E\F四个盘,资料都放D\E\F盘上(你有几个资料盘就加几个),打开毛豆“受保护的资料文件”,添加以下内容:
D:\*
E:\*
F:\*
*\Cookies\*
*\index.dat
*\rasphone.pbk
*\windows\*
*\Program Files\*
*\Program Files (x86)\*
*\ProgramData\*
*\Desktop\*
*\Temp\*.dll
*\*.ini
*\*.dat
*\*.xml
*\*.jpg
*\*.jpeg
*\*.doc
*\*.docx
*\*.xlsx
*\History
这样一添加,入了沙的“可疑分子”,就让它抓狂去吧(估计很多都是运行就报错,撑不过几分钟,就自己game over了)。

第三招:终极入沙
除了系统,以及“我所安装使用的程序”,其他全是未知的“可疑分子”,一律入沙,看你还怎么蹦?
1、强制入沙需要管制的程序:新建一个文件分组,添加你想管制的程序,比如
*\iexplore.exe
*\XLUEOPS.exe
*\Xmp.exe
打开沙盘规则,添加一条置顶规则,引用该分组,设置“入沙”
2、comodo默认自带的沙盘规则不要动
3、在默认规则的下面(注意是下面),写上放行规则:新建一个文件组,取名:系统及可信程序,添加如下内容:
C:\Windows\*
C:\Program Files (x86)\*
C:\Program Files\*
D:\Program Files\*
新建一条沙盘规则,引用该分组,设为“忽略”(如有遗漏的,自己补充下,按理这几个路径放行就够了)
(你自己要用的小工具,小程序,凡是可靠的,没有安装在C:\Program Files或C:\Program Files (x86)里的,自己把它放到D:\Program Files里去用)
4、最后写上一条扫尾的终极虚拟规则:所有应用程序*一律入沙(不管它来自哪里,信誉如何)(你自己安装程序、卸载程序、升级软件,需要关闭这一条。系统更新是否受影响,需要观察,按理是应该不会,如果影响,在更新补丁的时候,临时关闭该条)。这一条一定要放在最下面,作为沙盘规则的最后一条规则,否则就死机蓝屏了!

现在,你放心地迎接病毒吧,只管手贱地双击吧,只要你不把病毒放到C:\Windows或C:\Program Files或C:\Program Files (x86)里,以及D:\Program Files里,管它白+黑还是红+灰,你看它入沙后的“醉样”(●'?'●)。只要不是针对毛豆的致命bug或系统的致命漏洞,这个迷魂“诛仙阵”,应该是来多少,收多少,一个都作不了妖!

当然,管不管用,有没有设置错误或写法错误,你可以自己测试下。比如自己写个批处理,删除D盘上的D:\123\*.TXT,保存为bat文件,双击看看;或者用个绿色软件,放到桌面,或者E盘,或者U盘上,运行看看,看它入不入沙,看它入沙后的“表现”(●'?'●)

如果有必要,可以置顶添加一条,引用分组“危险程序”,设置“入沙”(这样设置可能影响你自己的应用,能不设置就不设置)

这样一弄,你再试试,看全家桶,在线安装,后门下载器,还蹦跶不蹦跶?看“乘兴而来”的病毒,留下什么记录?老实说,毛豆有自动沙盘+防火墙就足够防毒了,至于检测,呵呵吧,再说网速,呵呵吧……不放心,要上个扫描器的,建议首选系统自带的杀毒,或者加个智量(把反勒索功能关闭)


===============  小结线 ==================

这套方案的意思是:假设我的系统是干净的,我自己安装的程序是可靠的,那么除此而外,所有外来的、新添加的东东,都是“可疑分子”,一律自动入沙。如此一来,管你是病毒还是木马,管你从哪里来(管你邮件、网站、U盘还是光盘),一律沙沙沙,除非我自己脑残——把你加为信任,而杀毒又没认出,于是漏网,否则,“来者全灭”!

这套方案有两个“漏洞”——1、自己脑残,把病毒加为信任,而杀毒模块又漏掉,于是造成损失;2、病毒早就在信任目录里隐藏多时而杀毒竟然没检出(比如藏在Windows目录里),以至于中招。对于这个,有效的对抗方法是,用个得力的杀毒扫扫吧(对C盘大扫),还有就是,用原版系统+干净的pe(比如微pe)。

还有一个,就是网络恶意代码攻击。对于这个,最有效的手段,是打系统漏洞补丁。再有,就是用安全的浏览器,比如chrome,Edge,Firefox,那些乱糟糟的浏览器还是扔掉吧。虽然禁止了“危险程序”(比如cmd.exe)联网有一定的作用,毛豆的病毒跟踪分析究竟有多大作用不大清楚,真遇上系统漏洞的,只在内存里执行的恶意代码,不落地的东东,虚拟化防御有多大作用,需要观察。除此而外,凡是落地的,进入计算机的东西,都逃不过“狂沙迷魂阵”。


=======================================
喜欢把机子防护得“滴水不漏”的,可以试试这套方案,并不复杂,简单弄几下,就能弄个“金钟罩”。
喜欢玩搭配,可以配个智量,或者最好是系统自带的Windows Defender

最佳推荐——断网用户:机子连不了网,特征码杀毒够呛的,装个CFW,用这“万物入沙大法”就可以“百毒不侵”(前提是你机子干净,在安装毛豆防火墙实施防毒之前很干净,以及没有致命漏洞——比如windows短字符格盘漏洞)。(对于宏病毒,建议用高版本的office,关闭宏功能——其实在入沙防御下,病毒是做不了怪的,但是怕它感染模板,传给别的机子,如果入沙word程序,在这套方案下,可能入沙就崩了)

希望简单折腾的,可以动手试一试。我这里网速不给力,暂时不凑热闹了,提供个思路给喜欢折腾的人试试,有用请受享。

评分

参与人数 2人气 +4 收起 理由
axeaaa + 1 版区有你更精彩: )
HEMM + 3 好累人哦

查看全部评分

sdtzsf
发表于 2021-1-26 11:25:47 | 显示全部楼层
非常期待!现在在品咖啡豆!
Kinhold
发表于 2021-1-26 11:51:50 | 显示全部楼层
就上次坛内有用了MS office 的白加黑过了毛豆的自动沙盒  。。。暂时未发现有过的EXE

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 赞一个!

查看全部评分

柯林
 楼主| 发表于 2021-1-26 12:27:18 | 显示全部楼层
sdtzsf 发表于 2021-1-26 11:25
非常期待!现在在品咖啡豆!

已完成,思路很简单,喜欢可以试试看
con16
发表于 2021-1-26 14:28:06 | 显示全部楼层
本帖最后由 con16 于 2021-1-26 15:02 编辑

WIn10
Program Files
Program Files (x86)
ProgramData  .....或更多主要程序所在位置

資料夾保護那個不會讓你整個加進去,只能進去挑要保護的加
因為這些地方是主要程序所在位置,給你全加進去真入沙系統也不正常

這功能我是粗略的資料D槽和桌面一些目錄保護起來
要使用的程序則看情況,有些毛豆入沙不允許這樣搞,系統都不能正常跑

還有你瀏覽器(或要用的軟件)所在位址也看要看情況,不是都可以用那資料夾保護
像瀏覽器目錄加隱藏保護,入沙都會跟你說錯誤,因為入沙後自己都看不到自己一定是有問題

我以火狐做例子,你把火狐加資料夾保護隱藏,火狐入沙時候毛豆就會出現這畫面
因為被隱藏不給讀,火狐也無法入沙執行








本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 感谢提供实验

查看全部评分

柯林
 楼主| 发表于 2021-1-26 19:51:21 | 显示全部楼层
不联网的机子(局域网内部,或者断网单机)

安装一个comodo firewall就够了,用自动沙盘防毒:

1、默认沙盘规则,保持不动
2、引用分组“windows系统应用程序”忽略
3、引用分组“comodo应用程序”忽略
4、建立分组:用户安装使用的软件
添加已经安装好的要用的软件,比如
C:\Program Files\WinRAR\*
C:\Program Files\MPC-HC\*
C:\Program Files\Windows Media Player\*
C:\Program Files\Mozilla Firefox\*
C:\Program Files (x86)\Microsoft Office\*
(根据你的实情,自己添加)
引用该组,制定沙盘规则:忽略
5、C:\Windows\System32\* 沙盘规则:忽略
6、C:\Windows\SysWOW64\* 沙盘规则:忽略
7、C:\Windows\WinSxS\*   沙盘规则:忽略
8、建立分组:危险程序
添加如下文件
*\cmd.exe
*\cscript.exe
*\mshta.exe
*\powershell.exe
*\wscript.exe
*\regedit.exe
*\regedt32.exe
*\mmc.exe
引用分组,沙盘规则:入沙
(你自己要用注册表,组策略的时候,临时关闭该条)
9、最后一条,垫底规则,封杀一切:所有应用程序*一律入沙(不管位置与信誉)

有这一套把关,基本可以“畅玩断网),唯一的弱点是宏病毒(带毒文档或报表打开之后,虽不至于造成危害,但会感染模板,传染给别的文档。解决办法有两个:一是用高版本的office,不要开宏,或者用金山wps天然免疫的;二是下宏病毒专杀工具,以应不时之需)

如果局域网内机子互联,出于保密需要,可以对入沙程序设置“盲点”——把资料盘加入保护
假设你机子上有D\E\F三个非系统盘,存放资料的,打开“comodo设置-HIPS-被保护的对象-受保护的文件”,添加-文件夹:
D:\*
E:\*
F:\*
接着添加文件:
*\Cookies\*
*\rasphone.pbk
*\Desktop\*
*\index.dat
*\History
这样,即使有流窜网络的病毒,或者利用U盘盗窃的病毒,也能减少资料被盗的程度了

ps:不联网了,还怎么安装comodo firewall?可以用离线安装程序cis_setup_x64.msi进行安装,如果安装报错,那是权限不够,需要三部曲:
1、关掉UAC
2、禁用驱动程序强制签名
3、以Administrators的身份登陆,执行安装
安装完毕,进行正常使用时,开启UAC,开启驱动程序强制签名,以用户组身份登陆
HEMM
发表于 2021-1-26 21:48:51 | 显示全部楼层
本帖最后由 HEMM 于 2021-1-26 22:09 编辑

防火墙C:\ProgramData\Comodo\Cis\tempscrpt\*
请把这玩意儿拦截.........两个改成一个*\?script.exe,这是你教我的,你忘记了......
好多啊,我记不住,不看了,好累.......
关键是卸载了毛豆了,而且......毛豆说修复的BUG很多没有修复...........
为什么你们稀饭把浏览器入沙啊,浏览器带沙盒的.......

諾言敵不過時間
发表于 2021-1-26 22:17:52 | 显示全部楼层
本帖最后由 諾言敵不過時間 于 2021-1-26 23:49 编辑


是說有沒有考慮過讓入沙判定由雲端信譽決定
Panda418
发表于 2021-1-26 23:37:00 | 显示全部楼层
猛赞
风林12刀
发表于 2021-1-27 08:56:08 | 显示全部楼层
很有技术含量的帖子,支持一下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 17:13 , Processed in 0.128549 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表