终极虚拟—天罗地网“迷魂阵”

huanwoheshan

柯林 发表于 2021-1-28 12:25
C:\ProgramData\Comodo\Cis\tempscrpt\*   这个它会自动入沙

然后我防火墙把脚本执行器拦了：

牛！

huanwoheshan

柯林 发表于 2021-1-28 12:17
一般人用这个还不够么？（自动沙盘天然防勒索，滴水不漏）：

牛人也！

柯林

huanwoheshan 发表于 2021-2-7 16:40
牛人也！

没用comodo了，转用VSE（咖啡的FD功能比较喜欢，而且轻巧不卡机）
毛豆不知道该怎么玩了——开不开HIPS是个难题，开了怎样做规则与自动沙盘互相配合，而能达到“安静智能又犀利”的效果，一直没有好的想法，“黔驴技穷”了

Domenic

安全是非常安全了，但是我就好奇这难道不会影响使用嘛？对系统文件加限制不会导致一大堆问题嘛？

不是很懂这些......................就是好奇，希望解答

HEMM

Domenic 发表于 2021-2-9 22:30
安全是非常安全了，但是我就好奇这难道不会影响使用嘛？对系统文件加限制不会导致一大堆问题嘛？

不是很 ...

第一招大概率不会影响使用，除非你用powershell.exe联网做点什么，反正我是长期用不到这些玩意儿......
防火墙全询..我看看下我的哈，我的是全阻，一个*全部阻止了，例外放行不问，好像是废话....。全询的安全性很高，不会产生误拦截.....大概....但是必须和全阻一样有排除规则，否则........
第二招文件隐身，很棒，但我不稀饭隐那么多，我就把游戏安装包所在文件夹添加了，其余都没管，爱看看.....
第三招我布吉岛，我不大稀饭用沙盘.....你挑稀饭的添加，然后看后果就得了.......
这些只是建议，捡适合自己的添加就好，我就爱在各种规则里面挑几个好玩又有趣的添加进去，比如柯姐的全局硬盘权限，排除不好.........那么你没什么程序可用，我断断续续用了差不多一年。还不错啦，但我现在又觉得严格了，妨碍我第一时间双击未知游戏的快感，因为我会忘记我加了权限，点了半天没法运行我会在几秒钟之内删除，那怕下载用了几个小时，然后想起来了又跑去下载，特别的疯魔.........
当然还有各种规则，我挑有趣的东填一笔，西画一半.........
规则这玩意儿见仁见智，随意啦，觉得适合就用，不适合就默认也不错，只不过我个人受不了默认，觉得挫，不好玩，不稀饭询问，弹个窗问我这啊那啊的，万一我忘记了选错了怎么办？干脆一不做二不休，在还算稍微用着脑子的时候一次性弄好，然后禁止询问全阻止或者允许，不要来问我这啊那啊的，我忘性大，又不爱用脑，玩游戏也没时间理这些...

说是这么说啦，但我也没开毛豆.......虽然毛豆也没问我个啥
但是怎么说呢？没时间，对.....我忙的很，大把未知的老旧游戏我没体验过......
还是单奔WD，现在搭配OSArmor，智能的，拦截了就拦截了，中标了就中标了，玩游戏要紧，不要想太多，体验僵尸的快乐......虽然我玩游戏也是瞎玩，即使对着攻略也能玩偏到不知道那里导致删档.......熟话说不用脑你就不知道你的脑子可以空白到什么地步，这句话是有道理的，看谁更傻，就会得到盲目痴愚之神阿撒托斯祝福，变成彻底的疯子或被毁灭
阿撒托斯的祝福让我更加疯狂了呢~咩嘿嘿嘿嘿........
说起硬盘权限......我连硬盘权限需要添加啥，添加到那个位置都忘光了.............说到这个我只是想起有这么件事，但是怎么也记不起来要添加啥规则了.......

柯林

HEMM 发表于 2021-2-10 00:49
第一招大概率不会影响使用，除非你用powershell.exe联网做点什么，反正我是长期用不到这些玩意儿......
...

现在最流行的，就是powershell大法，十个流行病毒，可能有一半都要用这东东按网上流传的那些攻击代码试了一点，真的，禁止powershell.exe联网，就没有然后了——绝大多数powershell脚本，都是用powershell.exe直接联网下载东西来执行的，对付这个，最简单的，禁止powershell.exe联网，更狠一点的，全局禁止创建ps1，最狠的禁止使用powershell的核心那个dll文件（估计系统相关功能也会受影响，一般来说不好）

另一个最闹得欢的，就是cmd，按赛门铁克的说法，80%的恶意威胁，都是从cmd开始的，那些远程攻击、溢出啥的，据说最终也是拿到个低权限的cmdshell来做事，禁止cmd.exe联网，估计也就废了一半；如果加上禁止explorer执行cmd的规则，就算你收到再多的恶意批处理，再怎么点它都没有反应啊....再说那些宏病毒，脚本病毒啥的，通常运行后，都是释放个vbs文件和bat文件（有的是个exe），用wscript.shell调用cmd执行bat，由bat里面的命令再启动wscript.exe执行vbs，就变成了“自动运行”……不管怎么变，代码怎么写，来来去去，最终基本上也就这么个套路。禁止cmd.exe与wscript.exe执行?:\Users\*，它再释放多少东东，一样没有用啊；如果禁止了cmd.exe、wscript.exe之类联网，那些要上网下载病毒的脚本，屁用都没有，都轮不到后面的锁定%temp%运行或锁定?:\Users\*执行来费神了

也有一些脚本病毒，设定的释放路径，可能是不按常规路的地方，比如磁盘根目录；还有的，可能不是自己去下文件，而是调用浏览器——这个毛豆不是有com接口控制，把ie的那个com接口，禁止cmd、wscript之类的使用，应该效果就好多了，其它的比如vse还不好弄
还有那些什么自动运行病毒，无文件攻击啥的，其实最终，都要靠Adodb.Stream，poweshell，Applicantion.Run，WMI，Shell.Application来支撑，没有相关的东东，忙活半天不也是个“狗气煞”

一句话，以个人有限的“观贴看流程”经验来说，现在流行的玩意，除了加驱提权特别猛的、文件比较大的毒，一般的小文件、小毒，基本上最爱用的就两招，一个是powershell（通常由cmd启动powershell开始）；一个是wscript.shell执行（虽然执行不止这一个，但就数这一个出镜率最高）。把这两个一掐，基本上威胁灭了一半

一般人不知道怎么限制或禁用wscript.shell之类的，按网上的教程，执行这些命令就可以了：
regsvr32/u C:\WINNT\System32\wshom.ocx
regsvr32/u C:\WINNT\system32\shell32.dll
regsvr32.exe scrrun.dll
regsvr32 /s /u "C:\Program Files\Common Files\System\ado\msado15.dll"
看它什么神脚本，有卵用

HEMM

柯林 发表于 2021-2-10 09:46
现在最流行的，就是powershell大法，十个流行病毒，可能有一半都要用这东东按网上流传的那些攻击代码试了 ...

姐姐应该说给问的人听啊，我又不爱学习，惯会调皮捣蛋。
我玩游戏的时候又不爱用毛豆，然而我大部分时间都在玩游戏，剩余的时间清空脑子发呆要嘛就是发疯。
而且你建议的全局禁止......我要是用了的话，一旦忘记我会以为系统故障的......毕竟我这个人又没什么脑子。
你的教材固然是好的，但是我接受能力奇差，说了一堆不到3秒我就忘光了....
当个傻子能体验到异样的快乐，记忆力是必须的，但我总会想起不开心的东西，不如全忘掉，这样每天都是新感觉
你说的这堆貌似OSArmor可以......我不记得了，免费的，体积超小，也没什么占用，说到占用我把华硕的那个鬼什么神光同步删除了，这程序读的次数太多了..........都不知道一天到晚读个啥，为了拼全系统读取次数大赛第一名吗？每半秒感觉都在读读读读读..........
姐姐也可以玩玩看OSArmor嘛，旧版免费的........顺便研究一下怎么写自定义规则，研究完了说给我听听~
......总之你玩玩看嘛不要钱的

柯林

HEMM 发表于 2021-2-10 10:47
姐姐应该说给问的人听啊，我又不爱学习，惯会调皮捣蛋。
我玩游戏的时候又不爱用毛豆，然而我大部 ...

xp时候玩过，澳大利亚的吧，智能化的，带强大的白名单库，似乎不用怎么折腾

HEMM

柯林 发表于 2021-2-10 22:44
xp时候玩过，澳大利亚的吧，智能化的，带强大的白名单库，似乎不用怎么折腾

姐姐真是见多识广，你还不快用用看~

huanwoheshan

柯林 发表于 2021-2-10 09:46
现在最流行的，就是powershell大法，十个流行病毒，可能有一半都要用这东东按网上流传的那些攻击代码试了 ...

请教：禁止explorer执行cmd的规则，怎么写?