楼主: 柯林
收起左侧

[讨论] 终极虚拟—天罗地网“迷魂阵”

  [复制链接]
柯林
 楼主| 发表于 2021-2-13 19:50:13 | 显示全部楼层
huanwoheshan 发表于 2021-2-13 16:24
请教:禁止explorer执行cmd的规则,怎么写?

直接在explorer的规则里打开,执行程序默认是询问,有个例外阻止,在里面填*\cmd.exe即可
或者,在全局程序规则(就是HIPS默认自带最后一条“所有程序*”的规则,)执行程序那一项,例外阻止里填*\cmd.exe即可
看下系统重要进程组套用的规则,执行项是不是例外允许*,如果不是,则系统(svchost)执行cmd也被阻止,意味着本机禁止cmd了,要让系统可以执行,则须对svchost.exe放行

其实这样做没有意义,因为毛豆自带很强的鉴别能力,未知的批处理,不管是bat还是cmd。都会被自动入沙,无须担心
如果你是关闭了沙盘,只开HIPS,倒可以试试,但意义,说实话,我也不大肯定

从防止网络攻击的角度来说,其实应该做的是禁止cmd联网
从防御恶意批处理的角度来说,可以禁止cmd执行危险命令
开沙盘,入沙就能解决很多问题;如果不开沙盘,单是HIPS,从防止恶意批处理(比如删除硬盘文件)的角度来说,最强的保护,是把D盘、E盘、F盘、桌面、我的文档,我的音乐,我的图片,收藏夹,列入受保护的文件名单,HIPS开疯狂模式,无论有无规则禁止cmd等程序删除保护的文件,都有弹窗拦截.....这样的设置,影响系统更新与程序安装

在面对勒索病毒的今天,如果不用沙盘模式,专网HIPS,需要一大堆东东,才能搞定的,否则可能就会漏
huanwoheshan
发表于 2021-2-14 17:08:13 | 显示全部楼层
柯林 发表于 2021-2-13 19:50
直接在explorer的规则里打开,执行程序默认是询问,有个例外阻止,在里面填*\cmd.exe即可
或者,在全局 ...

谢谢指导!
ikochina
头像被屏蔽
发表于 2021-4-10 20:36:05 | 显示全部楼层
柯林 发表于 2021-1-26 19:51
不联网的机子(局域网内部,或者断网单机)

安装一个comodo firewall就够了,用自动沙盘防毒:

所有应用程序入沙我添加不上,引用的所有应用程序分组,另外百度网盘等部分应用程序的安装目录是个人用户文件夹
@~@
发表于 2021-4-13 11:48:26 | 显示全部楼层
我电脑不再安装软件   禁止了CMD powershell  指定运行软件

沙盒这样设置   万无一失了吧

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 推荐降权....系统内很多运用到CMD,修复等.

查看全部评分

柯林
 楼主| 发表于 2021-4-14 14:42:57 | 显示全部楼层
@~@ 发表于 2021-4-13 11:48
我电脑不再安装软件   禁止了CMD powershell  指定运行软件

沙盒这样设置   万无一失了吧

安全是相对的,一般只能立足于大众级的防御,能做到此种防御的“最高防护”就不错了
满眼筛子的windows,牙膏厂经常挤爆牙膏,大海里的破船,看运气吧
@~@
发表于 2021-4-15 10:42:36 | 显示全部楼层
柯林 发表于 2021-4-14 14:42
安全是相对的,一般只能立足于大众级的防御,能做到此种防御的“最高防护”就不错了
满眼筛子的windows ...

谢谢
等等更开心
发表于 2021-4-18 17:57:52 | 显示全部楼层
柯大师,这个迷魂阵,您也整个规则包出来好不好,小白直接导入测试和学习。
h122300
发表于 2021-4-23 16:22:18 | 显示全部楼层
柯大,第三招第4条添加不了,提示“此规则不能被添加因为它会影响系统的稳定性”。
柯林
 楼主| 发表于 2021-4-25 10:11:47 | 显示全部楼层
h122300 发表于 2021-4-23 16:22
柯大,第三招第4条添加不了,提示“此规则不能被添加因为它会影响系统的稳定性”。

那就不要加了
默认已经够了
这些只是一种尝试性地建议,以稳定、好用为主

评分

参与人数 1人气 +2 收起 理由
h122300 + 2 感谢解答: )

查看全部评分

柯林
 楼主| 发表于 2021-4-25 10:16:40 | 显示全部楼层
等等更开心 发表于 2021-4-18 17:57
柯大师,这个迷魂阵,您也整个规则包出来好不好,小白直接导入测试和学习。

没时间频繁换软件
这些只是一种设想性的建议,并无多大真正的用处
默认设置对一般人已经够了,官方做过测试和优化,相信官方吧

个人强化,一般可以考虑:不用远程桌面,就封掉3389端口;不用局域网共享的,把135、137、139、445、593、1433端口封掉;网络传毒,主要管好网上传来的附件就可以了(可以用沙盘规则管制)
其他的,没必要弄太严(往往不方便的是自己)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 20:48 , Processed in 0.100073 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表