终极虚拟—天罗地网“迷魂阵”

柯林

huanwoheshan 发表于 2021-2-13 16:24
请教：禁止explorer执行cmd的规则，怎么写?

直接在explorer的规则里打开，执行程序默认是询问，有个例外阻止，在里面填*\cmd.exe即可
或者，在全局程序规则（就是HIPS默认自带最后一条“所有程序*”的规则，）执行程序那一项，例外阻止里填*\cmd.exe即可
看下系统重要进程组套用的规则，执行项是不是例外允许*，如果不是，则系统（svchost）执行cmd也被阻止，意味着本机禁止cmd了，要让系统可以执行，则须对svchost.exe放行

其实这样做没有意义，因为毛豆自带很强的鉴别能力，未知的批处理，不管是bat还是cmd。都会被自动入沙，无须担心
如果你是关闭了沙盘，只开HIPS，倒可以试试，但意义，说实话，我也不大肯定

从防止网络攻击的角度来说，其实应该做的是禁止cmd联网
从防御恶意批处理的角度来说，可以禁止cmd执行危险命令
开沙盘，入沙就能解决很多问题；如果不开沙盘，单是HIPS，从防止恶意批处理（比如删除硬盘文件）的角度来说，最强的保护，是把D盘、E盘、F盘、桌面、我的文档，我的音乐，我的图片，收藏夹，列入受保护的文件名单，HIPS开疯狂模式，无论有无规则禁止cmd等程序删除保护的文件，都有弹窗拦截.....这样的设置，影响系统更新与程序安装

在面对勒索病毒的今天，如果不用沙盘模式，专网HIPS，需要一大堆东东，才能搞定的，否则可能就会漏

huanwoheshan

柯林 发表于 2021-2-13 19:50
直接在explorer的规则里打开，执行程序默认是询问，有个例外阻止，在里面填*\cmd.exe即可
或者，在全局 ...

谢谢指导！

ikochina

柯林 发表于 2021-1-26 19:51
不联网的机子（局域网内部，或者断网单机）

安装一个comodo firewall就够了，用自动沙盘防毒：

所有应用程序入沙我添加不上，引用的所有应用程序分组，另外百度网盘等部分应用程序的安装目录是个人用户文件夹

@～@

我电脑不再安装软件   禁止了CMD powershell  指定运行软件

沙盒这样设置   万无一失了吧

柯林

@～@ 发表于 2021-4-13 11:48
我电脑不再安装软件   禁止了CMD powershell  指定运行软件

沙盒这样设置   万无一失了吧

安全是相对的，一般只能立足于大众级的防御，能做到此种防御的“最高防护”就不错了
满眼筛子的windows，牙膏厂经常挤爆牙膏，大海里的破船，看运气吧

@～@

柯林 发表于 2021-4-14 14:42
安全是相对的，一般只能立足于大众级的防御，能做到此种防御的“最高防护”就不错了
满眼筛子的windows ...

谢谢

等等更开心

柯大师，这个迷魂阵，您也整个规则包出来好不好，小白直接导入测试和学习。

h122300

柯大，第三招第4条添加不了，提示“此规则不能被添加因为它会影响系统的稳定性”。

柯林

h122300 发表于 2021-4-23 16:22
柯大，第三招第4条添加不了，提示“此规则不能被添加因为它会影响系统的稳定性”。

那就不要加了
默认已经够了
这些只是一种尝试性地建议，以稳定、好用为主

柯林

等等更开心 发表于 2021-4-18 17:57
柯大师，这个迷魂阵，您也整个规则包出来好不好，小白直接导入测试和学习。

没时间频繁换软件
这些只是一种设想性的建议，并无多大真正的用处
默认设置对一般人已经够了，官方做过测试和优化，相信官方吧

个人强化，一般可以考虑：不用远程桌面，就封掉3389端口；不用局域网共享的，把135、137、139、445、593、1433端口封掉；网络传毒，主要管好网上传来的附件就可以了（可以用沙盘规则管制）
其他的，没必要弄太严（往往不方便的是自己）