毛豆如何第一步拦截badusb？

显示全部楼层 · 发表于 2021-1-28 11:45:21

本帖最后由柯林于 2021-1-28 11:47 编辑

毛豆有沙盘、HIPS、脚本分析，常规的入侵手段都无须害怕，一般默认就可以。

作为好奇，想知道——对于badusb，毛豆是怎么第一时间“从拦截设备”上进行截断的？
没有badusb的u盘，就用一个闲置的键盘试了试，貌似不起作用啊，难道是因为我用的防火墙模式，这功能不给开启？
请使用CIS的朋友试一试：
打开高级控制，设备管理，首先添加排除（把你安装使用的排除掉）：

然后添加阻止的设备类型：

请插上usb接口的其他键盘试试，看是否拦截？有badusb的就更好了，实际试一下看看，看它这功能是否有作用？

ps：用键盘试验没拦截，可能的原因有，1是我用的防火墙模式，不支持这功能；2是毛豆内部集成或云端智能判定，能够放行真正的键盘；3是这东西压根屁用没有，可能要用他们家的移动设备管理工具

显示全部楼层 · 发表于 2021-1-29 17:06:56

最关心还是它的自动沙盒啥时候能智能化一点

显示全部楼层 · 发表于 2021-1-29 17:10:43

Kinhold 发表于 2021-1-29 17:06
最关心还是它的自动沙盒啥时候能智能化一点

现在不是已经很“智能”了——官方默认调教好的：安全可信的程序忽略，有问题的入沙并启动跟踪检测，那些脚本什么的都有命令行启发分析……现在做得还不够的是信誉库，比如黑dll，如果文件验证再牛叉一些，直接阻止黑dll，那什么白+黑不也就干瞪眼

显示全部楼层 · 发表于 2021-1-29 17:23:21

本帖最后由 con16 于 2021-1-29 17:27 编辑

毛豆目前白+黑還是得靠防毒或是Virus Scope部分
不然就是你要裝別家防毒，但又怕有什麼隱性衝突

防火牆那邊就白名單機制，防毒是黑名單機制
Virus Scope有分析功能，不過預設模式只分析沙盒內東西
目前還多外掛一個對勒索分析，另外這個應該也會調取白名單，因為怕誤殺

毛豆要說智能化，目前算很智能，白名單優化比前幾年好多，前幾年你安裝軟件有通過認證的還是狂跳警告
目前有些人怕的白+黑
為了易用性，你白的執行程序過，跟這白的連動的不認識dll也跟著過
這也就是大家講的可能會因為白+黑出問題

显示全部楼层 · 发表于 2021-1-29 17:35:08

柯林发表于 2021-1-29 17:10
现在不是已经很“智能”了——官方默认调教好的：安全可信的程序忽略，有问题的入沙并启动跟踪检测，那些 ...

信誉库那些不太靠谱，反倒是自动沙盒能否引入类机器学习的机制

显示全部楼层 · 发表于 2021-1-29 17:42:04

本帖最后由 con16 于 2021-1-29 17:45 编辑

自动沙盒其實要從嚴
不然放太寬過了就完，因為是最後一道防線

一些高手可以透過自己搞HIPS加強防護

但是大部分人來說為了易用性方便，自動沙盒大概是比較好選擇
要是在嫌麻煩，真的建議換別套

显示全部楼层 · 发表于 2021-1-29 18:48:08

本帖最后由柯林于 2021-1-29 18:49 编辑

Kinhold 发表于 2021-1-29 17:35
信誉库那些不太靠谱，反倒是自动沙盒能否引入类机器学习的机制

信誉库应该是靠谱的，每家杀软都搞这个，按毛豆的宣传，现在它库里面搜集了两百多万个程序，能够直接判黑白，其他的是未知

我也很赞同它搞个人工智能进行分析，看样子一时半会没戏。目前只能靠自己手调（不放心默认的自己捣鼓一些）。其实像数字那样，直接连云，靠云端判断，未见得有用——这网速……

其实一般人用，真的够了——自动沙盘+Windows Defender绰绰有余，平常哪来那么多毒？不放心再加个智量。

对于白+黑，正常使用电脑下，几乎十年都遇不到一个。如果在乎，手动调教，加一条沙盘规则:
文件属于：?:\Users\*
来源：互联网
操作：完全虚拟化
凡是网上下载的东西，按正常习惯，保存在“下载”目录，或者“桌面”，不管可靠不可靠，你一点它，首先就是自动入沙，如果是白+黑，看看入沙后的表现就知道了。当然这样设置，影响正常软件的安装，真要安装软件，需要临时关闭这这一条（点下鼠标的事）

如果不放心，再加一条：
文件属于：所有应用程序*
来源：移动磁盘
操作：完全虚拟化
即使U盘带白+黑，一样的入沙拦截

显示全部楼层 · 发表于 2021-2-8 19:11:57

本帖最后由 PanzerVIIIMaus 于 2021-2-8 19:19 编辑

柯林发表于 2021-1-29 18:48
信誉库应该是靠谱的，每家杀软都搞这个，按毛豆的宣传，现在它库里面搜集了两百多万个程序，能够直接判黑 ...

以前CCAV还活着的时候，我装个系统，好家伙，还没装软件，上报列表就有货了，只是装几个常见的软件，那个上报列表就蹭蹭一长串
响应起码要几天
只能理解成用户群体或区域问题，信誉库水土不服，你不专门留一周的时间磨合，还真不靠谱

卡巴斯基的“受信任应用程序模式”看起来因为本土化更好一点而靠谱，但实际上也不是，
一些软件是知名的、加白了，但是一些插件或者功能，他不是时刻加白的啊，这个时候反而又变成了“这个软件能跑起来，但一些功能没了”的鸡肋情况，相比COMODO，卡巴这个情况是真的无解
卡巴斯基砍掉了这个模式，是一个好事，反正这个模式也能够手动“变相启用”

显示全部楼层 · 发表于 2021-2-8 23:01:07

PanzerVIIIMaus 发表于 2021-2-8 19:11
以前CCAV还活着的时候，我装个系统，好家伙，还没装软件，上报列表就有货了，只是装几个常见的软件，那个 ...

没看懂，你这是黑云，还是夸云
想起上个月 incaseformat刷屏，有些报告说“用户手动”添加病毒到信任区，算是“花样作死”的实际注脚？
忽而在某处，看到一篇必胜客家的分析，说是“有牛批客”在某些地方，实施中间人物理攻击，投放“很厉害的木马”，直接打开很多安软添加信任，不知道那些中招者有没有此类“窦娥冤”的
所以这个“信任问题”，是个大问题，并不是可有可无，或用家“自以为是”的

显示全部楼层 · 发表于 2021-2-8 23:04:57

本帖最后由 PanzerVIIIMaus 于 2021-2-8 23:06 编辑

柯林发表于 2021-2-8 23:01
没看懂，你这是黑云，还是夸云
想起上个月 incaseformat刷屏，有些报告说“用户手动”添加病毒到信任区 ...

不夸不黑，云数据库不是万能的，有些东西是既不是黑，又不算灰色软件，又不可以拉白，对于沙盒以及其他信誉准入机制，这个时候是无解的

[讨论] 毛豆如何第一步拦截badusb？

本帖子中包含更多资源