查看: 2318|回复: 7
收起左侧

[讨论] (关于vse)一点简单的测试及粗浅的认识

[复制链接]
柯林
发表于 2021-2-12 16:02:52 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2021-2-12 16:05 编辑

1、禁止powershell联网,能否阻止它下载文件?
【方法】用powershell常见的下载命令,把“我的图片里的一个html文件”,下载到D盘保存
(未加规则):执行成功
(加规则):执行失败   【证明】:powershell命令下载文件,确实是powershell执行的(并不是powershell调用浏览器下载(如果写powershell调动浏览器另当别论,但常规就是它执行,与浏览器无关)

2、禁运规则的有效性 对于设置禁运的规则,如果不加上“禁止读取”,只对当前用户(explorer)有效,提权“以管理员身份运行”(执行者svchost)就过了;如果加上“禁止读取”,则提权也没用)。一般的规则设置,启用“禁止执行”就可以了(对于脚本vbs、js,单是禁止wscript.exe去执行指定路径下的文件,没用的,因为wscript是系统组件,拥有系统权限,要彻底禁止,必须加上“禁止读取”)(powershell,cmd,wscript,script,mshta,基本上如此,要狠,就“读取”与“执行”一起勾)

读取,创建,写入,删除的关系,可以看作是“独立的功能”,禁止读取,一样可以删除;已经存在的文件,禁止读取可能就无法创建与写入;尚不存在的文件,禁止读取,一样可以创建与删除,只是写入会受影响。一般设置规则,如无特殊考虑,需要保护资料的完整性,应该全部勾选;仅仅是出于“防盗窃”,可以只勾选“禁读”;防止破坏(比如勒索病毒),写入、删除都不能少(单写禁止写入或禁止删除,都是漏洞)

简单的小测试说明,“系统正常”很重要,重大补丁还是要尽快打上,不能一味“指望规则”,遇上重大漏洞,获取system权限,可能就“干瞪眼”了——当然也不要走向反面极端,一般来说,vse还是很可靠的,并不会一下子就穿掉,然而漏洞确实是很有影响的,必须重视。

大年初一,祝大家新春快乐,万事如意!


qjoyous
头像被屏蔽
发表于 2021-2-16 23:08:46 | 显示全部楼层
提示: 该帖被管理员或版主屏蔽
qjoyous
头像被屏蔽
发表于 2021-2-20 10:28:40 | 显示全部楼层
请问大佬,那个规则怎么导出,好久忘记了,请教,谢谢
柯林
 楼主| 发表于 2021-2-20 11:31:36 | 显示全部楼层
qjoyous 发表于 2021-2-20 10:28
请问大佬,那个规则怎么导出,好久忘记了,请教,谢谢

64位在KEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking

32位可能是KEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking
xyzjzlf
发表于 2021-2-21 14:02:59 | 显示全部楼层
老大,求教一下,我安装在win7和win10上添加排除文件夹依然照样杀掉了,请问是方法不对吗?求指点!安装的是VSE。之前安装了MES,上次经您解惑后换成了VSE。谢谢!
qjoyous
头像被屏蔽
发表于 2021-2-21 14:39:04 | 显示全部楼层
柯林 发表于 2021-2-20 11:31
64位在KEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourB ...

感谢感谢
柯林
 楼主| 发表于 2021-2-21 16:58:22 | 显示全部楼层
xyzjzlf 发表于 2021-2-21 14:02
老大,求教一下,我安装在win7和win10上添加排除文件夹依然照样杀掉了,请问是方法不对吗?求指点!安装的 ...

不知道你说啥
如果是“恶意文件”,咖啡认定是“有害的”,怎么排除都无用
如果是规则,那就是没弄对呗
xyzjzlf
发表于 2021-2-21 17:19:23 | 显示全部楼层
柯林 发表于 2021-2-21 16:58
不知道你说啥
如果是“恶意文件”,咖啡认定是“有害的”,怎么排除都无用
如果是规则,那就是没弄对呗

多谢指点!我明天再试试!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 15:56 , Processed in 0.125216 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表