查看: 2669|回复: 15
收起左侧

[讨论] (折腾党参考)简单严厉型规则

[复制链接]
柯林
发表于 2021-7-8 09:06:23 | 显示全部楼层 |阅读模式
麦咖啡企业版,最大的好处,就是可以自由定制玩规则,最强的地方在于完善的FD功能与入口控制,可以通过简单设置进行入口强化而“拒毒于国门之外”。玩法实在太多,可以根据自己的理解与需求,自由定制一套防御措施。以下为一种简单严厉型的构思,有兴趣的可以自己尝试。

【规则立足点:对于不经常安装软件的,锁定程序安装与要点防御,可以卡住大多数病毒;对于系统补丁放行,可以不影响系统更新。这样一套需求,可以通过简单的、极少的规则设置就可以完成——如下所示,假设系统安装在C盘,以VSE为例】

1、禁止非法程序的修改与执行(禁止*修改删除执行**,放行C:\**,\??\C:\**,D:\Program Files\**,?:\????????????*\**)仅此一条,即可废掉U盘病毒,光盘上的程序也被零封。如果实验结果在最新的系统与最新版本的vse上没有问题(不引起死机、蓝屏、系统崩溃),可以用用看。?:\????????????*\**指的是系统补丁释放到非系统盘上的随机十二字符以上的目录里的补丁安装程序。【这一条可能影响安装】

2、exe管制(全局禁止创建修改exe文件,极少数必须的合法程序除外(名单参见“26条精简规则”)【这一条影响安装,安装时须放行】

3、dll控制(禁止浏览器、压缩软件、cmd.exe、?script.exe等创建dll文件)【这一条影响安装,安装时须放行】


3、全局封锁SCR文件(禁止*.SCR读取、创建、修改、执行**,放行windows自带的几个(你需要用到的喜欢用的屏保程序)

4、锁定windows目录(通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件,启用)【这一条影响某些安装,安装时须放行】


5、锁定programfies目录(通用最大保护-禁止在 Program Files 文件夹中创建新的可执行文件,启用)【这一条影响安装,安装时须放行】


5、锁定服务(通用最大保护-禁止将程序注册为服务,启用)(这一条可能影响极个别的服务,可以自行打磨)

6、锁定启动(通用最大保护-禁止将程序注册为自动运行)(需要允许自启动的程序,自己加例外)

7、远程防护强化(防病毒标准保护-禁止远程创建/修改可执行文件和配置文件,启用)

8、锁定临时目录的执行(防间谍程序最大保护-禁止所有程序从 Temp 文件夹运行文件,启用)【这一条影响安装,安装时须放行】(勾选这一条,windows的计划任务之类也基本废了,要想使用其计划任务,可以根据日志加例外,或者将windows路径下的temp目录与用户路径下的temp目录区分开来)


8、全局禁止创建ps1文件

9、禁止explorer等执行cmd.exe及?script.exe

10、禁止格式化命令

11、卷影保护命令(4条)

12、禁止添加新的计划任务

13、保护hosts

13、禁止映像劫持

13、文件保护规则三条(保护重要资料,保护私人文件,保护桌面文件,以绝对路径的方式放行必要程序)

14、最后,端口控制(将cmd.exe等没必要联网的程序禁止上网;如果不用远程桌面,封掉3389端口(如果使用最好改为别的端口)。最后的最后,给计算机设置足够强的登陆密码。

这么简单弄一弄,足够提供强大有力的保护了。有兴趣的可以自行折腾一下。

评分

参与人数 1经验 +40 分享 +3 收起 理由
屁颠屁颠 + 40 + 3 版区有你更精彩: )

查看全部评分

一朵花开的时间
发表于 2021-7-9 18:45:54 | 显示全部楼层
感觉咖啡区人气掉了好多啊,支持一下,认可防大于杀
ees_ly
发表于 2021-7-10 09:18:33 | 显示全部楼层
看样子要出新规则了,期待。
柯林
 楼主| 发表于 2021-7-11 09:23:49 | 显示全部楼层
ees_ly 发表于 2021-7-10 09:18
看样子要出新规则了,期待。

没有,只是提个思路,没时间弄,一个是重复了,一个暂无实用意义。

只是总结些防御要点——比如,防御勒索,FD锁定重要目录是最有效的办法;防御厉害病毒,不让加驱(服务)和自启动,是很强悍的;防止病毒断网劫持,保护好hosts及映像劫持是重点;防止病毒安装运行,禁运Temp目录及锁住Windows及Program Files目录已经很强了,如果再加个exe全局管制,基本上封堵了百分之九十;至于U盘病毒及邮件传毒,其实能够利用的已经不多了,再过滤封堵下即可。最后,遗漏的补充一点,一套高效、简明、严厉的防御体系也就完成。

总结的角度看,一套有效防御,其实真正的要点,比较关键的地方,其实并没多少。
sounydqb
发表于 2021-7-11 11:54:52 | 显示全部楼层
曾经被规则搞得头大,现象用默认的规则就很好了
柯林
 楼主| 发表于 2021-7-11 12:58:47 | 显示全部楼层
sounydqb 发表于 2021-7-11 11:54
曾经被规则搞得头大,现象用默认的规则就很好了

https://bbs.kafan.cn/thread-2199069-1-1.html导入就用,无须折腾,比默认强出太多。
wfl5201314
发表于 2021-7-11 19:25:38 | 显示全部楼层
围观围观学习
ees_ly
发表于 2021-7-13 09:39:56 | 显示全部楼层
柯林 发表于 2021-7-11 09:23
没有,只是提个思路,没时间弄,一个是重复了,一个暂无实用意义。

只是总结些防御要点——比如,防御 ...

感谢柯大侠,好多年了,我一直用你的规则。
柯林
 楼主| 发表于 2021-7-13 14:02:21 | 显示全部楼层
ees_ly 发表于 2021-7-13 09:39
感谢柯大侠,好多年了,我一直用你的规则。

互相交流学习吧,俺也是菜鸟,只会一些基础点的而已
vse有不错的杀毒能力,规则只是杀毒的补充,立足于“vse暂时认不出的毒”的防御,无须太多太全,一些要点的拦截就可以了

目前形势,勒索病毒是最大威胁,文件备份是首选,重要目录文件的锁定保护是有力措施,不让勒索病毒进入、发作是额外的补充
勒索病毒主要入侵途径是远程和邮件(邮件带毒两大方式:一是直接包含病毒,二是利用脚本或病毒链接指使浏览器或powershell之类去下载病毒来执行)
U盘病毒其实没多少内容(禁止U盘上的程序运行加上脚本、批处理的防御,一般也就基本搞定了)

麻烦的是无文件落地的病毒及注入类的攻击
剩下的大多是一般的(宏病毒、cad病毒之类)

归纳一下看,总的内容其实没多少
沙丁鱼VX
发表于 2021-7-13 21:26:09 | 显示全部楼层
多少年了,秘书、qqq、sanhu倒下了,您还在折腾呢
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 17:33 , Processed in 0.118420 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表