喜欢瞎折腾的上

柯林

前提：常用软件已经安装到位，系统使用了一段时间，哪些可用，那些不可用，已经“心中有数”
so，无聊就乱啃一气，自己给自己找点事做——目的“尽可能提高心理安慰”
1、禁止无聊的东东联网，建个分组 【按：这一条，建议加上】
禁止联网黑名单：
*\bitsadmin.exe
*\certutil.exe
*\cmd.exe
*\conhost.exe
*\cscript.exe
*\dllhost.exe
*\mshta.exe
*\msiexec.exe
*\powershell.exe
*\regsvr32.exe
*\rundll32.exe
*\spoolsv.exe
*\Taskmgr.exe
*\winlogon.exe
*\WMIC.exe
*\WmiPrvSE.exe
*\wscript.exe
防火墙程序规则引用该分组，禁止联网

2、用户路径入沙  【按：这一条，可有可无】
路径?:\Users\*  来源于网络，不管信誉如何，一律入沙【自己需要实机安装可靠程序时，临时禁用该条】

3、危险东东入沙，新建文件分组  【按，这一条，建议不搞入沙，而是加入“受保护的文件”，再加一个*\svchost.exe】-入沙的程序，无法读取、调用这些程序，效果就太好玩了
高风险程序：
*\cmd.exe
*\conhost.exe
*\cscript.exe
*\mshta.exe
*\powershell.exe
*\rundll32.exe
*\WMIC.exe
*\WmiPrvSE.exe
*\wscript.exe
*\scrcons.exe
沙盘规则，引用该分组，强制入沙【把这些玩意入沙了，看搞事的“毒毒们”还怎么搞事？有兴趣的自己实验】
【按：该组程序强制入沙，可能影响个别程序安装，临时调整；自己要实机执行批处理等玩意，临时禁用】
【按：入沙rundll32.exe，WMIC.exe，WmiPrvSE.exe，是否影响系统功能，未验证过，有兴趣的自己测试】

Yukari190

这些程序其实改个名就能运行,只靠文件名还是不够啊

柯林

Yukari190 发表于 2021-8-8 10:25
这些程序其实改个名就能运行,只靠文件名还是不够啊

防御当然是要靠一整套，不是单方面能完成的，这个是默认设置上的增强
理论上当然是改个名就过了，但是，谁来复制，谁来改，源程序在哪里，这是关键的一步——按默认设置，进来就不信任，就被隔离了，做什么都等于零（都是在沙盘内运行的）；要实现突破，第一步，必须蒙混过关，以“合法程序的身份”，可以复制这些程序，去改名，再运行；其次，放到那里改名运行，也是关键

黑翼天使

小白，学习机还要用来学习，先收藏

rex_bbs

rundll32.exe 是很多系统组件的启动进程，这个直接入沙感觉会大崩溃。
powershell、cmd这两个是不少驱动或程序安装部署常会调用的。

柯林

rex_bbs 发表于 2021-8-9 17:20
rundll32.exe 是很多系统组件的启动进程，这个直接入沙感觉会大崩溃。
powershell、cmd这两个是不少驱动或 ...

你要安装软件或驱动的时候，再临时禁用，让cmd之类实机运行，这个是完全没有影响的

至于rundll32.exe，需要实际验证---假设系统开机，核心调用已经在运行了，那入沙也只是入后来调用的，应该没事；如果不是这样，直接开机就入了沙，可能会有问题，这个有心人自己试验下了
看了下，登陆时确实有rundll32.exe及cmd.exe,不管三七二十一就入沙，可能确实有问题：

Cel3mt

太折腾了，现在玩不动这些了，安安静静的最好

柯林

Cel3mt 发表于 2021-8-10 12:34
太折腾了，现在玩不动这些了，安安静静的最好

2、3可以不用
第1条加上，是绝对有好处的：木马、病毒、挖矿，全都联不通网，半路熄火了

sun_443

学习完毕。受教了。

Yukari190

柯林 发表于 2021-8-9 17:33
你要安装软件或驱动的时候，再临时禁用，让cmd之类实机运行，这个是完全没有影响的

至于rundll32.exe ...

cmd可以用注册表完全禁用,所以开机入沙应该也没问题

rundll32系统的话一般也只有控制面板会用到,win10可以用设置取代控制面板,禁用也没问题