脑门夹扁奇想--一招制敌术！

柯林

最简单的防毒规则是怎样的？
假设系统没有中毒，不存在木马联网下载病毒来执行，那么病毒的来源，只有压缩包，这个就比较简单了——禁止压缩包解压出病毒文件，就ok了
具体就是：禁止你用的压缩软件创建exe,scr,bat,vbs,js,ps1,lnk文件就ok了，是不是很简单？只要你的杀软支持规则制定，这么一条，就能灭掉九成以上的外来病毒了。当然，要想安装压缩包里的程序，也嗝屁了，需要安装软件时，需要临时禁用（系统更新有无影响，未知，按理应该不影响）
还有一个U盘，那就补一条，禁止U盘上的任何程序创建、写入、删除任何文件

有兴趣的可以参考下
ps：可能发错区了，请斑竹移动

generalbasic008

禁止在系统文件夹生成各种exe就行了，禁止临时文件夹执行EXE,但是ESET的hips没法定位程序类型，不然ESET真的是神器，就这通配符缺陷。

fscs520

先配置好自己安装的各软件，然后禁止其它软件向各分区写入及读取

柯林

fscs520 发表于 2022-2-24 13:19
先配置好自己安装的各软件，然后禁止其它软件向各分区写入及读取

系统更新跪了

柯林

generalbasic008 发表于 2022-2-24 13:14
禁止在系统文件夹生成各种exe就行了，禁止临时文件夹执行EXE,但是ESET的hips没法定位程序类型，不然ESET真 ...

你去样本区下一个来双击看看

针对压缩软件设置规则，目的在于——对于一般用户及办公用户而言，相互传输及接收文件，正常文件都是些文档、图片、报表之类，不会包含可执行程序，除非有人投毒，才会塞进病毒程序。所以这一条，既可以把投来的毒给灭了，而不影响正常应用。

generalbasic008

柯林 发表于 2022-2-24 13:46
你去样本区下一个来双击看看

针对压缩软件设置规则，目的在于——对于一般用户及办公用户而言， ...

我个人觉的主要就是防御几点：1系统和系统备份篡改和破坏；2键盘记录摄像头等设备隐私和密码隐私窃取；3数据窃取和勒索破坏；4控制主机干坏事。
第2点和第3点相对好防御，第1和第四点涉及对系统程序行为的控制比较麻烦。

柯林

generalbasic008 发表于 2022-2-24 14:19
我个人觉的主要就是防御几点：1系统和系统备份篡改和破坏；2键盘记录摄像头等设备隐私和密码隐私窃取；3 ...

要把系统围起来，包个严严实实，这个相当麻烦，一旦锁死，系统更新废了，安装某些软件也废了，但若为后者开绿灯，就有许多例外，要弥补这些例外形成的”漏洞“，需要新的规则来弥补……折腾下来，能累个半死

第4点行为防御，涉及的东西也相当多，最关键的一点，驱动加载防御就是个问题，防死，带来不便，不防死，一进ring0全废了（参看样本区的新毒）

事情绕一圈，有时候就回到玄学问题——中不中毒，运气问题，人品问题——有人啥也不弄，就简单装个杀软，或者系统自带，用几十年也不见中毒，有人折腾半天，还是跪了

generalbasic008

柯林 发表于 2022-2-24 14:47
要把系统围起来，包个严严实实，这个相当麻烦，一旦锁死，系统更新废了，安装某些软件也废了，但若为后者 ...

我主要是也不是为了不中毒，这算是一种乐趣，坚持用好HIPS走遍天下都不怕。至于多步主防其实和高启发差不多的。还是用自己的HIPS好。

generalbasic008

柯林 发表于 2022-2-24 14:47
要把系统围起来，包个严严实实，这个相当麻烦，一旦锁死，系统更新废了，安装某些软件也废了，但若为后者 ...

驱动加载是不是光监控个drivers文件夹还是说释放到system其他文件的sys也算加载驱动，或者说是注册表写入才行？

swizzer

generalbasic008 发表于 2022-2-24 15:11
驱动加载是不是光监控个drivers文件夹还是说释放到system其他文件的sys也算加载驱动，或者说是注册表写入 ...

NtLoadDriver啊加载驱动并不是文件/注册表操作

不过，监控Services注册表倒确实可以一定程度上防止加驱