查看: 8993|回复: 53
收起左侧

[砖头] 脑门夹扁奇想--一招制敌术!

[复制链接]
柯林
发表于 2022-2-24 13:06:30 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2022-2-24 13:46 编辑

最简单的防毒规则是怎样的?
假设系统没有中毒,不存在木马联网下载病毒来执行,那么病毒的来源,只有压缩包,这个就比较简单了——禁止压缩包解压出病毒文件,就ok了
具体就是:禁止你用的压缩软件创建exe,scr,bat,vbs,js,ps1,lnk文件就ok了,是不是很简单?只要你的杀软支持规则制定,这么一条,就能灭掉九成以上的外来病毒了。当然,要想安装压缩包里的程序,也嗝屁了,需要安装软件时,需要临时禁用(系统更新有无影响,未知,按理应该不影响)
还有一个U盘,那就补一条,禁止U盘上的任何程序创建、写入、删除任何文件

有兴趣的可以参考下
ps:可能发错区了,请斑竹移动

评分

参与人数 1人气 +1 收起 理由
HEMM + 1 压缩包里可有游戏安装包.exe的

查看全部评分

generalbasic008
发表于 2022-2-24 13:14:46 | 显示全部楼层
禁止在系统文件夹生成各种exe就行了,禁止临时文件夹执行EXE,但是ESET的hips没法定位程序类型,不然ESET真的是神器,就这通配符缺陷。
fscs520
头像被屏蔽
发表于 2022-2-24 13:19:57 | 显示全部楼层
先配置好自己安装的各软件,然后禁止其它软件向各分区写入及读取
柯林
 楼主| 发表于 2022-2-24 13:42:53 | 显示全部楼层
fscs520 发表于 2022-2-24 13:19
先配置好自己安装的各软件,然后禁止其它软件向各分区写入及读取

系统更新跪了
柯林
 楼主| 发表于 2022-2-24 13:46:27 | 显示全部楼层
generalbasic008 发表于 2022-2-24 13:14
禁止在系统文件夹生成各种exe就行了,禁止临时文件夹执行EXE,但是ESET的hips没法定位程序类型,不然ESET真 ...

你去样本区下一个来双击看看

针对压缩软件设置规则,目的在于——对于一般用户及办公用户而言,相互传输及接收文件,正常文件都是些文档、图片、报表之类,不会包含可执行程序,除非有人投毒,才会塞进病毒程序。所以这一条,既可以把投来的毒给灭了,而不影响正常应用。
generalbasic008
发表于 2022-2-24 14:19:57 | 显示全部楼层
柯林 发表于 2022-2-24 13:46
你去样本区下一个来双击看看

针对压缩软件设置规则,目的在于——对于一般用户及办公用户而言, ...

我个人觉的主要就是防御几点:1系统和系统备份篡改和破坏;2键盘记录摄像头等设备隐私和密码隐私窃取;3数据窃取和勒索破坏;4控制主机干坏事。
第2点和第3点相对好防御,第1和第四点涉及对系统程序行为的控制比较麻烦。
柯林
 楼主| 发表于 2022-2-24 14:47:58 | 显示全部楼层
generalbasic008 发表于 2022-2-24 14:19
我个人觉的主要就是防御几点:1系统和系统备份篡改和破坏;2键盘记录摄像头等设备隐私和密码隐私窃取;3 ...

要把系统围起来,包个严严实实,这个相当麻烦,一旦锁死,系统更新废了,安装某些软件也废了,但若为后者开绿灯,就有许多例外,要弥补这些例外形成的”漏洞“,需要新的规则来弥补……折腾下来,能累个半死

第4点行为防御,涉及的东西也相当多,最关键的一点,驱动加载防御就是个问题,防死,带来不便,不防死,一进ring0全废了(参看样本区的新毒)

事情绕一圈,有时候就回到玄学问题——中不中毒,运气问题,人品问题——有人啥也不弄,就简单装个杀软,或者系统自带,用几十年也不见中毒,有人折腾半天,还是跪了
generalbasic008
发表于 2022-2-24 15:10:26 | 显示全部楼层
柯林 发表于 2022-2-24 14:47
要把系统围起来,包个严严实实,这个相当麻烦,一旦锁死,系统更新废了,安装某些软件也废了,但若为后者 ...

我主要是也不是为了不中毒,这算是一种乐趣,坚持用好HIPS走遍天下都不怕。至于多步主防其实和高启发差不多的。还是用自己的HIPS好。
generalbasic008
发表于 2022-2-24 15:11:37 | 显示全部楼层
柯林 发表于 2022-2-24 14:47
要把系统围起来,包个严严实实,这个相当麻烦,一旦锁死,系统更新废了,安装某些软件也废了,但若为后者 ...

驱动加载是不是光监控个drivers文件夹还是说释放到system其他文件的sys也算加载驱动,或者说是注册表写入才行?
swizzer
发表于 2022-2-24 15:27:14 | 显示全部楼层
generalbasic008 发表于 2022-2-24 15:11
驱动加载是不是光监控个drivers文件夹还是说释放到system其他文件的sys也算加载驱动,或者说是注册表写入 ...

NtLoadDriver啊加载驱动并不是文件/注册表操作

不过,监控Services注册表倒确实可以一定程度上防止加驱

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 18:35 , Processed in 0.118505 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表