我的KV2008的监控设置和主防规则(很好,很强大)

yjwfn502

我的KV2008的监控设置和主防规则
来自江民社区
原文:http://forum.jiangmin.com/dispbbs.asp?boardID=10&;ID=519873&page=1

以前我只开文件监控，其他全部关闭。不过目前病毒有太多途径传播，你即使打全了系统补丁，可是现在病毒利用的漏洞已经不仅仅是系统本身的漏洞，迅雷、QQ、RealPlayer等等应用软件的漏洞到处都是……没办法，俺也要动用主防了，之前的的“KV2008主动防御规则2.0”仍然非常有效，但是我的目的是做到BT！！！我要的是超严厉规则，所以不走寻常路。

监控：仅开启文件监控和主动防御的系统监控，其它的全部关闭

主防的规则我只自己加了一条：试图生成文件！（所有试图生成任何格式文件的行为都会询问）

没有增加其它任何自定义规则，木马一扫光也没有自定义规则，我都没开启这个功能

这样做优点：以目前病毒的行为来看，这样可做到99.99%的拦截病毒，而且资源占用好小。有了那条自定义规则和默认的规则，其它规则全部多余。

我的软件环境稳定（不爱经常安装软件），加上KV2008默认白名单以及其自己有一套判断程序可靠性的分析方式，所以主防不会草木皆兵的什么程序都提示。

此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：


此主题相关图片如下：


如果是用户自己运行程序的话，必须是exe、com、bat、cmd、scr、pif这几个后缀中的任意一个才能执行，而病毒执行其他程序就不一样了，随便什么后缀，只要它是可执行程序，那么病毒就可以把它当成程序一样执行（比如：abc.exe我们把它改成abc.123，那么我们就不能执行它了，但病毒却可以照样执行它）。

所以现在很多病毒都生成一些乱七八糟的文件，比如123.abc什么的以逃避HIPS的文件防护的监控（HIPS是依靠规则保护的，一般规则就防护exe等文件的生成）


为什么不开网页防木马墙？
答：这个功能其实就是屏蔽典型的利用漏洞的网页，网页上的恶意代码的最终目的是下载并执行病毒，系统监控可以直接阻断这个行为，所以开不开都一样，况且这个功能来得不如系统监控有效。

为什么不开未知病毒监控？
答：这个功能其实是在病毒已经成功激活的情况下才有效。病毒都已经激活了，和我本来的目的不一样，我要的是事先拦截。

为什么不开木马一扫光？
答：木马一扫光是注册表监控，而病毒改动注册表的行为是后期，这时候病毒基本上已经完成它自己的行为，注册表拦截了又怎样，大部分破坏行为都完成了，让我很不爽。

为什不开隐私保护？
答：都开始盗取隐私了，说明病毒已经成功运行了。我的目的是事先拦截。
为什么不开漏洞检查？
答：微软补丁每个月固定那个时候发布，我也固定那个时候去安装，况且现在病毒利用的不仅仅是Windows和Office的漏洞，其他应用软件的漏洞比比皆是。KV又不去扫描应用软件的漏洞，应用软件太多，不可能增加这个功能。


************************************************************************************************************************************************
找了个社区里的木马测试一下,很不错.不管病毒在哪里生成文件都会提示!!正常程序只要加入白名单就不会提示了.



社区鸽子

[ 本帖最后由 yjwfn502 于 2008-4-13 16:33 编辑 ]

fantrasive

重复帖

88484532

学习一下.