····给病毒一次机会吧

抓抓

由于昨晚还有其它事情，也有点疲累，所以就草草地将这个帖子放上来了，有点乱。。

现在重新整理一下。。。（连标题名称都整了）

本来仅仅只是想表达一下，在某种简单规则保护下对一般病毒“一路放行”仍然有确保系统安全的可能。。
现在发现一些朋友想看看这个规则，，，

本来是想采用倒叙手法的 ，，，现在看来要直接把规则贴出来了，，，

其实规则简单，没什么技术含量。。
各位高手们其实可以直接飘过，，或在不足之处请多多指点，，。。。。


首先，新建几个组，并加入保护（具体项目看第二张图）：





Aplication name：
（注意位置顺序）




------------------------------

（杀软）Dr_web：





------------------------------


（杀软）Avira_p：





------------------------------


explorer.exe：
（权限够宽松了吧）



and




------------------------------

IE：
（其它项目里的设置没贴上）




------------------------------

Important_parts：
（Modify里面全部清空）








------------------------------


All Aplications（最底层）：
（全局规则中使用了局长的命名管道（感谢局长） 。。）



and




----------------------------------------------------------------------------------------------------------------------------------

对于其它应用程序，，要全部把它们移到“Important parts”的下面位置。。。。。
然后可以给这些应用程序一个宽松的权限，，
甚至直接给它们“Trusted”权限也无所谓。。。。
_________________________________________________________________________________




这个效果需要病毒的参预才能很好地体现出来，，我这里就拿蝗虫做实验，，

感谢youba提供样本:

样本地址：http://bbs.kafan.cn/viewthread.php?tid=405022&highlight=%BB%C8%B3%E6
样本下载：










-------------现在开始以身试毒-----------------

只上图，没有文字，应该能看懂：

运行样本：
   
选择allow，，OK........


   
出现在进程中。。。选择allow，，OK........



选择allow，，OK........



到这个地方就报错了(此时生成一个“       .exe.exe”的文件)。。。“确定”后出现下图：


保持出错。。。

“确定后”，，，此时“        .exe”自动退出进程：


此时，drivers目录下并没有找到TXPlatform.exe（当然找不到，根本就没报这个文件）。。。


（为什么没报TXPlatform.exe，，，等一下在2楼给它更大的权限，讲一下它更多的动作。。）

如果这样就结束了，那也太快了点吧，，，
现在，我们再返回第一次报错的那个时候，，
再次运行“       .exe”样本，这时候直接出错：


为了不想让它这么快结束，现在选择“取消”，确定。。

然后就出现下图：

选择allow，，OK。。

继续：

选择allow，，OK。。

继续：

选择allow，，OK。。

然后 ，，等了一会儿，发现没弹窗了，，，
打开进程管理器发现样本又自动退出了，默默地自动退出，仿佛无疾而终。。。
一切正常，，像什么事都没发生过一样。。。

[ 本帖最后由 抓抓 于 2009-1-23 02:45 编辑 ]

抓抓

由于前面的“一路放行”其实其中有很多动作都因为优先级的原因直接被block掉了（因为ask的优先级最低），
比如这个蝗虫想在\Local Settings\Temp下生成“11$$.bat”文件，，
事实上大多数人的规则中都是直接block掉了这类临时文件夹下的.exe、.com、.sys、.cmd、.bat、.dll、.vbs等类型的生成，
所以没等你看到更多的东西，病毒就已经无法继续运行下去了。。。。。


现在，，
我们想让病毒持续运行下去，，那就给它更大的权限：trusted



在这个权限下运行：

allow，，，OK。。


开始繁衍并运行：






由于蝗虫要运行它之前的批处理生成物，所以此时需要调用cmd.exe：
（由于不知道事先会运行什么程序，，所以在trusted权限下仍然需要手动交互允许(添加到Run an executable--allow)）


allow，，OK。。


cmd出现在进程中，，同时出现另外一个生成物：


此时生成物TXPlatform.exe已经写进drivers目录，，
也就是说，规则对drivers目录的保护失效，，为什么，
因为优先级的原因，，被赋予Trusted权限的优先级突破了位于它下方的所有规则的限制。。
可能有人要说了，现在危险不是出现了吗？？，，那是当然，这里先不说，

allow，，OK。。继续往下：
当然，生成物TXPlatform.exe也成功运行了，并开始服务相关交互：


allow，，OK。。

继续一路allow(图可能乱了)：



这时候，蝗虫的那个原始程序应该是任务完成主动退出了，
可能是该使用它的生成物“      exe.exe”了（将“      exe.exe”重命名为“      exe”并试图运行（后话））。。



此时进程中出现了一个IEXEPLORE.EXE，，一直没有这个弹窗。。







估计图乱了：
























这时候进程中剩下cmd.exe和Txplatform.exe仍在继续运行，，，
我想，至所以cmd.exe仍在运行，是因为蝗虫要执行它的批处理生成物“11$$.bat”，，
我们来看看这个批处理的内容：




可能蝗虫有一部分是调用cmd.exe来企图运行它的新病毒，
但是cmd.exe位于我们设定的规则之下，，
所以它要想用cmd来实现什么，那它就什么也实现不了（就算给cmd最大的权限也白搭）。。

为了看得清楚一点，我把这个批处理尾加一个暂停，再次运行一下它批处理，，

（事实上我都没有直接保护D区任何目录）
由于第一条命令没完成实际任务，被第二条命令踢回，陷入死循环，，.
然后就不停地打印到屏幕，，必须键盘pause。。。。现在看清楚了。。。
也就是说这个新生的病毒根本没机会运行。。。

由于那个批处理被迫陷入死循环，，因此一直停留于进程中。。
只是不知道那个Txplatform在搞什么，因为Trusted权限原因，所以也就没有弹窗，。。
最后手动结束这两个进程。。

从这点也可以看出，这个病毒其实还是挺普通的，，
对于这类普通的病毒，保护住系统重要文件的规则其实还是挺有用处的。。


_____________________________________________________________


新规则链接：
http://bbs.kafan.cn/thread-411585-1-1.html

[ 本帖最后由 抓抓 于 2009-1-23 02:46 编辑 ]

抓抓

原帖由 cai1231 于 2009-1-16 20:45 发表
D+ 中一部分使用了通配符，，
但单个应用程序不能使用通配符（除非给每个应用程序都分别建立一个组，但那太麻烦，你以后使用也不大可能会这样做）。。

那抓兄上面你说的这部份我还用做什么吗？这样能否起到保护和限制某些应用程序的作用？

一个很好有提议！！
但工作量过大，，想想我们平时会用到多少程序，，都要一个一个地给它们建立独立的组？？

当然，如果必须的话，，
那我就抽一段充足的时间来搜集重设，实现全部通配符，，扩大兼容。。。






----------------  对2楼所放出的规则的补充说明：-------------------



为了一些新朋友，我简单整理了一下全部规则，删除了FD里一些不常用的应用程序，，FW部分也剪修了一部分。。

附件中一部分使用了通配符（与前面的图片看上去稍有差异）。。



另外，新手导入规则后要安照下图提示自行修改一下FW部分（否则有可能无法联网）：




（DHCP用户可能不太适合这个FW设置，，要另外再作些修改才行）



规则整体上简单易懂。。。
有些地方由于测试的时候可能设置重复了，不过都是一些无关紧要的地方。。。

特别是HIPS部分，，应用软件在被拉到下方之后，（对于新手）基本上甚至可以放心使用Trusted权限。。。



_________________________________________________________________
以下算是个补充说明：

原帖由 一下子丫 于 2009-1-15 12:34 发表
占个位先~~收藏先~

IMPORTANT PART
&
TMP

强烈支持收藏收藏~~~O(∩_∩)O哈哈~

谢谢指正。。上传完才发现这个低级错误。。。

不过那仅仅只是个名称，无所谓，没影响，就不改了。。

原帖由 cai1231 于 2009-1-16 18:22 发表
抓兄，我用的是cis3.5没有安装防毒模块！用这个没问题吧？里面D+和网络防火墙的规则都设置好的了吗？用这个规则需要把d+和FW的安全级别调到哪一级？全都安全模式吗？

你和我的一样，，我也是去除了AV模块、去除了safesurf toolbar。就像3.0版。。

规则都设置好的，导入后的安全级别全部变成最高级别，无需再调，，除非你要降级。（要在关闭D+的状态下导入 ，这个应该都知道）。

D+ 中一部分使用了通配符，，
但单个应用程序不能使用通配符（除非给每个应用程序都分别建立一个组，但那太麻烦，你以后使用也不大可能会这样做）。。

（可能会看到我的应用程序所在分区有点杂，C、D、E 都有）
我对应用软件存放位置的想法是这样的：

一般需要安装的软件就按照默认路径安装，这些软件一般都是在系统分区里（我的系统在C区），，
可以绿色使用的软件，我就把它们放在另外一个分区（我是把它们放在D区），这样就算以后重新安装系统，它们也不会消失，可以继续连接使用。。这里只有一个QQ软件是放在E区的（本来我的E区只放一些软件和其它资料的），但一直都没改，。

防火墙部分的说明较少，现在补上。。
导入后，防火墙部分需要根据自己的网卡MAC和IP作一下调整（上图有说明）。。
另外，从这个防火墙的设置中可以看到它是拒绝共享的（为了安全起见），，
需要共享的话，可以在全局的最上方和system中按以下方式方法添加共享规则（两个地方要相同设置）：

访问对方：
allow tcp/udp out from （any 或 自己的IP） to （对方的IP）；源端口：any（或135、137-139、445） ，目的端口：135、137-139、445（或any）。。


让对方访问自己：
allow tcp/udp in from （对方的IP） to （自己的IP）；源端口：any （或135、137-139、445），目的端口：135、137-139、445（或any）。。


--------------------------------------------------

另外，再次强调：

在运行一个新的应用程序时，最好把它们放在“Important_part ”的下方：



给新手的一个技巧：
运行一个新软件的时候，在弹窗中先选择“Isolated Application”模式，暂时终止它运行（如下图）：


然后进入Computer Security Policy中将这个位于最上方的软件（应用程序）拖到Important_part 的下方，，
然后把它设置为Custom policy模式，或Trusted模式。。

这里提供一个Custom policy模式下较为通用的设置（如下图）：




---------------------------------------------------

最后，建议试用一下我的QQ规则，呵呵（可能和你所在目录不同），以及QQ游戏设置方式（里面有个斗地主程序设置），基本上对它们有很大程度上的限制，又不影响正常使用，，
当然，此时它们位于Important_part下方，所以就算给它们Trusted权限也无所谓了。。

[ 本帖最后由 抓抓 于 2009-1-16 21:09 编辑 ]

小静电

呵呵，楼主的全局规则很厉害啊。

是不是在全局规则中阻止了system32下生成任何.exe文件的原因？

期待楼主的第二贴！

Mr.Z

出現antivir那步..如果換我就不會有這個提示了~~

Magis

规则啊~我要看规则看是all applications的设置还是别的
不过dr.waston可以禁用了....根本无用。

[ 本帖最后由 magiscoldeye 于 2009-1-15 09:23 编辑 ]

末日逐沙

很期待爪爪的规则哦

sawuyi

看下你的规则，我下样本被红伞给杀了~

destructorv2

楼主最后那段话很耐人寻味。。。。。谢谢分享。。。

厨房菜刀

观摩学习一下