查看: 8515|回复: 43
收起左侧

[讨论] ····很多字

[复制链接]
抓抓
发表于 2009-1-27 23:06:15 | 显示全部楼层 |阅读模式
都是字,而且字很多,
有两个选择:

1:没事就慢慢看
2:直接飘过
-------------------------

看了一些朋友的规则,,
这里说一下个人浅见。。
首先声明,这里主要是希望给一些新朋友们一点建议,,这里牵涉到的任何言论都没有指责或赞扬的那层意思,只是平静地表述一下自己的看法,,,仅仅是自己个人的看法,不代表其他任何人,,而且我下面表述得可能有点直率,只是希望我们的规则更加完善,希望在读的朋友不要多心。。错误的地方希望各位老大及时指正。。


在制定规则时,有的朋友见到一个程序就盲目疯狂地对欲对它进行严严格格地限制起来(当然自己也失去了自由)、然后再罗列一个庞大的“黑名单”等,差不多也就这些了,,
规则有点乱,没有一个清晰的防御思路(规则再简单都应该具有自己的逻辑),缺乏对可能的恶意程序的行为分析。。


简单地来说,
一个规则应该有一套环环相扣多重阻止的防御上的主题思路,并且不影响正常应用,
就拿comodo的D+来说,
一个未知程序开始运行时,要经过AD全部规则由上至下的过滤,,
这时候,规则中各程序组的位置摆放就不能忽略,关系到执行时的优先级,,
若是一个病毒,它就需要一个切入点,而这个切入点有可能是你必须要开放的弱点,,
这时候我们自己必须要知道自已的规则里的弱点,
然后想像一下,假如这个弱点被注入利用,,你该怎样防止它扩散传播下去,,
它将利什么途径扩散下去,我们怎样规范这些途径,当然不是一个一个去规范,能统一的就统一,
就像系统程序规则就是需要统一的,你不可能一个一个地去设置它们,
将它们统一规范并将它们自身置于这个统一的规则之下,也就不必担心它们本身的行为了,。。
对于一般应用程序规则,我们应该坚守一个原则,就是不要让他们写入系统重要目录,当然那些特殊的可以宽松或例外(比如cpu-Z、冰刃等)。。

说到comodo,个人认为这里有个别地方需要注意一下:
比如这里有一个我们必须要盯住的重点,就是系统目录部分,,
对于系统目录,个人理解,只要让它可读就行(这个说法与安装程序无关)(需要放行的并不多,也就temp这些),一定要防止更多可执行文件对关键部分的写入、修改、删除等行为(否则你的保护基本上就失去了一大部分意义)。。

对于放行的部分,我们也必须要去规范它们,最基本的如,允许运行,但不允许它们向指定目录或文件写入、删除等等。。。

另外,对于其它逻辑分区里重要文件的保护,也不能忽略,当然这也看你自己需不需要。。。
这个是我早前在以身试毒时汲取的一个教训,,当时损失了将近2000个文件,,那个病毒是从最后一个分区开始感染的,而我当时的规则只是保护了系统所在分区。。
还有一个细节,,是关于资源管理器的,,有些朋友仅仅对资源管理器作了一些限制后,发现自己无法删除那些指定的重要文件时,就认为保护成功了,,,其实在大多数情况下,这是自欺欺人的一个作法,,除非病毒利用资源管理器来操作你的文件可能会被阻止,,但是如果病毒本身直接删除你的文件呢?你还能保证不被删除么?(我说的是放行,,说阻止没意思)


最后,对黑名单的一个看法。
黑名单最早是由局长起的名字,也就是隔离区,,黑名单为规则增加了一道必要的防线,有时候是必须的,,但是发现很多朋友直接套用,也不管自己在用的正常程序有没有被列入黑名单。。
作为对隔离功能(黑名单)的个人的一个用途,我主要是利用它对当前磁盘里存在的一些可疑的或肯定不用的程序进行隔离,,很少对已知的病毒进行隔离,,因为我并不知道哪些文件一定是病毒,就算你告诉我,我可能也不会把它添加进隔离区,,因为我觉得这样做太过机械,,你可能知道这些文件是病毒,那么那些更多的未知病毒该怎么办???况且你所知道的病毒(一般都是些过时的病毒),可能杀软的监控早就知道了,,还有必要将它们罗列进黑名单么??

黑名单说到底就是靠文件名阻止,,是最机械最不智能的一种阻止方式。。当然各人有各人想法,这里也就不想跑题了。。在HIPS防御中,对于这一点,我个人觉得一种稍微好一点代替方式是阻止往重要目录生成一些敏感类型的文件,如.exe、.com、.cmd等等,并且就算生成了这些文件,还可以阻止它们向外写入、删除等动作,,这样就算它们生成并运行了,也无所作为。。。


在制定规则时有没有说清思路并不重要,重要的是你的规则本身是否存在有用的逻辑。。
一套混乱不堪,没有思想有没逻辑的规则,是片面的,暂时的,甚至漏洞多多的。。

规则就是管理,,怎样制定规则,这是一种管理理念的问题 (管理牵涉到素质问题,素质牵涉到RP问题,,不能再说下去了 ),,你必须在制定规则前有一个尽可能清晰的防御思路,如果作的是整体规则,那就要考虑到方方面面的一些重点,,但是无论怎样,一个核心的原则就是明确并把握一个大的方向,知道重点在哪里,并时刻优先为它着想,,然后注意几个必要的细节,,其它方面可以自由些,宽松些,尽量不要为了可能的病毒而死死地限制了自己的自由,不要自找麻烦跟自己过不去。。。

一点浅见,,只为新人。。。
大鸟们就权当娱乐吧。。。。

字虽多,但不是灌水贴,,楼下自重

评分

参与人数 1经验 +15 收起 理由
秘书 + 15 版区有你更精彩: )

查看全部评分

cgzn
发表于 2009-1-27 23:26:14 | 显示全部楼层
沙发
就我个人来说,更愿意把所有程序设为全问,这样安装模式才起作用!在我安装软件的时候就可以把安装程序临时设为安装的模式。如果对所有程序限制严格了,安装模式就不起作用了!
Mr.Z
发表于 2009-1-27 23:26:53 | 显示全部楼层
先自重一下,往後再說[:26:]
抓抓
 楼主| 发表于 2009-1-27 23:32:36 | 显示全部楼层
原帖由 Mr.Z 于 2009-1-27 23:26 发表
先自重一下,往後再說[:26:]


看看不,,我就知道有人灌水  ,,

M兄要得检讨
秘书
发表于 2009-1-27 23:39:38 | 显示全部楼层
很好的帖子
希望大家踊跃讨论

好的意见还会加分哦

其实规则怎么都是套不来的

所以 我再也没有出规则

磨好的规则是让你更快的学习和掌握

自定义规则最重要的是有一个具体思路

可松 可紧
可收 可放


记得最早的时候 我问局长他是怎样的规则

他回答我的事 见招拆招

评分

参与人数 1人气 +1 收起 理由
抓抓 + 1 是的,,还是这个头像帅些^^^^^

查看全部评分

su-tt
发表于 2009-1-27 23:48:57 | 显示全部楼层
先收藏,等用comodo的时候慢慢研究
Mr.Z
发表于 2009-1-27 23:53:44 | 显示全部楼层
說說黑名單吧
以名稱來判斷是否惡意程式一定不夠準確
這並非不可行,而且軟件也是這樣做的
但如建立黑名單,則不建議這樣做
很多人說黑名單很麻煩,會阻礙正常使用
部份檔案如avp.exe就是最好例子

首先大家要明白一點,就是局長列入avp.exe是絕對正常
因為稍有研究的人會知道很多木馬的名稱是用avp.exe的
正如svchost.exe一樣
然而,差別就在於路徑

svchost.exe在可見的將來都應該會在?:\Windows\System32\底下
那麼除了?:\Windows\System32\以外的都必然有問題
如此,我們的黑名單可以如此寫

?:\Windows\svchost.exe
?:\svchost.exe
?:\Program files\svchost.exe

等等

avp.exe也一樣,除非kaspersky聲明,否則

?:\Windows\System32\avp.exe
?:\Windows\avp.exe
?:\avp.exe
?:\Program files\avp.exe

都不是kaspersky的官方程式

我們只集中在這些敏感而常被利用的區域
局長是用

*\avp.exe

這種方法就會令comodo將在所有目錄下的avp.exe都block了
完完全全是純以名字識別
但我們應該是以路徑+名字來寫黑名單,這樣用起黑名單上來就會更得心應手了

评分

参与人数 1经验 +5 收起 理由
秘书 + 5 版区有你更精彩: )

查看全部评分

秘书
发表于 2009-1-27 23:58:15 | 显示全部楼层

回复 7楼 Mr.Z 的帖子

绝对路径
抓抓
 楼主| 发表于 2009-1-28 00:05:08 | 显示全部楼层
原帖由 Mr.Z 于 2009-1-27 23:53 发表
說說黑名單吧
以名稱來判斷是否惡意程式一定不夠準確
這並非不可行,而且軟件也是這樣做的
但如建立黑名單,則不建議這樣做
很多人說黑名單很麻煩,會阻礙正常使用
部份檔案如avp.exe就是最好例子

首先大家要明 ...


这样可以把黑名单发展到无穷大,,

当接近无限大的时候,,你会发现,其实它是个白名单。。。
akwak
发表于 2009-1-28 00:31:49 | 显示全部楼层
我通常不套用现成的规则,
安装时选择最严格的

然后在使用中自己生成自己的规则,

而且对系统、程序能够控制,知道哪个程序要干什么,
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-14 14:12 , Processed in 0.143676 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表