求助毛豆对IE主页的防篡改.

秘书

那个35楼fd里阻止生成的压缩文件包含reg和bat2个文件 具体忘了。。。。嘻嘻
不放则没有下一步了

抓抓

原帖由 秘书 于 2009-1-30 23:58 发表
为了满足抓抓兄的要求进行测试


给此程序全部allow 包括受保护的的文件夹 再上些图 结果 防护成功(第二次索性给trust)

不知道抓抓兄能不能猜到我是哪里防住了?

所以说嘛 规则的思路不同而已 你通过别的渠道 ...

昨晚由于太晚，没再看下去，，

今天导入了秘书的规则看了一下，，发现确实能够防住那个更改，，这里给秘书正名一下。。

不过，从秘书的规则中再次证明了每个人的防御角度或者说防御思路都确实差别太大了，，
秘书这个规则里主张禁止运行一些系统程序的方式来禁止一些病毒生成或继续运行下去，，
从下图中可以看到：








这样的话，注册表也不能用了：






也不能简单地查看启动项了：






脚本也是直接禁用的：






再来看一个外部命令程序（cacls）：





但个人认为，HIPS不是一味地禁止程序运行来达到防御目的（当然禁止它运行肯定可以防御它的危害），，
因为无论怎么说，这些程序不光是为了病毒而准备的，它们还有更多的可利用的地方，

比如regedit起码可以用来查看一下注册表，你把它禁止了，不就是少了这个功能了么，
再比如msconfig可以查看启动了哪些东西、cacls可以用来禁用你不喜欢的程序、wscript平时可以用来制作一些脚本程序等等还有很多。。。这些程序的正面用途的意义更大。。

所以HIPS目的不是一味地禁止它们运行，而是在于规范它们正常运行时的行为（哪些行为可以利用，哪些
行为需要阻止）

当然每个人的防御观点不同，，但是既然都能完成相同的一个目的，那么在这一点上也许就可以说，没有对的，也没有错的，最多只是想法不同。。。

继续支持秘书。。加油！。。

Magis

也就是说秘书在36L放行生成物，允许了cmd运行后，是禁用regedit完成了拦截？

[ 本帖最后由 magiscoldeye 于 2009-1-31 14:56 编辑 ]

抓抓

原帖由 magiscoldeye 于 2009-1-31 14:55 发表
也就是说秘书在36L放行生成物，允许了cmd运行后，是禁用regedit完成了拦截？

也不是，，事实上，那个block组删掉也可以阻止，，
阻止的核心部分可能是整个system拒绝写入修改（包括整个config目录），，

Magis

原帖由 抓抓 于 2009-1-31 15:02 发表



也不是，，事实上，那个block组删掉也可以阻止，，
阻止的核心部分可能是整个system拒绝写入修改（包括整个config目录），，

真的很想一个纯表.....
疑问：
FD部分trust 了，为何拒绝修改？
config目录？具体路径是？

秘书

很不错的讨论贴

我就来总结一下

主要的事告诉大家 规则有不同的思路 只要能达到目的就是有用的规则

单就拿秘书规则来说吧

是以立体式防御为主

ad fd rd整合防御 环环相扣

然后拆散之后 ad fd rd依然能各自起到防御作用

35是fd 36是ad 39是rd 拆散都能独自解决样本

合起来则在第一步就能阻止样本


当然抓抓得思路也非常的好 只是大家的思路不同而已

希望新手们可以了解的是 设置规则之前可以有一个大致清晰的方向和思路

欢迎拍砖

秘书

还有回一下抓抓 禁止为的是做到3d的关联

单独的依然ok,我的帖子很明白了 呵呵

大家一起加油 分享自己心得

抓抓

原帖由 magiscoldeye 于 2009-1-31 15:09 发表

真的很想一个纯表.....
疑问：453594
FD部分trust 了，为何拒绝修改？
config目录？具体路径是？

注册表就存放在config目录里，在哪 。。

你那个图没看懂（看懂的请举手  ），，看不清是哪个程序的。。秘书的全局里没有，，下面是他全局的一部分：




这个很重要。。。

这个讨论差不多可以结束了 。。

.......全是为秘书盖楼^^^^^^^

周勃

仅为一个修改主页搞得这么复杂，感觉很没必要。得不偿失。
主页被修改就被修改吧，没什么大不了的，被改了再改回来就是。
纯讨论型就算了。