终于告别杀软综合症啦 开贴庆祝 ---- 最终懒人安全策略发上 彻底不用防火墙和HIPS

MondeLord

来卡饭有些时日了 今日总算结束了强迫症似的杀软综合症

想通了 计算机买来还是用来玩的 不是用来玩自己的

最初接触卡饭 要从一个月前金山误报了一个注册码生成器说起

虽然在杀软里设置了排除 但闲来无事就想用PE头移位和定位特征码来做免杀处理

结果只对PE头做了位移 金山就过了 郁闷 我信赖多年的金山竟然这样好过 于是乎就换口碑不错的卡巴

找卡巴序列号时接触到了卡饭 后来的一周一直泡在论坛里看帖子  接下来又花钱买的NIS2009 可是一直都不是很满意

之后又瞄上了麦咖啡 有几个朋友是做杀软免杀测试的 麦咖啡全开后都说挺难过 可接下来还是不尽人意 最终我决定从做免杀处理的难度进行逆向思维 换了特征码最难定位 查杀率高的小红伞

接下来又要给小红伞配HIPS 防火墙 于是接触到了comodo 花了一夜时间看完了电子杂志和置顶的帖子 总算初窥门径 又用了一天时间来上手 终于三天内能相对满足我的习惯了

但又有人说PCT的防火墙比comodo的强 于是又是犯了强迫症 周而复始 一个月下来 今天终于想清楚了最后决定适合自己的才是最好的

病毒如同洪水 堵不如疏 养成良好的习惯才是最关键的

最终决定 小红伞C版+金山网盾  辅助用SD影子+onekey的一键Ghost+MacOSX系统的winClone+U盘量产三系统(winPE+DOS+Linux)

至于HIPS和防火墙都没有用 不是机器不行（双核2.5 4G的苹果本本） 而是自身多年上网养成的习惯还算好 难以判断的就用Ollydbg看看 实在有毒而又无法脱壳的程序在VMware中运行

平时有SD影子开机还原 设置了ALL USER下的排除并将管理员文件夹移动到了D盘方便办公和软件习惯的记录 小红伞和其他一些程序不会开机就被还原回去

用Ramdisk虚拟出了1G的高速内存当缓存和winRAR、IE的缓存以及文件下载用

影子要是被攻破了就用Onekey Ghost还原 Onekey出问题就用U盘上的三个系统进入 要是分区表都坏了 直接用自带的苹果MacOSX系统还原系统并恢复分区表

至于一些软件的偷偷上传啊 小后门广告啊 诸如此类 直接用组策略来屏蔽掉 以前都用HIPS滴

这样不用防火墙和HIPS的组合 也许有人会觉得隐私文件和资料会丢失并被窃取 我的方法是在D盘建立畸形目录 隐私文件保留到里面（类似Onekey的 "Ghost...“文件夹 ）

我是小区内网 ARP暂不考虑 大不了找网管 楼里都是上班族 没几个人没事闲的玩ARP

以上就是本人敝帚自珍的整套懒人方案 疲于终日调试软件又要担惊受怕 自己吓唬自己玩 嘿嘿

纯属个人观点 仅供参考

[ 本帖最后由 MondeLord 于 2009-9-16 01:10 编辑 ]

hitmanzmj

我觉得LZ的杀软综合症是渐入佳境了...

remielsum

speak to this dudde :http://bbs.kafan.cn/thread-551894-1-1.html: see if you can change his mind.....or he changes yours?

MondeLord

原帖由 remielsum 于 2009-9-16 01:26 发表
speak to this dudde :http://bbs.kafan.cn/thread-551894-1-1.html: see if you can change his mind.....or he changes yours?

看过了 这dude挺能整的 还不如装个免杀测试用的GHOST系统 我记得里面有30多款杀软 更省事儿

我就是懒 装comodo虽然自己全手动配置好了基本没什么太大漏洞了 但有时候还要再进行微调 不知道是不是要改注册表 要是改的话每次都要还原系统都要重来一遍 麻烦 干脆就不用了

remielsum

装个免杀测试用的GHOST系统  <==   might be you should get him a copy

每次都要还原系统都要重来一遍 麻烦 干脆就不用了<= thats one of the reason to why i have given up on comodo too..... it gets even more annoying from time to time of tunning&refining

+............  let me know how you manage to convince that dude.....since hes getting abit ill.....with these softwares.....

MondeLord

原帖由 remielsum 于 2009-9-16 01:38 发表
装个免杀测试用的GHOST系统   

My God 佛祖 还好我四级考试抄过了 不然我还真看不懂你说啥

我把软件的常用配置文件夹在CMD下用SET和其他方法映射OR改到了非主引导区 重要文件我放在HFS格式的MacOSX分区和畸形文件夹里 要是还能被调用我就服了

自己手动用策略组保护了SAM中的账户 拿到SHELL也没办法克隆我的管理员账号 何况还能开机瞬间还原系统 爱咋攻击咋攻击 反正我是内网 该关闭的端口手动都关了 upnp的windows组件和两个服务进程我也关了 再说 只是普通系统 不是服务器SQL没开而且我连多个存储过程都改了位置或删除了 想建立账号或提权都是不可能滴 而且我不是空密码 注册表里也看不到自动登录的明文密码 嘿嘿

那种N多杀软的GHOST网上挺多的 百度一下就有 要是内存大 那位DUDE指不定玩玩无盘站内存系统都是有可能的

不扯了 睡觉去

[ 本帖最后由 MondeLord 于 2009-9-16 04:41 编辑 ]

caozexin

哈哈 哈  好强

人民

说实话，我从第四行开始就看不懂了

耍花剑的猫

双核2.5 4G的苹果本本

看了这几个字，其他百把个字应该没有意义了

吃石头

不知道说咋。。