班门弄斧，show下自己的IE防马规则——已安全单奔半年

naterrykim

此ie规则是建立在u版、火鸟等高手的基础上的，只是本人做了一些相应的调整（主要在FD），使其在安全的前提下增加了一定的易用性。

本人使用的是ie7，平时就开着D+单奔，隔三差五就集中上下卡饭、精锐等提供的恶意、病毒网址，主要是为了验证下规则的安全性。当然，，对于H网也是不会放过滴。呵呵，就这么单奔了半年。前段时间，“极光”横行，为了测试毛豆的oday漏洞防御性，收集了相关利用极光漏洞挂马的网站，开着ie7直接就去了，有些提示ie内存出错，结束ie就ok了。电脑还是这么安安康康的运行着。

自己感觉，这套ie规则防马还可以，就拿出来分享下。该规则应该也适用ie6、ie8

使用前提：
请确认你的毛豆FD保护的是全分区，即 ?:\*  或 “打磨Comodo，做有意义的事儿”一文提及的FD保护内容。

注册表的保护内容是：“打磨Comodo，做有意义的事儿”http://bbs.kafan.cn/thread-174493-1-1.html 3楼提及的  My Protected Registry Keys(RD)

当然，如果你套用了月光、秘书、柯林等规则，那也已经符合了此使用前提。


正文：

1，全局概览


这个不多说了。


2.AD 允许设置。


自行添加你自己需要的程序即可。

3.获取内存



xmp.exe为迅雷看看，为了安全起见没有添加%windir%\exlplorer.exe。
不添加explorer的不足之处：使用ie“另存为”时，不能在目录里新建文件夹。其他基本无影响。

对于explorer，各位自行处理吧。建议是：不用添加。

4.全局挂钩




最后一个dll为输入相关。

5.com 接口



可以在添加里自己手动输入。

6.注册表 控制



全部阻止。考虑到自己经常变更主页，及使用彩影防火墙时要修改相关主页，所以预留了startpage这一项。

各位童鞋可自己取舍。

7.FD 设置——自己感觉是重点







说明：我的ie临时文件夹别我移到了E:\ie   大家的应该是C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files

所以对于我的 FD_ie调试 里的内容，如E:\ie\*\Content.IE5\*.rar，可自行改为C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files\*\Content.IE5\*.rar。

如上图红线所示，FD着重点在于：在桌面可新建一文件夹download，该文件夹主要用来存放通过ie “目标另存为”方式下载的组“ FD_ie调试 ” 里指定类型的文件，如压缩包、视频、歌曲、图片等文件，而其他的一切都是阻止的。借此，各位可以下载自己喜欢的图片、视频，在ie的使用上增加了易用性。

该指定类型的文件类型是我平时慢慢所积累的，其安全性应该可以得到保证。当然，这些文件类型需要各位手动输入，或者只输入自己需要的类型。

其中bmp*.tmp 是“右击--图片另存为”bmp图片文件用的，但因其使用了通配符有一定的不安全性，但通过后续的设置，应该能使其危险想降低到最低。

但对于可执行文件类型是不可下载的，可通过迅雷等下载程序来下载。对于迅雷等下载完的程序，建议先用杀软进行右击扫描。

8.扫尾工作。



在全局规则中，优先阻止里添加 ie临时文件夹目录+下载临时目录C:\Documents and Settings\Administrator\桌面\DownLoad*，

各位可以将E:\ie\*改为

C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files\*


9.只是增加心理安全度。


添加组 " FD_ie临时" 。 组里添加C:\Documents and Settings\Administrator\桌面\DownLoad*，E:\ie\*（各位请添加C:\Documents and Settings\你的用户名\Local Settings\Temporary Internet Files\* )


并对组"FD_ie临时"  设置预置规则  “隔离”。



ok，设置完毕，防御网马应该不成问题了。



得，更新后这些图片不会弄了，版主若看到，请帮我取消下面的图片吧


顺道感谢下u版的启蒙贴，，火鸟的实践贴，，当真不错。

版主的是个负责、直率的女孩，，多才多能，相当不错，，，个别人员就不要在背后说月光闲话了，over

题外话：最近hips区被搅的有点混，也不排除有浑水摸鱼的，呵呵，一句话，坚定的自己的立场，走自己的毛豆，让其他人说去吧


下面的图片重复

naterrykim

呵呵，自己琢磨下

naterrykim

洗洗，看电视去

byxiaochen

回复 3# naterrykim
不要重复插入

豫孤鸟

不知道这样有没有效果呢！

naterrykim

回复 5# 豫孤鸟

使用了此规则单奔了半年了，，几乎天天上毒网、H网测试，，你说呢？？呵呵

其实我还蛮希望有恶意网址能突破毛豆的，，这样又能折腾毛豆的规则了。

只是给新手个建议吧

lujunji1987

我感觉比较严，主要是FD，我喜欢保护关键文件的方法，怕排除不好影响浏览体验。说实话看网页本身中毒的概率就不大，如果是只去那些大网站的话。当然规则拿来玩的话另当别论了，呵呵。

momo0

这么麻烦……

我觉得firefox+noscript组合更加简单有效。

naterrykim

回复 7# lujunji1987

呵呵，，我自己比较喜欢上毒网之类的恶意网站的，为了测试毛豆也经常上一些莫名其妙的网址，主旨就是为了测验毛豆规则的安全性。借此，就是希望毛豆能抵御大部的网上攻击，，毕竟是在单奔，，安全性还是较为注重的。

还有一个原因就是想增加点隐私保护能力。

当然，在此规则下，网上视频、电影、blog等都可以正常使用

到目前为止，ie在此“束缚”下运行ok

naterrykim

回复 8# momo0

の，我爱荔枝，你爱蜜桃，各得其所吧，，，

只要能进行有效防御即可。

给女友装的就是sandboxie，做好相关恢复设置，自行倒沙，她也满意，我也放心。