关于规则我想说两句。

txl_2

在SSM中,文件被修改了就算路径正确也是不能运行的,它能进行文件效验,但COMODO却没有这个功能,如果一个程序被感染,而这个文件在正常时给的权限又比较高,那不是很危险吗?SSM却能效验文件是否被修改过,被修改的文件没有经过重新效验是不能运行的.

chtyfox

楼主还不明白什么叫规则，什么是通配符？
没有做不到  只是你想不到

柯林

回复 37# 83890311
不扯其它了，回归正题。
目前的HIPS防护能力还没有强悍到可以无视一切、任由对方运行加驱搞破坏都归然不动的地步，这样的情形下还是先把安全性做好吧。安全性不能保证，再华丽的效果都是没用的。如果仅仅作为杀软的辅助补漏剂，那就不必考虑什么易用与安全的平衡，也不必弄很麻烦的规则，简单处理一下全局规则足矣：
FD——全局监控*.exe、*.dll、*.sys、*.bat、*.pif并只读%windir%\*.com文件和开机必须的?:\ntldr等文件+禁止创建?:\autorun.inf文件
RD——全局监控自启动、IE首页等重要键值、文件关联、驱动服务项
AD——全局监控高危操作+程序运行+禁运*.COM、*\cscript.exe、*\wscript.exe
防火墙——禁止hh.exe、winhelp*.exe、mshta.exe上网
这是最简单有效的方法，不会影响你的速度，AD上的一些例外，根据弹窗选择性的添加即可。
简单一句话，要命的东东全局监控就行了。”良民“很少闹事，来警报就是有问题了，小心处理。

83890311

回复  83890311
不扯其它了，回归正题。
目前的HIPS防护能力还没有强悍到可以无视一切、任由对方运行加驱 ...
柯林 发表于 2010-4-26 22:15

嗯，兄弟这个这个说的中肯。就目前的HIPS我还是不能放心他在这单练。我觉得目前和杀软配合是比较好的选择。我这两天在细化我的规则，主要体现在FD和RD上AD作为保护另外两项的漏洞。当然了危险的触及底线的操作一定要人工判断了。这个全写完的话应该可以在不停止规则的时候安装软件（不过提示可能多了一些，还准备分信任程序安装文件夹和非信任程序安装文件夹来处理）
重点就是配合杀软保护好系统核心部分（我说的核心部分包括操作系统核心进程、安软和浏览器）并尽可能保护好文件不被破坏。不过对于只运行于内存的盗号程序可能会防护的不到位。

83890311

楼主还不明白什么叫规则，什么是通配符？
没有做不到  只是你想不到
chtyfox 发表于 2010-4-26 20:01

    呵呵，怎么扯到我懂不懂通配符上面来了？
我倒是很想听听兄弟的高见。