楼主: change_018
收起左侧

【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

  [复制链接]
小v可
发表于 2010-5-21 17:42:32 | 显示全部楼层
回复 10# change_018


    谢谢了 学习了!
Max2010
发表于 2010-5-21 18:33:27 | 显示全部楼层
谢谢分享! 难得得技术贴哈~~
流星雨
发表于 2010-5-21 21:05:47 | 显示全部楼层
偶看是换汤不换药,并不见得有什么好。
Johnkay.Young
发表于 2010-5-21 22:47:55 | 显示全部楼层
技术文,参考中,防入口很重要的。
junplus
发表于 2010-5-21 23:00:51 | 显示全部楼层
回复 10# change_018


    呵呵,卡巴的*通配符的确很强大
zhxf4675
发表于 2010-5-21 23:04:33 | 显示全部楼层
学习一下啊!谢谢了
jefffire
头像被屏蔽
发表于 2010-5-21 23:06:01 | 显示全部楼层
终于有人研究卡巴HIPS的规则了
PS:卡巴的FD似乎有点问题,记得以前编规则,搞了半天还是能删掉
jefffire
头像被屏蔽
发表于 2010-5-21 23:11:01 | 显示全部楼层
回复 1# change_018


    还有卡巴的AD制定性还是不够强,比如要阻止QQ调用IE,要么就QQ完全不能调用任何程序,要么就是全可以,没有黑白名单。。
baerzake
发表于 2010-5-21 23:13:50 | 显示全部楼层
本帖最后由 baerzake 于 2010-5-21 23:20 编辑

关于U盘防御,我认为不需要禁止explorer读U,这样会不会造成U盘打不开?
比较好的U盘防御策略我认为可以看看气流以前的一个贴中的方法:
实际可行的方法:
1. 禁止explorer.exe读取autorun.inf (HIPS之FD)

2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项
,即:
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者将整个MountPoints2项封住,禁止写入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
(注册表权限、HIPS之RD)

3. 禁止U盘的程序启动 (软件限制策略、HIPS之AD)

4. 用沙盘限制   (DW的非信任、SBie的强制运行等等)

5. 自定义有害文件:autorun.inf (一些杀软可以做到,例如咖啡8.5i)

6. 修改shell32.dll,更改autorun.inf的打开方式

7. 关闭Shell Hardware Detection服务


原帖:http://bbs.kafan.cn/viewthread.php?tid=206247

联系到卡巴,我认为可以1.禁止任何程序读取autorun.inf
                               2.同引用中2
                               3.禁止U盘根目录程序运行,因为病毒一般都是在U盘根目录。即禁止?:\*.*运行【这里?:\*.*指的是任意盘符的根目录,可以将?改为你的U盘盘符。这个是组策略的写法,卡巴是否一样我不知道,有待卡巴达人验证】
change_018
 楼主| 发表于 2010-5-21 23:18:41 | 显示全部楼层
回复 16# junplus


    同时误伤更大。
我写规则的时候本想禁系统盘根目录创建文件 C:\*.*
结果写完发现桌面都无法创建文件了= =、后来发现这规则相当于在整个C盘禁止创建任何文件...
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 05:46 , Processed in 0.085216 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表