【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

显示全部楼层 · 发表于 2010-5-21 17:42:32

回复 10# change_018

谢谢了学习了！

显示全部楼层 · 发表于 2010-5-21 18:33:27

谢谢分享！难得得技术贴哈~~

显示全部楼层 · 发表于 2010-5-21 21:05:47

偶看是换汤不换药，并不见得有什么好。

显示全部楼层 · 发表于 2010-5-21 22:47:55

技术文，参考中，防入口很重要的。

显示全部楼层 · 发表于 2010-5-21 23:00:51

回复 10# change_018

呵呵，卡巴的*通配符的确很强大

显示全部楼层 · 发表于 2010-5-21 23:04:33

学习一下啊！谢谢了

显示全部楼层 · 发表于 2010-5-21 23:06:01

终于有人研究卡巴HIPS的规则了

PS：卡巴的FD似乎有点问题，记得以前编规则，搞了半天还是能删掉

显示全部楼层 · 发表于 2010-5-21 23:11:01

回复 1# change_018

还有卡巴的AD制定性还是不够强，比如要阻止QQ调用IE，要么就QQ完全不能调用任何程序，要么就是全可以，没有黑白名单。。

显示全部楼层 · 发表于 2010-5-21 23:13:50

本帖最后由 baerzake 于 2010-5-21 23:20 编辑

关于U盘防御，我认为不需要禁止explorer读U，这样会不会造成U盘打不开？
比较好的U盘防御策略我认为可以看看气流以前的一个贴中的方法：

实际可行的方法：
1. 禁止explorer.exe读取autorun.inf （HIPS之FD）

2. 禁止explorer.exe写入MountPoints2的shell下面的open、explorer、autorun、command等项
，即：
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\open
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\autorun
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\explorer
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\*\shell\*\Command
或者将整个MountPoints2项封住，禁止写入
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
（注册表权限、HIPS之RD）

3. 禁止U盘的程序启动（软件限制策略、HIPS之AD）

4. 用沙盘限制（DW的非信任、SBie的强制运行等等）

5. 自定义有害文件：autorun.inf （一些杀软可以做到，例如咖啡8.5i）

6. 修改shell32.dll，更改autorun.inf的打开方式

7. 关闭Shell Hardware Detection服务

原帖：http://bbs.kafan.cn/viewthread.php?tid=206247

联系到卡巴，我认为可以1.禁止任何程序读取autorun.inf
2.同引用中2
3.禁止U盘根目录程序运行，因为病毒一般都是在U盘根目录。即禁止?:\*.*运行【这里?:\*.*指的是任意盘符的根目录，可以将?改为你的U盘盘符。这个是组策略的写法，卡巴是否一样我不知道，有待卡巴达人验证】

显示全部楼层 · 发表于 2010-5-21 23:18:41

回复 16# junplus

同时误伤更大。
我写规则的时候本想禁系统盘根目录创建文件 C:\*.*
结果写完发现桌面都无法创建文件了= =、后来发现这规则相当于在整个C盘禁止创建任何文件...