【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

change_018

回复 19# jefffire

不是不够强，这完全是针对KIS的体系而制作的，如果是EQ，轻而易举地可以做到，但对于一个智能型很高的KIS来讲，要禁就直接禁止，单纯的禁运，方便用户。

或者从帖子里的思路来看，你试试这样能不能做到：
1.添加类别 路径指定IE
2.在QQ的规则里禁止读取

不知可行与否。

DoctorL

1.防网马问题上：可运行程序与后缀名无必然关系！当然这样设置也没有错！有一定效果！
2.AUTORUN.INF能运行？是inf中隐藏的可运行文件吧（一般隐藏在移动介质根目录，由EXP直接运行的）。另外EXP禁读AUTORUN.INF是可行的，禁读可移动介质你认为可行么？可移动介质可以打开？禁止运行移动介质中的任何可运行程序才是王道！
3.卡巴如果有“禁止一切已知文件列表中的可运行程序运行”的功能！什么都解决了！（相当于HIPS中锁定模式）

PS：居然被baerzake抢了风头！

change_018

回复 20# baerzake


昨晚脑袋发昏，太困了，就临时想到这，今天一看，确实这个方法欠妥。
气流的那个帖子我看了，禁读就是稍微借鉴了他的方法。
1方法可行，禁svchost和explorer读autorun.inf都能防，不过卡巴进程规则里有继承，我在想禁svchost读autorun.inf会不会对其他程序造成影响，explorer禁读相对来讲误伤就少多了；
2里面的HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2这个注册表键值存在于在卡巴的默认保护项里，想来想去我就没加...
3不但卡巴对?的支持不太好，而且一提到*我就头疼，在KIS里，*包括“\”，比如C:\*.*相当于整个C盘的所有文件，汗死..那么，C:\更不行了，所以对根目录禁运我还没想好如何能做到。

局长怎么有空来这逛逛了

change_018

回复 23# DoctorL

嗯，可运行程序确实与后缀名没太大联系，只要是调用的，txt都能运行= =、也就是说有效的PE文件都能运行。

抱歉抱歉，这么多人指出了禁读U盘的错误，这确实不太妥当，我改，改成禁读autorun.inf...

今天是怎么了，这么多HIPS常客到这...

potkeys2

终于有人研究卡巴HIPS的规则了
PS：卡巴的FD似乎有点问题，记得以前编规则，搞了半天还是能删掉
jefffire 发表于 2010-5-21 23:06

是啊是啊，卡巴HIPS确实没人研究，为什么呢？为什么毛豆又那么多人研究呢

DoctorL

另外还有“安全免疫区”的功能可以利用起来，对付网马是足够了，如果可以添加目录就好了，移动介质的问题也解决了！

potkeys2

支持各位HIPS达人研究卡巴HIPS，毛豆HIPS研究腻了，来研究卡巴的吧，让我们这些HIPS菜鸟受惠下吧

change_018

安全免疫区可添加任意目录，哈哈，sandboxie是也..

DoctorL

安全免疫区可添加任意目录，哈哈，sandboxie是也..
change_018 发表于 2010-5-21 23:54

    9.0.0.736没有看见添加目录！另外安全免疫区到底限制了什么？

baerzake

安全免疫区可添加任意目录，哈哈，sandboxie是也..
change_018 发表于 2010-5-21 23:54

    哈哈，有HIPS的地方就会有俺的身影