楼主: change_018
收起左侧

【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

  [复制链接]
change_018
 楼主| 发表于 2010-5-22 00:25:39 | 显示全部楼层
回复 48# DoctorL


说白了就是禁止加驱?原来如此..
DoctorL
头像被屏蔽
发表于 2010-5-22 00:26:17 | 显示全部楼层
回复  DoctorL


说白了就是禁止加驱?原来如此..
change_018 发表于 2010-5-22 00:25



    未必!这你得问官方技术人员!帮助文档没写这些!
change_018
 楼主| 发表于 2010-5-22 00:40:23 | 显示全部楼层
回复 49# potkeys2

5年盗版?
呃...盗版帝...
change_018
 楼主| 发表于 2010-5-22 00:43:36 | 显示全部楼层
回复 53# DoctorL

既然是免疫 无非是加驱 安服务 操作内核 底层磁盘这些危险动作了
牧羊老汉
发表于 2010-5-22 02:20:00 | 显示全部楼层
是啊是啊,卡巴HIPS确实没人研究,为什么呢?为什么毛豆又那么多人研究呢
potkeys2 发表于 2010-5-21 23:45



你怎么知道没人研究?
牧羊老汉
发表于 2010-5-22 02:27:00 | 显示全部楼层
本帖最后由 牧羊老汉 于 2010-5-22 12:41 编辑

第一张图的“新建类别1”那些,如果不是用IE来创建的呢?恶意程序中通过运行IE直接来创建那些的,恐怕不到1/10。
去样本区拿几十个样本试试,看有几成在卡巴弹窗的程序运行序列中,那些文件是直接由IE去创建的?
你见过多少网页挂马、从浏览器直接下来的恶意文件是.bat、.reg这些?是先通过IE下来.exe然后再释放运行那些的多,还是直接下来那些的多?直接从网页下来恶意.bat、.reg等的,万年遇到一回吧,呵呵。

如果说,你的思路是通过运行序列继承,比如:运行IE-->IE下载*.exe-->*.exe创建*.bat,通过这样的运行序列来限制*.bat的创建的话,但你全部选择禁止,如果继承序列生效的话,岂不是连正常的从网上下载的程序(只要其中需要创建*.bat的)也无法运行了?



“新建类别1”限制的那些类型文件的写、改,非常有必要;但通过AD策略来完全、直接禁止IE创建那些,意义基本等于零,只有一个*.hta有意义;如果上述的运行序列继承有效的话,则这规则完全行不通。
牧羊老汉
发表于 2010-5-22 03:17:19 | 显示全部楼层
回复  junplus


    同时误伤更大。
我写规则的时候本想禁系统盘根目录创建文件 C:\*.*
结果写完发现 ...
change_018 发表于 2010-5-21 23:18



无语...
jefffire
头像被屏蔽
发表于 2010-5-22 09:27:28 | 显示全部楼层
回复  jefffire

1.添加类别 路径指定IE
2.在QQ的规则里禁止读取
change_018 发表于 2010-5-21 23:24



    以前就试过完全不可行
jefffire
头像被屏蔽
发表于 2010-5-22 09:30:50 | 显示全部楼层
你怎么知道没人研究?
牧羊老汉 发表于 2010-5-22 02:20



    除了你还好像没看见还有谁研究过了。。
杨宥嘉 该用户已被删除
发表于 2010-5-22 10:05:04 | 显示全部楼层
参考参考
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 05:33 , Processed in 0.096724 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表