【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

显示全部楼层 · 发表于 2010-5-22 00:25:39

回复 48# DoctorL

说白了就是禁止加驱？原来如此..

显示全部楼层 · 发表于 2010-5-22 00:26:17

回复 DoctorL

说白了就是禁止加驱？原来如此..
change_018 发表于 2010-5-22 00:25

未必！这你得问官方技术人员！帮助文档没写这些！

显示全部楼层 · 发表于 2010-5-22 00:40:23

回复 49# potkeys2

5年盗版？
呃...盗版帝...

显示全部楼层 · 发表于 2010-5-22 00:43:36

回复 53# DoctorL

既然是免疫无非是加驱安服务操作内核底层磁盘这些危险动作了

显示全部楼层 · 发表于 2010-5-22 02:20:00

是啊是啊，卡巴HIPS确实没人研究，为什么呢？为什么毛豆又那么多人研究呢
potkeys2 发表于 2010-5-21 23:45

你怎么知道没人研究？

显示全部楼层 · 发表于 2010-5-22 02:27:00

本帖最后由牧羊老汉于 2010-5-22 12:41 编辑

第一张图的“新建类别1”那些，如果不是用IE来创建的呢？恶意程序中通过运行IE直接来创建那些的，恐怕不到1/10。
去样本区拿几十个样本试试，看有几成在卡巴弹窗的程序运行序列中，那些文件是直接由IE去创建的？
你见过多少网页挂马、从浏览器直接下来的恶意文件是.bat、.reg这些？是先通过IE下来.exe然后再释放运行那些的多，还是直接下来那些的多？直接从网页下来恶意.bat、.reg等的，万年遇到一回吧，呵呵。

如果说，你的思路是通过运行序列继承，比如：运行IE-->IE下载*.exe-->*.exe创建*.bat，通过这样的运行序列来限制*.bat的创建的话，但你全部选择禁止，如果继承序列生效的话，岂不是连正常的从网上下载的程序（只要其中需要创建*.bat的）也无法运行了？

“新建类别1”限制的那些类型文件的写、改，非常有必要；但通过AD策略来完全、直接禁止IE创建那些，意义基本等于零，只有一个*.hta有意义；如果上述的运行序列继承有效的话，则这规则完全行不通。

显示全部楼层 · 发表于 2010-5-22 03:17:19

回复 junplus

同时误伤更大。
我写规则的时候本想禁系统盘根目录创建文件 C:\*.*
结果写完发现 ...
change_018 发表于 2010-5-21 23:18

无语...

显示全部楼层 · 发表于 2010-5-22 09:27:28

回复 jefffire

1.添加类别路径指定IE
2.在QQ的规则里禁止读取
change_018 发表于 2010-5-21 23:24

以前就试过完全不可行

显示全部楼层 · 发表于 2010-5-22 09:30:50

你怎么知道没人研究？
牧羊老汉发表于 2010-5-22 02:20

除了你还好像没看见还有谁研究过了。。

显示全部楼层 · 发表于 2010-5-22 10:05:04

参考参考