【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

yonggang

这个要好好看看了 谢谢分享

32785381

看不懂 能不能给个傻瓜式的教程

32785381

我的系统是win7 跟你的设置很不一样 他包括什么好几个组 受信任组、高危险组什么的 不知该如何设置了

change_018

回复 57# 牧羊老汉

第一张图的“新建类别1”那些，如果不是用IE来创建的呢？恶意程序中通过运行IE直接来创建那些的，恐怕不到1/10。
去样本区拿几十个样本试试，看有几成在卡巴弹窗的程序运行序列中，那些文件是直接由IE去创建的？
拿IE打比方。既然是防入口，浏览器必然第一大患。

你见过多少从浏览器直接下来的恶意文件是.bat、.reg这些？是先通过IE下来.exe然后再释放运行那些的多，还是直接下来那些的多？直接从网页上下来恶意.bat、.reg等的，万年遇到一回吧，呵呵。

万年一遇不代表没有，当然是运行后释放的多，但释放后也无法释放到系统目录。

如果说，你的思路是通过继承、运行序列比如：运行IE-->IE下载*.exe-->*.exe创建*.bat，通过这样的运行序列来限制*.bat的创建的话，但你全部选择禁止，如果继承序列生效的话，岂不是连正常的从网上下载的程序（只要其中需要创建*.bat的）也无法运行了？

是的。但用IE安装软件的还是少数吧，起码都知道用下载工具下，下完后杀毒，没有病毒了再手动安装，手动安装和IE禁创不发生关系。

“新建类别1”限制的那些类型文件的写、改，非常有必要；但通过AD策略来完全、直接禁止IE创建那些，意义基本等于零，只有一个*.hta有意义；如果上述的运行序列继承有效的话，则这规则完全行不通。

当时没想那么多，有这样的例子请举一下。

change_018

回复 64# 32785381

卡巴的分组应该一样，但系统目录应该不一样，我没用win7，你看一下。

牧羊老汉

回复  牧羊老汉


万年一遇不代表没有，当然是运行后释放的多，但释放后也无法释放到系统目录。


是 ...
change_018 发表于 2010-5-22 12:37

对，正是这样的少，所以重点说的，是直接防御从IE下载.bat、.reg等。请问你见过多少网马是直接挂.bat、.reg在网页上的？我测试挂马网站过千次，却一次也没遇到过，这是其一。其二，网马*.exe下来后用释放运行.bat、.reg文件进行破坏动作的，很多很多，但你这样通过禁止IE创建的方法能阻止bat、reg的创建和运行吗？所以说，这样设置，根本就没意义。

“当然是运行后释放的多，但释放后也无法释放到系统目录”，象bat批处理文件、reg文件这类，执行时需要放在系统目录才有效吗、才能起破坏作用吗？我随便放在你任何目录都能执行这两类文件来破坏你的系统、甚至删除你全盘的文件。

change_018

回复 67# 牧羊老汉

对，正是这样的少，所以重点说的，是直接防御从IE下载.bat、.reg等。请问你见过多少网马是直接挂.bat、.reg在网页上的？我测试挂马网站过千次，却一次也没遇到过，这是其一。

认同。

其二，网马*.exe下来后用释放运行.bat、.reg文件进行破坏动作的，很多很多，但你这样通过禁止IE创建的方法能阻止吗？所以说，这样设置，根本就没意义。

往下看，无法释放到系统的任何目录。

牧羊老汉

回复  牧羊老汉


认同。


往下看，无法释放到系统的任何目录。
change_018 发表于 2010-5-22 13:01

“当然是运行后释放的多，但释放后也无法释放到系统目录”，象bat批处理文件、reg文件这类，执行时需要放在系统目录才有效吗、才能起破坏作用吗？随便释放到你电脑里的任何一个目录都能执行这两类文件来破坏你的系统、甚至删除你全盘的文件。为什么一定要释放到系统目录里？

牧羊老汉

bat文件、reg文件，释放到电脑里其它目录，同样能设置成只读属性、隐藏属性、系统文件属性，放不放在系统目录里都好，运行起来起来根本就没有任何差别。为什么一定要释放到系统目录？比如说释放一个bat到你QQ目录里去来执行命令删除你某些注册表，你这样设置能阻止得了吗？

change_018

回复 69# 牧羊老汉

呵呵，我在帖子里都说了，系统目录不是危险目录嘛，其余的可以自己添加啊。
我只是举出了很小的方面。