楼主: change_018
收起左侧

【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

  [复制链接]
牧羊老汉
发表于 2010-5-22 13:31:03 | 显示全部楼层
回复  牧羊老汉

呵呵,我在帖子里都说了,系统目录不是危险目录嘛,其余的可以自己添加啊。
我只是举出 ...
change_018 发表于 2010-5-22 13:25


自己添加什么?添加上QQ目录?那我把它释放在D盘、F盘.....呢?bat、reg就不能执行了?
change_018
 楼主| 发表于 2010-5-22 13:31:07 | 显示全部楼层
回复 70# 牧羊老汉

因为它是智能型的,所以我才只做了系统目录,如果是手动的,光举出个系统目录还不被人笑掉大牙?
它的HIPS又不是白吃饭的,针对智能型的,活学活用,除了防入口还可以设置些保护重要文件之类,很多。老汉,你的想法和手动HIPS的规则的一样的,放到这里就有点较真了。
午夜钟摆
发表于 2010-5-22 13:42:00 | 显示全部楼层
一直在用KIS的默认设置,楼主的帖子给了另一种使用体验,支持一下
牧羊老汉
发表于 2010-5-22 13:45:06 | 显示全部楼层
回复  牧羊老汉

呵呵,我在帖子里都说了,系统目录不是危险目录嘛,其余的可以自己添加啊。
我只是举出 ...
change_018 发表于 2010-5-22 13:25



    说你这样的设置的作用基本等于零,是因为,你的初衷是通过控制IE创建文件来防网马,但现在网页挂马99%是.exe文件,而不是你那些类型的文件(.pif、.scr有一些,但也少),你设防的类型文件由IE直接创建的基本就极少遇到,而由IE下来.exe后运行bat、reg、.cmd等来进行破坏的这些极其普遍的手法,你那样设置又防不住,所以说有什么意义?
DoctorL
头像被屏蔽
发表于 2010-5-22 13:46:01 | 显示全部楼层
说你这样的设置的作用基本等于零,是因为,你的初衷是通过控制IE创建文件来防网马,但现在网页挂马99%是.ex ...
牧羊老汉 发表于 2010-5-22 13:37



    何必呢!有总比没有好!指出缺点即可点到即止!毕竟卡巴的程序控制模块不像部分手动HIPS那么灵活!
DoctorL
头像被屏蔽
发表于 2010-5-22 13:48:04 | 显示全部楼层
说白了,就是看好你的可运行程序即可!但卡巴要做到这样很难!如果有“锁定模式”就可靠多了!也不用怎么设置!另外免疫区基本上就是为浏览器设置的!
牧羊老汉
发表于 2010-5-22 13:49:14 | 显示全部楼层
回复  牧羊老汉

因为它是智能型的,所以我才只做了系统目录,如果是手动的,光举出个系统目录还不被人笑 ...
change_018 发表于 2010-5-22 13:31


当然是要认真,进行设置的目的,是为了能防御真枪实弹的病毒木马,才有意义,搞了半天,却在实战上不堪一击、常见的破坏手法没防住、很少见的却写一大堆,意义何在?
change_018
 楼主| 发表于 2010-5-22 13:57:23 | 显示全部楼层
一个人一个想法,唉,现在写点什么真不容易...还要考虑那么多...

我是这样想的:
对于纯净的系统而言,按理先装杀毒软件,然后下压缩管理文档,这类大多数是exe文件吧,然后下载下载工具,虽然多数为压缩文档,但也有些exe文件吧,如果遇到一些在线安装的网盘工具,比如早期的纳米机器人,也是exe文件吧,都下完安完了再添加exe类型文件到规则里,不就解决了吗,我虽然白痴,但不至于连挂马的最终object是exe都不知道吧?最先添加,一棍子打死,安全的东西都禁止,惨了点。

下载下来的exe文件按我的设置肯定是无法释放到系统目录的,C:\Documents and Settings除外,因为我没细分,因为我在帖子里也说了,是针对系统盘而言,是加强而非固若金汤,KIS的面向群体的以智能型的身份来对待,而非手工HIPS,对于其他盘其他目录,按你的意思是用KIS防IE挂马非得写出一个全局规则才行,否则都是白费无意义。

如果你坚持这样的讨论,那我也无话可说。想法不同有分歧是很正常的。
牧羊老汉
发表于 2010-5-22 13:57:25 | 显示全部楼层
本帖最后由 牧羊老汉 于 2010-5-22 13:59 编辑

又来说智能型,你如果不是因为那天在所谓卡巴的智能型模式下被那个什么文件“突破”了,而我的自定义设置下轻松地防住了,你才去研究如何自己设置加强系统目录的防护的吗?难道不是这样?之前你不也是依赖智能型而不用加强任何自定义设置、也才有一楼的关于防护系统目录的规则的吗?现在又是这样,一遇到因为你的设置不合理而造成防护疏漏的情况,就又是说智能型?
牧羊老汉
发表于 2010-5-22 14:05:37 | 显示全部楼层
本帖最后由 牧羊老汉 于 2010-5-22 14:07 编辑

“如果你坚持这样的讨论,那我也无话可说。想法不同有分歧是很正常的”,最后送你一句,建议你去样本区测试500个样本,去病网区直接点击500张挂马网页,看看你的智能型也好、这样的自定义设置也好,在病毒库没检测出来的情况下,能防住几次,然后再来讨论吧,不再说了,你觉得好就好。

“最先添加,一棍子打死,安全的东西都禁止,惨了点”,头脑直的就是直的,一点不会转弯,谁叫你全部禁止、完全禁止?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-25 05:58 , Processed in 0.093067 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表