【原创】图文讲解三组规则加强卡巴斯基KIS2010防入口策略

牧羊老汉

回复  牧羊老汉

呵呵，我在帖子里都说了，系统目录不是危险目录嘛，其余的可以自己添加啊。
我只是举出 ...
change_018 发表于 2010-5-22 13:25

自己添加什么？添加上QQ目录？那我把它释放在D盘、F盘.....呢？bat、reg就不能执行了？

change_018

回复 70# 牧羊老汉

因为它是智能型的，所以我才只做了系统目录，如果是手动的，光举出个系统目录还不被人笑掉大牙？
它的HIPS又不是白吃饭的，针对智能型的，活学活用，除了防入口还可以设置些保护重要文件之类，很多。老汉，你的想法和手动HIPS的规则的一样的，放到这里就有点较真了。

午夜钟摆

一直在用KIS的默认设置，楼主的帖子给了另一种使用体验，支持一下

牧羊老汉

回复  牧羊老汉

呵呵，我在帖子里都说了，系统目录不是危险目录嘛，其余的可以自己添加啊。
我只是举出 ...
change_018 发表于 2010-5-22 13:25

    说你这样的设置的作用基本等于零，是因为，你的初衷是通过控制IE创建文件来防网马，但现在网页挂马99%是.exe文件，而不是你那些类型的文件（.pif、.scr有一些，但也少），你设防的类型文件由IE直接创建的基本就极少遇到，而由IE下来.exe后运行bat、reg、.cmd等来进行破坏的这些极其普遍的手法，你那样设置又防不住，所以说有什么意义？

DoctorL

说你这样的设置的作用基本等于零，是因为，你的初衷是通过控制IE创建文件来防网马，但现在网页挂马99%是.ex ...
牧羊老汉 发表于 2010-5-22 13:37

    何必呢！有总比没有好！指出缺点即可点到即止！毕竟卡巴的程序控制模块不像部分手动HIPS那么灵活！

DoctorL

说白了，就是看好你的可运行程序即可！但卡巴要做到这样很难！如果有“锁定模式”就可靠多了！也不用怎么设置！另外免疫区基本上就是为浏览器设置的！

牧羊老汉

回复  牧羊老汉

因为它是智能型的，所以我才只做了系统目录，如果是手动的，光举出个系统目录还不被人笑 ...
change_018 发表于 2010-5-22 13:31

当然是要认真，进行设置的目的，是为了能防御真枪实弹的病毒木马，才有意义，搞了半天，却在实战上不堪一击、常见的破坏手法没防住、很少见的却写一大堆，意义何在？

change_018

一个人一个想法，唉，现在写点什么真不容易...还要考虑那么多...

我是这样想的：
对于纯净的系统而言，按理先装杀毒软件，然后下压缩管理文档，这类大多数是exe文件吧，然后下载下载工具，虽然多数为压缩文档，但也有些exe文件吧，如果遇到一些在线安装的网盘工具，比如早期的纳米机器人，也是exe文件吧，都下完安完了再添加exe类型文件到规则里，不就解决了吗，我虽然白痴，但不至于连挂马的最终object是exe都不知道吧？最先添加，一棍子打死，安全的东西都禁止，惨了点。

下载下来的exe文件按我的设置肯定是无法释放到系统目录的，C:\Documents and Settings除外，因为我没细分，因为我在帖子里也说了，是针对系统盘而言，是加强而非固若金汤，KIS的面向群体的以智能型的身份来对待，而非手工HIPS，对于其他盘其他目录，按你的意思是用KIS防IE挂马非得写出一个全局规则才行，否则都是白费无意义。

如果你坚持这样的讨论，那我也无话可说。想法不同有分歧是很正常的。

牧羊老汉

又来说智能型，你如果不是因为那天在所谓卡巴的智能型模式下被那个什么文件“突破”了，而我的自定义设置下轻松地防住了，你才去研究如何自己设置加强系统目录的防护的吗？难道不是这样？之前你不也是依赖智能型而不用加强任何自定义设置、也才有一楼的关于防护系统目录的规则的吗？现在又是这样，一遇到因为你的设置不合理而造成防护疏漏的情况，就又是说智能型？

牧羊老汉

“如果你坚持这样的讨论，那我也无话可说。想法不同有分歧是很正常的”，最后送你一句，建议你去样本区测试500个样本，去病网区直接点击500张挂马网页，看看你的智能型也好、这样的自定义设置也好，在病毒库没检测出来的情况下，能防住几次，然后再来讨论吧，不再说了，你觉得好就好。

“最先添加，一棍子打死，安全的东西都禁止，惨了点”，头脑直的就是直的，一点不会转弯，谁叫你全部禁止、完全禁止？