防网站挂马 comodo如何设置temp规则？

lengyff

经常用网银等,对安全问题很重视,看到论坛中mcafee的防挂马装反间谍模块含有:“禁止所有程序从 Temp 文件夹运行文件”和“禁止从 Temp 文件夹执行脚本”，不知道comodo中应该如何完美设置类似规则，达到防止网站挂马目的......

柯林

脚本文件，com接口设置好，不用担心。如果不放心，还可以用常规手段辅助——文件夹选项里删除js、jse、vbs、vbe、wsh、wsf的文件类型，脚本文件就找不到用来打开运行的程序，无法运行。
temp文件夹的运行问题，首先，可执行文件已经全局监控（建议添加hta等文件），浏览器如果下载了可执行文件到temp文件夹，会被询问，自己稍微留点心，不是自己主动下载的阻止即可；其次，一个新的陌生程序的运行，默认全局监控，会弹窗询问，当然，因为comodo不显示路径，可能不知道是temp文件夹的，自己小心判断，以4.X来说，如果启用了沙盘，默认把未知程序自动运行于沙盘内，那是安全的。关于沙盘的使用，建议把浏览器与常用软件用沙盘隔开，当它们同时使用时，沙盘内运行的程序将无法访问沙盘外的程序，安全有保障。沙盘外运行的程序需要制定单独的、严格的规则，特别是IE浏览器。
如果对安全特别有要求，建议参考论坛上的有效规则，自己按照——有规则按规则处理，无规则默认阻止的原则，打造一套符合自己使用要求的安全规则。论坛上一些严厉规则，是不可能让网马之类的陌生程序创建和运行的，自己挑几个剖析一下就知道了。

lengyff

还可以用常规手段辅助——文件夹选项里删除js、jse、vbs、vbe、wsh、wsf的文件类型，脚本文件就找不到用来打开运行的程序，无法运行


楼上说的在理，谢谢

zlj_lf

、 ...
柯林 发表于 2010-6-11 12:19

放在沙盘中的IE如何中马了，帐号依然安全吗？

zlj_lf

其实你可以大致列一下可执行文件，*\temp*\*.*exe*、*\temp*\*.*ocx*  *\temp*\*.*scr* temp*\*.zip*(这是压缩包）等等常见的可执行文件，然后设立一个*的全局规则放在最顶上，在受保护的文件中，禁止修改它，我感觉更简单一点吧。。。

这样IE不能创建这类文件到这些临时目录。主要的还是要监控全局的可执行文件，因为网马其实就是下载病毒，然后大多数会复制到其它目录去执行，防网马挺简单的。

dim2010

说的清晰明 了

xp109

柯大的方法不错，学习了

柯林

回复 4# zlj_lf 的帖子
实例还没听说过
仅从沙盘隔离的角度而言，同时运行的程序，沙盘内不可访问沙盘外，是有安全作用的
其实从安全角度而言，个人建议，用网银之类时，无关软件最好全部关掉，处理完要紧事再做其它，虽然这有神经过敏的嫌疑，但凡事就怕万一，能消灭的可能性尽量消灭，理论上安全系数会提高

   

zlj_lf

回复 8# 柯林 的帖子

恩，有道理
   

lengyff

简单直接明了地说说怎么保护我的文件http://bbs.kafan.cn/thread-630022-1-1.html
comodo如何阻止文件生成？http://www.kafan.cn/forum.php?mod=viewthread&tid=504061
如何保护一个目录，里面的文件只能添加，删除和修改要确认http://bbs.kafan.cn/thread-179012-1-1.html
如何阻止QQ2009在temp文件夹里建立selfupdate.exe http://bbs.kafan.cn/thread-548829-2-1.html


极有参考价值