查看: 3260|回复: 18
收起左侧

[讨论] 请教各位高手,关于temp这条规则应该怎么制定

[复制链接]
pyphh
发表于 2007-5-9 20:36:52 | 显示全部楼层 |阅读模式
应该是我的规则的漏洞,今天一整天日志闪个不停,当时没有仔细看,只是发觉阻止了很多可疑的进程,如119.exe,531.exe等,还以为是浏览了带毒的网页时阻止的,就清空了日志没有去理会它.

       谁知它再三的报警,我有点莫名其妙了,就仔细的看了下日志,发觉是temp文件目录下的两个jpg后缀名(图片?)的文件正在悄悄的往我的系统里安装一些exe文件,不过被阻止了,忘记是哪一条规则阻止它了.
      
       后来用绿色版dr.web扫描出这两个(图片?)是病毒来的,不过咖啡竟然没有报警(咖啡的病毒监控还是不够厉害,还好有强大的规则作后盾)

       虽然这次没有造成什么意外,但发现还是有一个不尽人意的地方,比如咖啡的默认规则里面有几条关于temp文件夹,禁止所有程序从 Temp 文件夹运行文件,禁止从 Temp 文件夹执行脚本,禁止从 Temp 文件夹执行脚本等,这些规则对于像exe,vbs等可执行文件和脚本防护得很厉害,开了这几条规则,temp文件目录下的exe文件根本运行不了,还没有运行就被阻止了,但像这次的jpg文件带了病毒,竟然没有触动这些规则,而是在它下载那些119.exe等可执行文件时才阻止它,会不会有点迟钝了,


我想其实一般情况下可以阻止temp下的任何程序包括exe,jpg,甚至是最常见的文本文档等的执行,那有没有这样一条规则,使得temp文件目录下的所有文件都不能双击打开

[ 本帖最后由 pyphh 于 2007-5-9 20:38 编辑 ]
ouran
发表于 2007-5-9 20:58:18 | 显示全部楼层
看来似乎是艾妮蠕虫
mcafee的这几条规则中的temp是temp*,包含所有以temp开头的文件夹及其子文件夹,例如Temp、Templates、Temporary Internet Files等
阻止的文件类型默认包含exe dll com scr pif sys vbs  js  htm......
如果阻止的在temp创建或者执行所有文件,系统必然出错,网都不能上

[ 本帖最后由 ouran 于 2007-5-9 21:03 编辑 ]
pyphh
 楼主| 发表于 2007-5-9 21:16:17 | 显示全部楼层
那有没有更好的规则吗
小邪邪
发表于 2007-5-9 21:39:04 | 显示全部楼层
把那规则里要包含的进程改为"*"就可以了

这是经过实践的:比如微软的最新漏洞ANI,在那个补丁还没出来的时候
我还经常进毒网,证实默认的这条规则稍微修改一下就足够让任何进到缓存区里的一切“毒物”都变为“死物”了
执行临时文件夹里的危险的可执行文件时会被完全阻止的

要注意不要随便排除那些敏感的进程(比如IE,CMD等等,没什么问题的)
事后清空一下IE缓存就可以


还有默认规则里其它关于Temp文件夹的规则也可以看一下,稍微改一下,已经够用了

[ 本帖最后由 小邪邪 于 2007-5-9 21:44 编辑 ]
小邪邪
发表于 2007-5-9 21:48:46 | 显示全部楼层
要注意所谓的jpg其实也等于是一个脚本,它的任务是“指使”浏览器下载那个EXE文件
而真正要发作的,起破坏作用的还是那个EXE文件

其实最好的防线还是及时打上补丁,堵上所有已知的漏洞
jm6275680
发表于 2007-5-9 22:11:23 | 显示全部楼层
版主正解!
pyphh
 楼主| 发表于 2007-5-9 23:05:58 | 显示全部楼层
请问版主,那具体怎样制定规则啊,默认的怎么改,如果自定义一条规则,我建了一条,包含进程为*,要阻止的文件或文件名为**\temp\*,禁止执行,但好像起不了作用,双击jpg,文件照样可以打开
小邪邪
发表于 2007-5-9 23:19:58 | 显示全部楼层

试试

包含进程: *
要阻止的文件或文件名: **\*temp*\**
禁止的操作: 执行


好象没必要把杀伤力搞得这么大
小邪邪
发表于 2007-5-9 23:25:27 | 显示全部楼层
还有temp目录里的文件可以全部都给删除掉,随时随地,不用多看,没什么好顾虑的
thelord
发表于 2007-5-10 00:38:50 | 显示全部楼层
*.jpg.vbs?
默认规则“禁止从 Temp 文件夹执行脚本”没有阻止么?是ie执行的?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:57 , Processed in 0.134872 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表