不少规则存在的两个漏洞

詩、未詺

回复 1楼 忧郁的迷糊酱 的帖子

把注册表全局了就可以了
呵呵

huangzhifan1

回复 1楼 忧郁的迷糊酱 的帖子

注册表 那里有那么多时间去整理呀 全局星询问 的话估计没一个人愿意用的 只能是重点通过文件保护 和ad防御
而且各个软件采用不同的 安全级别

每个组都防御的那么严格也不现实的 只能是在系统组上做到严格而已  软件组太严格的会比较麻烦

忧郁的迷糊酱

回复 32楼 huangzhifan1 的帖子

注册表这个东西很纠结的，要想把防御做全RD一定要做好。

我最近心血来潮翻看论坛的规则，看见有些规则是全局*，然后分层放权，结果就是要不防御住，要不就是漏的一塌糊涂；有的是靠FD/AD来补助RD，各种方法都有，但是还是有漏洞啊，无奈。有些漏洞太明显了。

而且很多作者都是从别的规则/教程里面连抄带搬的，没有做过任何筛选，而且很多教程也都老旧失修了(包括我以前的那个，没那个精力继续维护了)，结果就是里面有各种过时的防御点，各种各样的重复。

我觉得论坛应该收集一些有能力的人，建立一个小组，专门负责收集/更新 RD/FD防御点并对其作用做注解，部分人经常在样本区测毒，并对更新后仍遗漏的防御点做反馈。这个小组模仿测试区给予月工资奖励，并制定详尽的工作细则与奖励制度。

huangzhifan1

忧郁的迷糊酱 发表于 2011-3-14 14:38
回复 32楼 huangzhifan1 的帖子

注册表这个东西很纠结的，要想把防御做全RD一定要做好。

毛豆的注册表更麻烦 不区分读写 希望有人出详细的注册表整理教程
现在论坛规则也都
是框架

luyubingbing

学习了

kklan

写手动HIPS规则相当于编特征码，作用是日常，大路货的，
有预见未知或一次性安全要求的当首先考虑虚拟，且不说SBIE应常规放在前面，总揽联网事物，及接管可能未穷尽风险的杂事了。

Nicklong2007

回复 36楼 kklan 的帖子

说的好，思路很明确。你的话可以理解为全局优先沙盘，然后慢慢往外放。当然，要注意限制下全局程序组对其他程序的操作，防止盗号，钓鱼欺诈。

kklan

回复 37楼 Nicklong2007 的帖子

优先应该还是HIPS，十来个沙盘在前面，权限是被授予的，毛豆/MD居中总控的意思。
这样我觉得作日常配置很好，各施所长，而单靠其一对我这种小白难度大可靠也不足。
但规则前行依然重要，要经常学习大牛们的。
真正网银支付宝的时候都是专门VHD win7干净差分，不挂物理分区，手输最短付款网址，不干其它任何事。如果要WW，里面再开虚拟机。

左手

回复 12楼 忧郁的迷糊酱 的帖子

2011-3-16 08:34:00    创建新进程    阻止
进程: c:\program files\vius\实物图20jpg.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /t /im KSafeSvc.exe
规则: [应用程序]* -> [子应用程序]c:\windows\system32\*

2011-3-16 08:34:00    创建新进程    阻止
进程: c:\program files\vius\实物图20jpg.exe
目标: c:\windows\system32\taskkill.exe
命令行: taskkill /f /t /im KSafeTray.exe
规则: [应用程序]* -> [子应用程序]c:\windows\system32\*

2011-3-16 08:34:01    创建文件    阻止
进程: c:\program files\vius\实物图20jpg.exe
目标: C:\WINDOWS\2158828.dll
规则: [应用程序组]cx应用 -> [文件组][Protected]_文件保护 -> [文件]c:\windows

2011-3-16 08:34:02    修改注册表值    阻止
进程: c:\windows\uctool.exe
目标: HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Zones\3\1609
值: 0x00000000(0)
规则: [应用程序组]●cx(禁放任何程序)w -> [注册表组]注册表保护 -> [注册表]*\Software\Microsoft\Windows\CurrentVersion\Internet Settings\*Zones*

2011-3-16 08:34:02    向其他进程发送消息    阻止
进程: c:\windows\uctool.exe
目标: c:\windows\system32\csrss.exe
消息: WM_SETTINGCHANGE
规则: [应用程序组]●cx(禁放任何程序)w

2011-3-16 08:34:09    访问网络    阻止
进程: c:\windows\uctool.exe
目标: TCP [本机 : 1782] ->  [173.201.119.125 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-3-16 08:34:09    访问网络    阻止
进程: c:\windows\uctool.exe
目标: TCP [本机 : 1783] ->  [173.201.119.125 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]

2011-3-16 08:34:09    创建文件    阻止
进程: c:\windows\uctool.exe
目标: C:\WINDOWS\支付宝安全控件.CAB
规则: [应用程序组]●cx(禁放任何程序)w -> [文件组][Protected]_文件保护 -> [文件]c:\windows

2011-3-16 08:34:09    创建文件    阻止
进程: c:\windows\uctool.exe
目标: C:\WINDOWS\支付宝安全控件.CAB
规则: [应用程序组]●cx(禁放任何程序)w -> [文件组][Protected]_文件保护 -> [文件]c:\windows

2011-3-16 08:34:09    创建文件    阻止
进程: c:\windows\uctool.exe
目标: C:\WINDOWS\支付宝安全控件.CAB
规则: [应用程序组]●cx(禁放任何程序)w -> [文件组][Protected]_文件保护 -> [文件]c:\windows

==
允许了创建。。