Defense+分类规则物以类聚权以组分091009.docx
《Defense+分类规则物以类聚权以组分091009.docx》由会员分享,可在线阅读,更多相关《Defense+分类规则物以类聚权以组分091009.docx(26页珍藏版)》请在冰豆网上搜索。
Defense+分类规则物以类聚权以组分091009
写规则的起因,是看大家对WIN7的规则呼声很高,本来打算买本,装WIN7,写WIN7的规则……
可因为经济原因,暂时更换电脑这个计划还不能实现。
。
让WIN7的用户失望了,这仍然是XP的规则
……
把昨天都作废,来跟我一起走进这个规则,看看他是如何用简单解决安全的~
不过首先确定的一点的是,这是初学者规则,不是初用者规则。
重在以鱼授渔~
全局询问的规则没有意义,所以,我选择了容易被大家忽视的“预定义规则”
既然要自己分类套用,自然不是安静规则,而且全局规则为了灵活,只阻止了部分,其余询问。
当你运行一个程序弹出询问的时候,你可以根据这个程序的分类来套用相应的预定义规则。
下载(44.23KB)
2009-9-2617:
54
暂时先分这么多类,我想一般是够用了,那个基本权限可以当做那些分类外的“万金油”
那么这个规则有多大的易用性和安全性呢?
我想这是大家最关心的问题。
·
先从易用性上讲,毛豆的安装模式你可以去尝试了。
取了一个安全与安装的平衡点。
所以也不要指望哪边的100%安全或者安装成功。
在来谈谈运行,如果你和我的常用程序一样,那么是完全安静的。
连套用分类的那一步也省了。
我给了网游以及QQ组一个很大的权限,所以网游和QQ一般不会出现问题。
即使再流氓,也建议你这些怕盗号的程序用官方的。
QQ2008的迷你首页和广告已经不会再出来烦你,同样,千千静听的广告弹窗也不会出来烦你。
关于单击游戏,我很少玩游戏,只试运行了几个,CS、实况、魔兽争霸等等均没问题。
下载工具,测试了迅雷,没问题。
浏览器,测试了IE、OPERA、火狐,均没问题。
注意火狐的Flashgot要套用下载工具组。
播放器,测试了千千静听和KMP,没问题
如果这些分类权限里,没有合适你程序的,你可以尝试套用基本权限,或者弹窗自定义。
还有一部分需要说明一下,那就是CMD一类的,我不限制你自己运行,但限制了软件的运行。
不过你运行我也没有全部放过,限制了一部分,另一部分弹窗询问你。
好了,易用性就先说到这里,下面再来谈谈这个规则的安全性。
……
如果一个规则只为了最大易用而忽略了安全,那还不如去用查杀率高的杀软。
如果一个规则为了安全全局弹窗,那这个规则又有什么意义,或者说靠自己判断不适合初学者。
我们先来看看这个毛豆规则面对它自家出品CLT的表现。
下载(25.75KB)
2009-9-2619:
01
此规则不包括防火墙,所以CLT防火墙那边我选择了阻止并记住。
不仅仅套用基本权限满分,套用浏览器、播放器、下载工具、单机游戏也是340满分。
单凭一个CLT满分,就能说明安全吗?
答案肯定是不能!
我们再来看看面对API结束进程的表现。
下载(43.51KB)
2009-9-2619:
36
套用基本权限下结束COMODO进程全部方法失败。
防御成功。
我没有装其他杀软,所以测结束毛豆是没有多大意义的,只要你勾选了“结束后阻止一切未知”
有点意义的是测ctfmon,因为经常有病毒会悄悄的结束这个,不过这个又需要被进程访问。
所以kill3和kill4没有通过,不过剩下的8个全通过了,病毒不能悄悄结束ctfmon来打主意。
至于VBS一类的测试,还是不用测了,自杀都不让,直接列入了黑名单。
我们再来测下注册表,用的testregmon这个测试工具,我们来看下这个规则的表现。
下载(54.51KB)
2009-9-2619:
36
这个没什么悬念,基本权限下全部防御成功,通过测试。
套用单击游戏,点允许他运行regedit,依然全部防御成功,通过测试。
当然,浏览器、播放器、下载工具等,都通过,连权限很大的“防盗号组”都通过了。
这个没什么悬念。
那我们再来实机(危险动作,切勿模仿)测点真病毒。
本来想下载今天的毒包,可20多个……下载速度9K/S……放弃……(卡饭近期晚上的速度让人无语)
所以我决定翻出收藏多年的四大毒王,
忘关毛豆的AV了,差点把这个4个古董给毁了。
运行了最有名的熊猫烧香,我还没套用哪个规则,只是点了一下允许它访问API,他就被全局规则秒杀了。
听说机器狗可以穿还原,我就有还原,那我们看看他能不能毁了我的还原。
比熊猫烧香强,最起码弹出了个命名管道和企图获得Debug权限,我才选用基本权限将其秒杀。
……
当然这个规则不是给你们测毒玩的,要想横扫一切,建议在首个弹窗套用”所向披靡“
直接阻止了API……连你的玩笑程序也会被直接秒杀
确切的说是秒杀一切。
不过这种阻止一切的预设权限没有什么意义,也许仅仅能证明HIPS没有拦不了的程序罢了。
……
好了,写了这么多,也不知道你们有没有耐心一直仔细看到这里,玩完了,我要说一下免责声明。
此规则只供学习交流使用,若发生意外,本人不承担任何责任和过错。
……
防盗号组和防御装备以及系统重要文件和位置的FD贯穿整个规则。
整个规则全部采用了通配,很多都是大幅度通配,为了不产生低级漏洞(还是说一下吧)
(不能说是病毒释放了一个Avira文件夹下的一个文件,权限就直接无敌了,那就太可笑了)
所以,我用全局规则填补了这个漏洞。
你要是安装盗号组和防御装备组的程序,还是建议从可信任站点下载,关闭D+安装。
其实目前来看,任何官方下载的东西都可以关闭D+来安装。
(对付流氓我们可以后发制人)
……
OK,本菜鸟再此献丑了,我还是希望你们不要偷懒,学会后,打造属于自己的绝对路径规则。
HIPS的精髓是阻止一切,例外放行。
那才是属于你自己最最安全易用的规则。
附:
全局规则权限图:
下载(45.02KB)
2009-9-2717:
45
下载(32.12KB)
2009-9-2717:
45
下载(21.4KB)
2009-9-2717:
45
下载(23.58KB)
2009-9-2717:
45
下载(20.64KB)
2009-9-2717:
45
下载(22.49KB)
2009-9-2717:
45
下载(30.77KB)
2009-9-2717:
45
下载(23.65KB)
2009-9-2717:
45
下载(23.89KB)
2009-9-2717:
45
基本权限图:
下载(43.63KB)
2009-9-2717:
57
下载(22.71KB)
2009-9-2717:
57
下载(21.77KB)
2009-9-2717:
57
下载(25.08KB)
2009-9-2717:
57
下载(21.51KB)
2009-9-2717:
57
下载(23.91KB)
2009-9-2717:
57
下载(25.68KB)
2009-9-2717:
57