1   1  /  1  页   跳转

[原创] 利用瑞星自制主动防御规则

利用瑞星自制主动防御规则

这是我根据学习瑞星主动防御课程,自己定制一套完整的主动防御规则,为了使护系统最大限度的不中毒,保护杀毒软件不被破坏,保护网游帐号不被盗取。其中基本上都是利用了瑞星主动防御的功能。
主动防御技术是一种阻止恶意程序执行的技术。瑞星的主动防御技术提供了更开放的高级用户自定义规则的功能,用户可以根据自己系统的特殊情况,制定独特的防御规则,使主动防御可以最大限度的保护系统。(摘自瑞星软件自身介绍)

现在奉上:
在主动防御中的系统加固用户设置中,对系统动作的监控中做如图所示的勾选;
image001.jpg (27.40 K)
2008-8-7 17:21:55


注册表监控中在基于默认规则的基础上,勾选以下几个选项:
image002.jpg (44.31 K)
2008-8-7 17:21:55


关键进程保护
包括IE浏览器控制和系统进程保护做如图勾选:

image004.png (27.05 K)
2008-8-7 17:21:55




系统文件保护,在默认的规则下,建议再勾选以下规则
系统驱动文件目录,计算机组策略的相关规则


image006.png (30.73 K)
2008-8-7 17:21:55


应用程序访问控制

应用程序访问规则按钮,点击“添加”按钮,选择应用程序对象里面选择“*”,在之后弹出的窗口中下方“注册表和文件访问控制”窗口中单击“添加”-“注册表”,展开并选择HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden
image008.png (38.30 K)
2008-8-7 17:21:55


添加如下规则限制病毒启用子程序:
image010.png (36.34 K)
2008-8-7 17:21:55



如上述规则的添加方法,增加如下关键注册表键值
1.
对自动运行项注册表的键值监控
HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce
2.
应用程序劫持项的监控
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\
3. AppInit_DLLs
HKEY_LOCAL_MACHINE\Software\Microsoft\Windows NT\CurrentVersion\Windows\AppInit_DLLs

应用程序保护
在主动防御中使用应用程序保护功能,实现对于任意进程的保护,避免这些进程被恶意病毒注入,利用和结束等。
1、对于未被保护的网络游戏或者帐户保险柜中未保护的软件采取如下保护措施
防注入dll:拒绝
防注入代码:拒绝
防内存篡改:拒绝
防内存读取:拒绝
防模拟发送消息:拒绝
防模拟按键:拒绝
防监听键盘输入:拒绝Šm¦ÅñMYÈ&mbbs.ikaka.com2³[1]–ó0#ˆ§O
2、某些容易被病毒照顾的安全工具和安全软件的保护规则如下设置:
防注入dll:拒绝
防注入代码:拒绝
防内存篡改:拒绝
防内存读取:拒绝
防模拟发送消息:拒绝
防模拟按键:拒绝
防监听键盘输入:拒绝
防挂起:拒绝
防结束:拒绝
3、某些容易被病毒利用的傀儡进程(iexplore.exe,svchost.execalc.exe)的保护规则如下设置
防注入代码:提示
防内存篡改:提示




使用程序启动控制
采用以下规则顺序设置:1、在置在诸如iexplore.exe 的启动规则,需要在设置一个explorer.exe启动iexplore.exe的放过规则,如图 image012.png (16.89 K)
2008-8-7 17:21:55






image014.png (14.95 K)
2008-8-7 17:21:55



2、设置相应的规则监控iexplore.exe,cmd.exe等进程的被启动情况

image018.png (15.20 K)
2008-8-7 17:21:55



image020.png (32.77 K)
2008-8-7 17:21:55






好了就这些吧,我想应该对大家保护系统防止病毒应该有点用吧,其实瑞星杀毒软件还有不少应用技巧下面我就借花献佛了,把老师介绍的技巧分享给大家:
1.
瑞星自我保护问题。目前瑞星软件可以抵抗大部分病毒对于瑞星软件的攻击,但随着某些绕过主动防御恢复钩子的驱动源代码的泄露,使得破坏瑞星软件的病毒逐渐多了起来,他们无非就是释放驱动,恢复SSDT钩子,再干掉瑞星的。
解决办法:建议安装卡卡上网安全助手6.0,并打开实时防护的木马行为判断与拦截功能;打开瑞星杀毒软件,系统加固中系统动作监控,勾选安装驱动。
或者直接在勾选系统加固中的加载驱动程序即可。
这样当安装任何软件或者启动任何程序的时候,如果提示我们驱动加载或者安装,应该选择拒绝。
这样设置后,我们的瑞星几乎就可以完全挡住所有病毒对瑞星的攻击了。
2.
监控导致系统卡的问题。有些人反应瑞星在打开全部监控后可能会出现系统卡的问题。可以进行如下设置。设置-监控设置-文件监控,勾选使用智能监控,文件创建时监控和文件修改时监控三个选项。
3.
关于某些rootkit反复杀反复有的问题。某些用户反映某些rootkit病毒杀掉之后重启计算机又会出现。这种病毒并非瑞星杀不掉的缘故,而是这类病毒存在关机回写功能,在瑞星杀掉其镜像文件后,关机时候又会回写到系统中,导致反复杀反复有的情况。对付这样的病毒可以使用我说的关机xxx。在用瑞星杀掉病毒并显示删除成功后马上按主机面板上的reset键重启计算机。
4.
瑞星的强杀问题。正在执行的病毒,由于系统使用该文件而无法被删除。瑞星的强杀功能就可以强制删除正在运行的病毒文件。类似于某些小软件的强制删除文件功能。但开启强杀功能必须实在开启文件监控的基础上才可以。如果文件监控关闭了,则无法使用强杀功能。
5.
清除病毒和删除病毒的问题:瑞星提供的清除病毒的方式主要有:清除病毒和删除染毒文件两种。这里建议只使用清除病毒选项。选择了这个选项,遇到文件本身就是病毒的情况会自动将病毒文件删除,遇到被病毒感染的文件时会自动将其修复。



用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; QQDownload 1.7; WPS; TencentTraveler )
本帖被评分 1 次
分享到:
gototop
 

回复:利用瑞星自制主动防御规则

谢谢!边看边学习了
gototop
 

回复:利用瑞星自制主动防御规则

学习```
gototop
 

回复:利用瑞星自制主动防御规则

俺希望是用“傻瓜”式的东东。这个太麻烦。
gototop
 

回复: 利用瑞星自制主动防御规则



引用:
原帖由 来是come 于 2008-8-7 21:11:00 发表
俺希望是用“傻瓜”式的东东。这个太麻烦。

傻瓜式的就用瑞星缺省的规则

一点点的激情,一点点的执着,让我一步一步的走入了自己梦寐以求的行业。从一个学校里年少轻狂的孩子,成为了一名信息安全的研发工程师。从只知道写代码,真正开始慢慢的去思考、设计和实现一种技术、一种算法、一个模块、一个软件乃至一个系统。
人生本来就该不断的追求梦想,不断的跨过一个又一个不可能穿越的鸿沟。别人看来,我很疯狂,但我笑了,人生能有几回疯?真正疯狂的人是不计后果的向前冲的,至少我还不是。我所想的,只是别人不敢想的。我所做的,只是别人不敢做的。一个一个虚无缥缈的事物,都必须是有一个一个疯狂的人逐渐的具体和完善。但愿我是这样的人,我只愿做这样的人。
gototop
 

回复:利用瑞星自制主动防御规则

晕 说了跟没说一样 HIPS 本身是比较麻烦的 这个适用于高级用户 不适合初中级用户,


楼主你直接全勾上就得了!! 那样肯定安全度最高 但是用起来会很麻烦!
干嘛废那个牛筋 一个个找找要去掉几个!
最后编辑青青绿草地 最后编辑于 2008-08-07 22:12:46
gototop
 

回复:利用瑞星自制主动防御规则

挂钩全多 提示越多 麻烦死``
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT