瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 分享我的HIPS规则(8月28日更新)

12   1  /  2  页   跳转

分享我的HIPS规则(8月28日更新)

分享我的HIPS规则(8月28日更新)

8月28日更新:规则不再多出了,规则越多提示越多,这次只推荐一下。而且瑞星新版本估计要出来了。期待瑞星的智能型的主防出现以及整合了云安全的杀毒软件的出现。
                     
                      推荐大家将第二张图上的IE配置规则中的勾全打上。(需装插件时将瑞星监控禁用即可)
                      推荐大家用火狐浏览器,上网银时再用IE浏览器。能有效减少中毒机率。
                      推荐大家活用卡卡6.0,发现它的某些功能还是很实用的。特别是高级工具。

                        说明:前次关于安全模式的保护规则由于瑞星在规则的说明上有问题(简省太多),才使我多加了条规则,经测试那条规则可去掉,不去也行。

7月13日更新:
更新了规则包(new!),保护安全模式不被破坏。之前下载的请重新下载导入。
                     
                      说明:当系统有病毒需要清理时,请直接进安全模式,不要使用“最近一次正常配置”,切记!!


7月4日更新:发现一些病毒利用,在系统加固中加选了“计划任务”。



6月7日更新:近期看到许多人的IE主页被改,在系统加固中更新了防IE主页篡改的功能,大家注意勾选

(出现问题请发消息,我会不断修改规则)




-----------------------------------------------------------------
1.下边的规则平常应用一般的程序是不会触发的。无綠无故的弹出来就是危险的,尤其是driver和system32这个下边的规则。大家要注意识别。。。

2.请确定你安装完了所有必须程序后,且近期也不会有大变后再勾选规则。。。

3.如果你要给系统打补丁,或是安装一些不断触发规则的程序,这时请把瑞星监控“全部禁用”,这些规则就不会影响你了。。。。
——————————-------------------------------------------------------




所谓的HIPS无非就是给电脑设一些规则,触犯规则时提示你,让你决定是否允许该动作。

瑞星的HIPS还不错,不过离智能的主动防御还有一些距离。



1.当然我总是喜欢提醒大家先备分注册表,不管你是用兔子还是其它工具。这也是我不想编辑注册表规则的原因,做出来也没人看得懂,还不如一下子还原。。




2.然后对“系统加固”自定义(这里系统加固中规则和让大家导入的规则是一体的,前务必将它和下边给的规则包结合起来使用)。






当然这些只是在默认的基础上勾选了相对较少的东西。因为不想大家由于多勾选而经常的触犯规则,所以才说不是很智能。


3.导入“应用程序访问”规则。(注意只适合系统装在C盘的用户)


有几个规则要提醒大家注意。一个就是在如果大家在C盘根目录下创建文件瑞星会提示。
另外就是有一个规则大家按下图的说明改一下,当改完用户名之后把光标移到最后,在“启动”后加一个“\”,变成“启动\"(本人的疏忽,sorry)。。。。


另外,禁止autorun.inf是为了防止U盘病毒。如果盘符没有那么多可以删掉其它几条,不删也可以。(我设置到了F盘)。


下边给出规则

附件: AppCtrl.rar (2008-7-13 11:55:19, 930 B)
该附件被下载次数 964











用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; .NET CLR 1.1.4322; .NET CLR 2.0.50727; .NET CLR 3.0.04506.30; InfoPath.2; .NET CLR 3.0.04506.648; MAXTHON 2.0)
最后编辑LMhust 最后编辑于 2008-08-27 19:11:09
分享到:
gototop
 

回复: 分享我的HIPS规则



引用:
原帖由 baohe 于 2008-5-3 19:00:00 发表
瑞星HIPS规则设置不支持变量路径和通配符。所以,通用性差。最好按照有价值的思路自己设置。不要用别人给的现成的。


编写的时候还是有所注意的。给大家的规则只要是XP系统在C盘下就行了。
gototop
 

回复:分享我的HIPS规则

大家如果发现有什么问题,也请回馈一下。

或者认为有待加强的地方也提出来。我会不断地完善它。。。。。
gototop
 

回复:分享我的HIPS规则(6月7日更新)

小做更新了一下。贴上了说明。大家注意说明,特别是那个“驱动安装”规则,如果觉得弹得多就不要勾选。。。。。。。。
gototop
 

回复: 分享我的HIPS规则(7月4日更新)



引用:
原帖由 御剑-逍遥 于 2008-7-4 20:50:00 发表
还是使用默认的吧

反正经常更新的。。。。


规则创立和选取可是不会更新的。更新的是病毒库。


而且默认的规则很弱。。。。
gototop
 

回复: 分享我的HIPS规则(7月4日更新)



引用:
原帖由 天云一剑 于 2008-7-6 16:15:00 发表
AUTORUN.INF主动防御只能用文件防止它建立和修改,如果不能拦截,就没有办法

就跟组策略一样,这个文件是阻止运行也没用的,所以。。那条是徒劳的规则

欢迎指正


并不是没有用处。这个规则只是一个辅助规则,瑞星是有U盘监控的,而且病毒的运行也不是只触犯这一个规则,但这个产物确是常见的。
gototop
 

回复:分享我的HIPS规则(7月4日更新)

呵呵,这样写确实是有用的。

除非你禁用了系统的autorun这个功能,那么这几个规则应该可以删除。
gototop
 

回复:分享我的HIPS规则(7月13日更新)

呵呵,加入了安全模式的保护。有需要的朋友就下载规则包更新吧。
gototop
 

回复: 分享我的HIPS规则(7月13日更新)



引用:
原帖由 Grey 于 2008-7-13 12:17:00 发表
怎样设置规则,才能堵死病毒下载到IE临时文件目录的路


这个只能靠你杀毒软件的监控能力了。
gototop
 

回复:分享我的HIPS规则(7月13日更新)

最简单的方法,不要用IE了。直接用火狐,opera吧。。。。
gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT