|
|
本帖最后由 15803312102 于 2017-8-6 17:03 编辑
很简单,我在HIPS虽然算不上大神,但也算是熟练的菜鸟了,目前勉强可以熟练地编写一整套HIPS规则,曾对多个类型的病毒进行过简单的行为分析,还是有点经验的,故本规则无论其他规则如何更新,依旧能够保持防御能力不落后。
特点总汇:一起来源于经验性总结。
特点一:无需定时更新,即可防御多数流行病毒,例如当前流行的小马激活病毒。只需要在新思路冒出来的时候加入新规则即可。
特点二:根据经验性行为总结,目前十分流行的文件加密病毒,通常会有重命名这个动作,而我们阻止之后,很大一部分加密就失效了,针对此类情况加入了相对之前更加易用的规则。
特点三:对于系统程序的操作加入监控,避免被恶意利用。 特点四:火绒本身不能直接禁运bat,VBS之类的脚本执行,但是本规则根据系统执行此类文件的方式加入了能够监控此类程序执行的规则。
自定义规则默认状态下相对之开启FD规则的防毒能力被大幅度削弱,具体削弱到什么地步,我只知道我的两个虚拟机都炸了,正在简易安装。
有可能影响win10更新,win10用户建议导入“可选”规则
操作系统账户——win10下请禁用,后果不严重,但是很麻烦。
在意识到火绒的自定义规则的各种不方便后,我开始思考,既然火绒的定位是一个杀毒软件,自定义用作辅助,那么,我们只需要简易的制作规则用来辅助即可。 规则星级
★☆☆☆☆此类规则弹窗本身不能代表什么,但是有经验的用户可以综合其他行为判断程序的目的。 ★★☆☆☆相对前一个等级可疑程度更高,且可能是正常操作或用户自己操作,普通用户无法分给行为定性。 ★★★☆☆中度风险行为,规则会给予较为简单易懂的提示,普通用户可以做出相对正确判断。 ★★★★☆危险行为,规则会给予严重的提示,为恶意软件的典型行为,普通用户对于非信任程序建议阻止。 ★★★★★高度危险行为,基本上可以认为病毒在作祟,放行可能导致严重的后果。
关于普通用户就是下面图中我的同学,用电脑基本就是玩玩游戏,听听音乐,或者工作什么的,关于电脑安全方面不涉猎。
以下为部分需要解释的规则说明
提示:必须1和必须2为自动处理规则,必须要导入,否则会引发大量弹窗。自定义必须导入。 可选1为普通用户定制,会降低安全性,但是可以减少弹窗,同时会降低某些规则的作用。
|
评分
-
查看全部评分
|
[复制链接]
收藏
来自 16#
。能自动判断的人自然会去棑障,但是不保证有人为了安全看不懂也开启,考虑少了,马上修改。
