search

wecooperate / iDefender

iDefender(冰盾 - 终端主动防御系统)
https://imonitorsdk.com/idefender
GNU Affero General Public License v3.0
242 stars 32 forks source link

请问这个进程操作是哪些动作 #14

Closed sanhu5 closed 1 year ago

sanhu5 commented 1 year ago

1683873889331

wecooperate commented 1 year ago

操作是打开进程,比如打开后结束进程,或者操作内存这些。

---原始邮件--- 发件人: @.> 发送时间: 2023年5月12日(周五) 下午2:45 收件人: @.>; 抄送: @.***>; 主题: [wecooperate/iDefender] 请问这个进程操作是哪些动作 (Issue #14)

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you are subscribed to this thread.Message ID: @.***>

sanhu5 commented 1 year ago

操作是打开进程,比如打开后结束进程,或者操作内存这些。

2023-05-12_184457

wecooperate commented 1 year ago

不能统一修改,这里的文件夹(文件路径)不是分组,是参数类型。 本来计划会添加分组的概念,相同分组的路径可以统一修改。但是分组会导致整体概念比较复杂,还在讨论中,不一定会添加。

看你上面的规则,其实不建议用“文件操作”这个模板,可以用“禁止修改文件”的模板,只要简单添加各个路径就可以了。

wecooperate commented 1 year ago

对于新建、修改、删除三个选项是一样的,会合并成一个规则,就是 “禁止修改文件” 模板对应的规则。 建议直接用禁止xxx这样的模板,使用起来会更加方便,这些简单的模板满足不了需求的时候,才选择其他复杂的模板。

sanhu5 commented 1 year ago

我想写一条规则拦截所有第三方*.sys的加载,而排除系统进程加载本身需要的驱动。 大部分的程序都会先写入C:\Windows\System32\drivers到这个目录,然后在加载,只有第三方的ARK工具或者小部分程序才会从自身的目录或者temp目录加载驱动。 目前冰盾基本都是通过监控system,但我一旦允许system加载驱动,那么这个规则就废了形同虚设。 如果是拦截驱动精确到单个文件目标,我觉得拦截加载驱动这个就没有特别大的意义了。

2023-05-12_185933

wecooperate commented 1 year ago

我想写一条规则拦截所有第三方*.sys的加载,而排除系统进程加载本身需要的驱动。 大部分的程序都会先写入C:\Windows\System32\drivers到这个目录,然后在加载,只有第三方的ARK工具或者小部分程序才会从自身的目录或者temp目录加载驱动。 目前冰盾基本都是通过监控system,但我一旦允许system加载驱动,那么这个规则就废了形同虚设。 如果是拦截驱动精确到单个文件目标,我觉得拦截加载驱动这个就没有特别大的意义了。

2023-05-12_185933 系统需要的驱动默认启动的时候都加载完成了的。直接拦截驱动加载就好了。 当然,也有少量必要的驱动可能加载比较慢,这些可以通过拦截后添加信任解决。或者使用弹框确认的方式,然后记录哪些是信任的,哪些是拦截的,跑一遍就好了。信任的名单不会很多的。

sanhu5 commented 1 year ago

写2条文件规则:1条允许\123* 2条阻止\123*.exe 阻止的方在低优先级。 为什么最后优先级不管怎么设置结果是被阻止。

现在冰盾的排除方式就是只能通过信任列表吗。规则里面写对应的允许没有效果么。 2023-05-12_192324 2023-05-12_192334

wecooperate commented 1 year ago

这里的允许并不是信任,而且不设置规则。

排除只能通过信任列表,或者进程白名单,或者高级模板中选择【信任】的响应类型,这样才是真的信任。

sanhu5 commented 1 year ago

驱动加载的你可以写一条*.sys试一试。
2.6版的时候结果就是要么有几率无法启动widnows,要么弹窗十几个。有些驱动启动比较慢,要一直点。

2.7.0版我试了下加载驱动好像只有个别弹窗了

wecooperate commented 1 year ago

驱动加载的你可以写一条*.sys试一试。 2.6版的时候结果就是要么有几率无法启动widnows,要么弹窗十几个。有些驱动启动比较慢,要一直点。

2.7.0版我试了下加载驱动好像只有个别弹窗了

可以选择记录(或者学习模式),然后记录一遍所有拦截到的驱动,接着在拦截记录里面添加信任目标,下次就不会拦截了。

sanhu5 commented 1 year ago

这里的允许并不是信任,而且不设置规则。

排除只能通过信任列表,或者进程白名单,或者高级模板中选择【信任】的响应类型,这样才是真的信任。

还以为规则里面能预设允许规则了,难受

wecooperate commented 1 year ago

信任列表也是可以手动添加的,其实就类似预设允许规则了。

---原始邮件--- 发件人: @.> 发送时间: 2023年5月12日(周五) 晚上7:39 收件人: @.>; 抄送: @.**@.>; 主题: Re: [wecooperate/iDefender] 请问这个进程操作是哪些动作 (Issue #14)

这里的允许并不是信任,而且不设置规则。

排除只能通过信任列表,或者进程白名单,或者高级模板中选择【信任】的响应类型,这样才是真的信任。

还以为规则里面能预设允许规则了,难受

— Reply to this email directly, view it on GitHub, or unsubscribe. You are receiving this because you commented.Message ID: @.***>

sanhu5 commented 1 year ago

信任列表也是可以手动添加的,其实就类似预设允许规则了。 知道。这个就这样吧。 那个全能模板我建议加个信任进程。 啥都有就是缺个信任,不然不够全能

sanhu5 commented 1 year ago

对于新建、修改、删除三个选项是一样的,会合并成一个规则,就是 “禁止修改文件” 模板对应的规则。 建议直接用禁止xxx这样的模板,使用起来会更加方便,这些简单的模板满足不了需求的时候,才选择其他复杂的模板。

我喜欢文件模板是因为,日志里面可以看到是新建还是修改或者删除。 其他模板包括快速模板都只能显示文件操作

wecooperate commented 1 year ago

对于新建、修改、删除三个选项是一样的,会合并成一个规则,就是 “禁止修改文件” 模板对应的规则。 建议直接用禁止xxx这样的模板,使用起来会更加方便,这些简单的模板满足不了需求的时候,才选择其他复杂的模板。

我喜欢文件模板是因为,日志里面可以看到是新建还是修改或者删除。 其他模板包括快速模板都只能显示文件操作

文件操作的新建、修改、删除的边界是模糊的,不是完全匹配,比如: 新建后一定会修改,但是只有一个新建动作,没有修改的 打开或创建的时候,属于修改,没有文件的时候应该是新建,但是没有区分 重命名可以是删除,也可以是新建