如何使用漏洞保护配置文件来阻止 .exe 文件

概述

本文档说明如何使用漏洞保护配置文件来阻止 picasa.exe 文件, 而不阻止所有 .exe 文件。

步骤

查找并复制模式:

1. 在 PC 上运行 Wireshark。
2. 从网站下载 picasa.exe。
3. 通过搜索 "http" 数据包 (参见图像), 遍历该特定流的 Wireshark 捕获。  此外, 您可以按照流来获取获取数据包的详细信息。

   

4. 复制获取模式或复制 picasa38 安装程序 .exe, 如上所示。

创建自定义签名

1. 在下列选项卡下创建自定义签名:
   • 对象 > 自定义签名 > 漏洞 > 添加 > 配置

     

   • 添加一个威胁 ID, 范围介于 41000-45000 之间。
   • 添加严重性和方向。关键和两者都被选择。
   • 添加下面显示的签名下的模式。

     

创建漏洞保护配置文件

1. 在以下选项卡下创建 Vulnerabiltiy 保护配置文件:
   • 对象 > 漏洞保护 > 添加。
   • 选择自定义签名 (如下所示)。

     

   • 选择 "删除" 或所需的操作。
2. 将此配置文件添加到规则中。

   

3. 提交更改。

测试规则

1. 请尝试下载 picasa.exe 文件, 并查看 "监视器" 选项卡下的威胁日志。

   

2. 日志详细信息:

   

所有者︰ panagent