如何使用漏洞保护配置文件来阻止 .exe 文件
22148
Created On 09/25/18 17:59 PM - Last Modified 06/13/23 05:07 AM
Resolution
概述
本文档说明如何使用漏洞保护配置文件来阻止 picasa.exe 文件, 而不阻止所有 .exe 文件。
步骤
查找并复制模式:
- 在 PC 上运行 Wireshark。
- 从网站下载 picasa.exe。
- 通过搜索 "http" 数据包 (参见图像), 遍历该特定流的 Wireshark 捕获。 此外, 您可以按照流来获取获取数据包的详细信息。
- 复制获取模式或复制 picasa38 安装程序 .exe, 如上所示。
创建自定义签名
- 在下列选项卡下创建自定义签名:
- 对象 > 自定义签名 > 漏洞 > 添加 > 配置
- 添加一个威胁 ID, 范围介于 41000-45000 之间。
- 添加严重性和方向。关键和两者都被选择。
- 添加下面显示的签名下的模式。
创建漏洞保护配置文件
- 在以下选项卡下创建 Vulnerabiltiy 保护配置文件:
- 对象 > 漏洞保护 > 添加。
- 选择自定义签名 (如下所示)。
- 选择 "删除" 或所需的操作。
- 将此配置文件添加到规则中。
- 提交更改。
测试规则
- 请尝试下载 picasa.exe 文件, 并查看 "监视器" 选项卡下的威胁日志。
- 日志详细信息:
所有者︰ panagent