请教baohe及hotboy大版主或其他高手.... bbs.ikaka.com

晕４ - 2009-1-9 5:04:00

引用:

引用:
原帖由 baohe 于 2009-1-8 15:05:00 发表:
porgram files目录下的文件能否被此毒感染，完全取决于个人防护工具的设置。
如果用Tiny之类的工具，设置相应规则，看守住porgram files目录及其子目录（禁止写、删、建文件），则不会发生。

我新建了一条规则"禁止在dllcache目录下写、删、建文件"

请问

这样做正确吗？:default7:

和

会不会影响微软更新的？

用户系统信息：Opera/9.63 (Windows NT 5.1; U; zh-tw) Presto/2.1.1

东嬉南北 - 2009-1-9 8:02:00

windows就有一个文件保护的后台服务。默认情况下，该服务一直处于启用状态，监视着所有受保护的系统文件，如果发现替换或移动受保护的系统文件企图，它能直接阻止。当然windows并不阻止所有这样的企图，它允许有windows 数字签名文件替换现有文件，这样你的系统才可以更新和升级。
有时windows更新也会用到这里，个人认为，这个文件夹由windows自己保护即可~

晕４ - 2009-1-9 10:02:00

:default21:
我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。

baohe - 2009-1-9 10:26:00

你给的那个图，看不出这条是否有问题。

禁止规则的设置，关键看那个object内容设置是否妥当。也就是说：你是否禁止了不该禁止的内容。

baohe - 2009-1-9 10:27:00

引用:

原帖由晕４于 2009-1-9 10:02:00 发表
:default21:
我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。

病毒替换系统文件，有时是通过“关机回写”。就是钻空子啦:default6:

晕４ - 2009-1-9 10:30:00

object我那里添加了C:\WINDOWS\system32\dllcache

:default27: 这样是否正确?

晕４ - 2009-1-9 10:30:00

引用:

原帖由 baohe 于 2009-1-9 10:27:00 发表

引用:

原帖由晕４于 2009-1-9 10:02:00 发表
:default21:
我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。

病毒替换系统文件，有时是通过“关机回写”。就是钻空子啦:default6:

:default29:玩病毒的时候没重启过。。。

baohe - 2009-1-9 10:37:00

引用:

原帖由晕４于 2009-1-9 10:30:00 发表
object我那里添加了C:\WINDOWS\system32\dllcache

:default27: 这样是否正确?

作为例子，下图是禁止删除F盘GHOST备份的object项具体内容。

你可以参考此图，检查一下你那条规则的object。:default6:

baohe - 2009-1-9 10:40:00

引用:

原帖由晕４于 2009-1-9 10:30:00 发表
玩病毒的时候没重启过。。。

如果没有效防止病毒驱动beep.sys之类加载，病毒可通过磁盘底层操作换掉系统文件（Tiny之类的DD防不住的）

晕４ - 2009-1-9 10:47:00

:default7:已明白，感谢猫叔

晕４ - 2009-1-9 10:49:00

引用:

原帖由 baohe 于 2009-1-9 10:40:00 发表

引用:

原帖由晕４于 2009-1-9 10:30:00 发表
玩病毒的时候没重启过。。。

如果没有效防止病毒驱动beep.sys之类加载，病毒可通过磁盘底层操作换掉系统文件（Tiny之类的DD防不住的）

:default27:磁盘底层？

还没深入地探讨过。。

晕４ - 2009-1-9 10:52:00

:default21: 我基本设置正确

但是漏了“*.*”

瑞星卡卡安全论坛