天月来了 - 2012-3-26 21:27:00
那个毛豆,就是COMODO了
它能不能做到不影响系统使用控制面板以及设置时间等操作,又能很好的监控rundll32.exe文件执行任意非系统目录外的文件的命令呢??
我没看出如何设置,就算设置整体监控*.*
但是那会导致所有程序规则都要记录程序启动后读入内存的一切文件,那太过份了。
好象无法单独针对一个rundll32.exe程序进行加载*.*所有文件的监控。
毛豆好象不是那么顺手的东西。
:kaka6:
用户系统信息:Mozilla/4.0 (compatible; MSIE 8.0; Windows NT 5.1; Trident/4.0)
鬼鬼小猫咪 - 2012-3-26 21:46:00
虽然我不知道楼主在说什么,但是看起来很厉害的样子。帮顶了。
baohe - 2012-3-26 21:48:00
这个问题吧,要看你那毛豆是否支持程序分组。
如果支持分组,你的要求比较容易实现。
天月来了 - 2012-3-26 22:14:00
那支持分组,但是所有组都遵循一个单一的可执行文件的类型设置
那地儿设置监控.exe .com .scr 等扩展名,那么所有组的程序启动、执行或载入这类文件,就全部可以正常提示,但是病毒利用rundll32.exe的时候,可以任意扩展名的,所以得*.*,但是那地儿增加*.*的监控,那么上帝呀,所有组都遵循监控*.*文件的启动、执行和载入内存的情况,那提示能看死你。
我是没看出如何设置的。老猫愿意摸索???:kaka12:
Android - 2012-3-26 22:59:00
没打磨它,用的默认规则。用我仅晓得的一点东西想,能不能单独一个组,路径直接定位到你说的那个文件呢?楼主也逛卡饭的,咨询哈那个写什么纯色规则的看看。
黑暗メ骑士 - 2012-3-27 6:58:00
该用户帖子内容已被屏蔽
baohe - 2012-3-27 8:15:00
我没用过(也不打算用)毛豆。
我用CA HIPS。
基本思路是:分组+针对不同组程序设定相应规则。
程序组设有:信任组、系统重要程序组、追踪组、其它组
分组完成后,将程序收录入相应组。
然后设置各种规则:程序组间的调用规则、文件夹访问规则、注册表访问规则、系统权限操作规则.....
天月来了 - 2012-3-27 9:20:00
我知道那些分组。
可惜毛豆的分组虽然很不错,但是它那针对全局的一个设置影响所有组,没法将那设置单一用于某个组或某个规则。:kaka6:
baohe - 2012-3-27 9:39:00
原帖由 天月来了 于 2012-3-27 9:20:00 发表
可惜毛豆的分组虽然很不错,但是它那针对全局的一个设置影响所有组,没法将那设置单一用于某个组或某个规则。:kaka6:
这是你自己的思维逻辑有问题。
要求“针对全局的一个设置”不影响某一特定程序组?你这要求合乎逻辑?:kaka6:
我看这是典型的思维混乱。
天月来了 - 2012-3-27 9:48:00
不是我思维混乱
而是毛豆就那样儿:kaka8:
和俺无关
俺需要的是可以独立设置
它丫的单一程序规则没法单一设置我说的监控:kaka6:
baohe - 2012-3-27 9:50:00
原帖由 天月来了 于 2012-3-27 9:48:00 发表
不是我思维混乱
而是毛豆就那样儿:kaka8:
和俺无关
俺需要的是可以独立设置
它丫的单一程序规则没法单一设置我说的监控:kaka6:
还是思维混乱:kaka6:
慢慢把逻辑理清,再玩儿HIPS吧。
天月来了 - 2012-3-27 9:53:00
你说的分组是吧?
我会分,从SSM到CA,我都可以分,包括EQ和MD这两个,我都可以分组设置监控那rundll32.exe文件执行任意非系统目录外的文件。
但是毛豆左右没翻找到可以单一组别设置那样的监控。
:kaka6:
难道俺真的傻二了:kaka2:
baohe - 2012-3-27 9:56:00
原帖由 天月来了 于 2012-3-27 9:53:00 发表
你说的分组是吧?
我会分,从SSM到CA,我都可以分,包括EQ和MD这两个,我都可以分组设置监控那rundll32.exe文件执行任意非系统目录外的文件。
但是毛豆左右没翻找到可以单一组别设置那样的监控。
:kaka6:
难道俺真的傻二了:kaka2:
再重复一遍:没用过(也不打算用)毛豆。
要用(且用好)某个特定的HIPS,前提是对系统、对该HIPS有全面正确的了解。
© 2000 - 2026 Rising Corp. Ltd.