瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 请教baohe及hotboy大版主或其他高手....

12   1  /  2  页   跳转

请教baohe及hotboy大版主或其他高手....

收藏
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-09 05:04 | 只看楼主 短消息 资料
字号: 1楼

请教baohe及hotboy大版主或其他高手....



引用:
引用:
原帖由 baohe 于 2009-1-8 15:05:00 发表:
porgram files目录下的文件能否被此毒感染,完全取决于个人防护工具的设置。
如果用Tiny之类的工具,设置相应规则,看守住porgram files目录及其子目录(禁止写、删、建文件),则不会发生。


我新建了一条规则"禁止在dllcache目录下写、删、建文件"



请问

这样做正确吗?



会不会影响微软更新的?

用户系统信息:Opera/9.63 (Windows NT 5.1; U; zh-tw) Presto/2.1.1
分享到:
gototop
 
东嬉南北
头像
锋芒艾服狮
  • 帖子:1508
  • 注册: 2008-07-29
  • 来自:皇城
发表于: 2009-01-09 08:02 | 短消息 资料
字号: 2楼

回复:请教baohe及hotboy大版主或其他高手....

windows就有一个文件保护的后台服务。默认情况下,该服务一直处于启用状态,监视着所有受保护的系统文件,如果发现替换或移动受保护的系统文件企图,它能直接阻止。当然windows并不阻止所有这样的企图,它允许有windows 数字签名文件替换现有文件,这样你的系统才可以更新和升级。
有时windows更新也会用到这里,个人认为,这个文件夹由windows自己保护即可~

____________収起兲眞的笑臉,學會長。
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-09 10:02 | 只看楼主 短消息 资料
字号: 3楼

回复:请教baohe及hotboy大版主或其他高手....


我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-09 10:26 | 短消息 资料
字号: 4楼

回复 1F 晕4 的帖子

你给的那个图,看不出这条是否有问题。

禁止规则的设置,关键看那个object内容设置是否妥当。也就是说:你是否禁止了不该禁止的内容。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-09 10:27 | 短消息 资料
字号: 5楼

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 晕4 于 2009-1-9 10:02:00 发表

我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。


病毒替换系统文件,有时是通过“关机回写”。就是钻空子啦
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-09 10:30 | 只看楼主 短消息 资料
字号: 6楼

回复 4F baohe 的帖子

object我那里添加了C:\WINDOWS\system32\dllcache

这样是否正确?
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-09 10:30 | 只看楼主 短消息 资料
字号: 7楼

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 baohe 于 2009-1-9 10:27:00 发表


引用:
原帖由 晕4 于 2009-1-9 10:02:00 发表

我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。


病毒替换系统文件,有时是通过“关机回写”。就是钻空子啦


玩病毒的时候没重启过。。。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-09 10:37 | 短消息 资料
字号: 8楼

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 晕4 于 2009-1-9 10:30:00 发表
object我那里添加了C:\WINDOWS\system32\dllcache

这样是否正确?


作为例子,下图是禁止删除F盘GHOST备份的object项具体内容。

你可以参考此图,检查一下你那条规则的object。

gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2009-01-09 10:40 | 短消息 资料
字号: 9楼

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 晕4 于 2009-1-9 10:30:00 发表
玩病毒的时候没重启过。。。


如果没有效防止病毒驱动beep.sys之类加载,病毒可通过磁盘底层操作换掉系统文件(Tiny之类的DD防不住的)
gototop
 
晕4
头像
叱咤花甲狮
  • 帖子:5398
  • 注册: 2008-08-10
  • 来自:
发表于: 2009-01-09 10:47 | 只看楼主 短消息 资料
字号: 10楼

回复: 请教baohe及hotboy大版主或其他高手....

已明白,感谢猫叔
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT