瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 请教baohe及hotboy大版主或其他高手....

12   1  /  2  页   跳转

请教baohe及hotboy大版主或其他高手....

请教baohe及hotboy大版主或其他高手....



引用:
引用:
原帖由 baohe 于 2009-1-8 15:05:00 发表:
porgram files目录下的文件能否被此毒感染,完全取决于个人防护工具的设置。
如果用Tiny之类的工具,设置相应规则,看守住porgram files目录及其子目录(禁止写、删、建文件),则不会发生。


我新建了一条规则"禁止在dllcache目录下写、删、建文件"



请问

这样做正确吗?



会不会影响微软更新的?

用户系统信息:Opera/9.63 (Windows NT 5.1; U; zh-tw) Presto/2.1.1
分享到:
gototop
 

回复:请教baohe及hotboy大版主或其他高手....

windows就有一个文件保护的后台服务。默认情况下,该服务一直处于启用状态,监视着所有受保护的系统文件,如果发现替换或移动受保护的系统文件企图,它能直接阻止。当然windows并不阻止所有这样的企图,它允许有windows 数字签名文件替换现有文件,这样你的系统才可以更新和升级。
有时windows更新也会用到这里,个人认为,这个文件夹由windows自己保护即可~

____________収起兲眞的笑臉,學會長。

gototop
 

回复:请教baohe及hotboy大版主或其他高手....


我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。
gototop
 

回复 1F 晕4 的帖子

你给的那个图,看不出这条是否有问题。

禁止规则的设置,关键看那个object内容设置是否妥当。也就是说:你是否禁止了不该禁止的内容。
gototop
 

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 晕4 于 2009-1-9 10:02:00 发表

我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。


病毒替换系统文件,有时是通过“关机回写”。就是钻空子啦
gototop
 

回复 4F baohe 的帖子

object我那里添加了C:\WINDOWS\system32\dllcache

这样是否正确?
gototop
 

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 baohe 于 2009-1-9 10:27:00 发表


引用:
原帖由 晕4 于 2009-1-9 10:02:00 发表

我这里开了WINDOWS文件保护

被病毒替换了系统文件

没提示。。。


病毒替换系统文件,有时是通过“关机回写”。就是钻空子啦


玩病毒的时候没重启过。。。
gototop
 

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 晕4 于 2009-1-9 10:30:00 发表
object我那里添加了C:\WINDOWS\system32\dllcache

这样是否正确?


作为例子,下图是禁止删除F盘GHOST备份的object项具体内容。

你可以参考此图,检查一下你那条规则的object。

gototop
 

回复: 请教baohe及hotboy大版主或其他高手....



引用:
原帖由 晕4 于 2009-1-9 10:30:00 发表
玩病毒的时候没重启过。。。


如果没有效防止病毒驱动beep.sys之类加载,病毒可通过磁盘底层操作换掉系统文件(Tiny之类的DD防不住的)
gototop
 

回复: 请教baohe及hotboy大版主或其他高手....

已明白,感谢猫叔



gototop
 
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT