瑞星卡卡安全论坛个人产品讨论区瑞星杀毒软件瑞星杀毒软件2011 瑞星提示svchost修改系统时间,我直接允许了.

1234   3  /  4  页   跳转

[求助] 瑞星提示svchost修改系统时间,我直接允许了.

收藏
鬼鬼小猫咪
头像
高贵耄耋狮
  • 帖子:60938
  • 注册: 2008-04-22
  • 来自:喵星
万圣之夜勋章摄影高手写手勋章论坛8周年活动礼物祖国六十华诞就爱不长大论坛9周年纪念冰激凌09欢乐圣诞10温馨圣诞世界杯勋章十周年年度风云人物国庆61周年2010国庆勋章2012我眼中的你们论坛12周年勋章12周年爱心传递勋章幸运袜子巫师帽闪亮的光棍2011NBA至尊十一周年勋章六一欢乐天使
发表于: 2009-04-28 14:53 | 只看楼主 短消息 资料
字号: 21楼

回复 20F 天月来了 的帖子

感谢天月版主的回复.

我需要时间同步功能,而且这是个已知的系统正常功能,并非第三方软件,所以我认为,此行为,应当不报,自动放过.

我感觉svchost进程大体上就是服务项挂载的进程,或者说是一个加载DLL的地方,DLL我理解为一种另类的可执行文件,只是这重文件必须通过一个exe来调用,而目前,这个调用是已知的,所以,应该不报.

你说的QQ方面的问题,是软件把部分功能写在DLL类库中,通过函数调用,这种行为本来就是正常的,所以不报是正确的.


gototop
 
天月来了
头像
版主
  • 帖子:76904
  • 注册: 2007-02-06
  • 来自:
发表于: 2009-04-28 15:01 | 短消息 资料
字号: 22楼

回复:瑞星提示svchost修改系统时间,我直接允许了.

现在有个逻辑顺序。

目前瑞星的监控在监控时间的改变上,是无法对单一修改时间的程序行为进行记录并排除。

它对时间的监控目前还是局限在全局监控

即任意程序要修改时间都会提示

并不是指单纯监控svchost修改系统时间

要么关闭瑞星的时间修改监功能,要么停止系统自身的时间同步功能。

没别的好办法了。

或许积累了一年后,在2010年会修改瑞星整体监控的方式,对时间修改进行单一程序行为监控并排除系统正常时间修改行为。
百年以后,你的墓碑旁 刻着的名字不是我
gototop
 
鬼鬼小猫咪
头像
高贵耄耋狮
  • 帖子:60938
  • 注册: 2008-04-22
  • 来自:喵星
万圣之夜勋章摄影高手写手勋章论坛8周年活动礼物祖国六十华诞就爱不长大论坛9周年纪念冰激凌09欢乐圣诞10温馨圣诞世界杯勋章十周年年度风云人物国庆61周年2010国庆勋章2012我眼中的你们论坛12周年勋章12周年爱心传递勋章幸运袜子巫师帽闪亮的光棍2011NBA至尊十一周年勋章六一欢乐天使
发表于: 2009-04-28 15:10 | 只看楼主 短消息 资料
字号: 23楼

回复 22F 天月来了 的帖子

再次感谢天月的回复.

请瑞星公司考虑我的建议!
在更深的层面上保护我们的系统正常使用.


gototop
 
灰大狼
头像
叱咤花甲狮
  • 帖子:4310
  • 注册: 2009-02-16
  • 来自:Rising离休办
论坛8周年活动礼物
发表于: 2009-04-28 20:47 | 短消息 资料
字号: 24楼

回复:瑞星提示svchost修改系统时间,我直接允许了.

这个是系统的自动更新时间
gototop
 
灰大狼
头像
叱咤花甲狮
  • 帖子:4310
  • 注册: 2009-02-16
  • 来自:Rising离休办
论坛8周年活动礼物
发表于: 2009-04-28 20:49 | 短消息 资料
字号: 25楼

回复 23F 鬼鬼小猫咪 的帖子

希望10版可以考虑得更多吧
09版修改的希望不大了
gototop
 
鬼鬼小猫咪
头像
高贵耄耋狮
  • 帖子:60938
  • 注册: 2008-04-22
  • 来自:喵星
万圣之夜勋章摄影高手写手勋章论坛8周年活动礼物祖国六十华诞就爱不长大论坛9周年纪念冰激凌09欢乐圣诞10温馨圣诞世界杯勋章十周年年度风云人物国庆61周年2010国庆勋章2012我眼中的你们论坛12周年勋章12周年爱心传递勋章幸运袜子巫师帽闪亮的光棍2011NBA至尊十一周年勋章六一欢乐天使
发表于: 2009-04-29 08:23 | 只看楼主 短消息 资料
字号: 26楼

回复:瑞星提示svchost修改系统时间,我直接允许了.

仅对系统时间同步进行判断,并放过,似乎不是很困难吧.


gototop
 
灰大狼
头像
叱咤花甲狮
  • 帖子:4310
  • 注册: 2009-02-16
  • 来自:Rising离休办
论坛8周年活动礼物
发表于: 2009-04-29 09:09 | 短消息 资料
字号: 27楼

回复 26F 鬼鬼小猫咪 的帖子

不好判断
病毒也在搞svchost的主意,不能轻易放过。
gototop
 
鬼鬼小猫咪
头像
高贵耄耋狮
  • 帖子:60938
  • 注册: 2008-04-22
  • 来自:喵星
万圣之夜勋章摄影高手写手勋章论坛8周年活动礼物祖国六十华诞就爱不长大论坛9周年纪念冰激凌09欢乐圣诞10温馨圣诞世界杯勋章十周年年度风云人物国庆61周年2010国庆勋章2012我眼中的你们论坛12周年勋章12周年爱心传递勋章幸运袜子巫师帽闪亮的光棍2011NBA至尊十一周年勋章六一欢乐天使
发表于: 2009-04-29 09:12 | 只看楼主 短消息 资料
字号: 28楼

回复 27F 灰大狼 的帖子

我感觉是DLL或其中的函数,放过即可.


gototop
 
灰大狼
头像
叱咤花甲狮
  • 帖子:4310
  • 注册: 2009-02-16
  • 来自:Rising离休办
论坛8周年活动礼物
发表于: 2009-04-29 09:18 | 短消息 资料
字号: 29楼

回复 28F 鬼鬼小猫咪 的帖子

瑞星应该是HOOK了ntoskrnl里的ZwSetSystemTime这个函数
如果做在驱动里,hook的位置应该只能取得到进程的全路径
也就是svchost的路径,至于svchost是怎么做的,瑞星貌似没有关心过
gototop
 
鬼鬼小猫咪
头像
高贵耄耋狮
  • 帖子:60938
  • 注册: 2008-04-22
  • 来自:喵星
万圣之夜勋章摄影高手写手勋章论坛8周年活动礼物祖国六十华诞就爱不长大论坛9周年纪念冰激凌09欢乐圣诞10温馨圣诞世界杯勋章十周年年度风云人物国庆61周年2010国庆勋章2012我眼中的你们论坛12周年勋章12周年爱心传递勋章幸运袜子巫师帽闪亮的光棍2011NBA至尊十一周年勋章六一欢乐天使
发表于: 2009-04-29 09:21 | 只看楼主 短消息 资料
字号: 30楼

回复 29F 灰大狼 的帖子

学习了


gototop
 
<<上一主题|下一主题>>
1234   3  /  4  页   跳转
页面顶部
Powered by Discuz!NT