123   3  /  3  页   跳转

回复“天天泡泡”的三个问题

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 09:25 | 显示全部 短消息 资料
字号: 21楼

【回复“天天网”的帖子】
关于37楼的问题。使用TPF的默认设置,IE都入那组。如果不想这样,可按下图操作(去掉那个勾):

附件附件:

下载次数:180
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 9:25:38
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 09:27 | 显示全部 短消息 资料
字号: 22楼

【回复“天天网”的帖子】
关于38楼的问题,将卡巴斯基的那个DLL文件加入SAFE DLL组即可。

附件附件:

下载次数:202
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 9:27:33
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 09:38 | 显示全部 短消息 资料
字号: 23楼

【回复“天天网”的帖子】
关于40楼的问题——看下图:

关于这类规则监测的回应问题——从安全角度考虑,如果能选“monitor”,尽量不要选“Alert”。否则,总是报警,会烦死人的。
选择“monitor”,处置比较灵活。因为"Activity Monitor"中有相关记录。如果觉得选"Monitor"不合适,还可以改回“Alert”或“Ignore”。

附件附件:

下载次数:159
文件类型:image/pjpeg
文件大小:
上传时间:2006-1-24 9:38:18
描述:
预览信息:EXIF信息
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 10:57 | 显示全部 短消息 资料
字号: 24楼

引用:
【菜菜飞翔的贴子】请问BAOHE,
TNR,我非要重启计算机,才能按那个停止键,完成TRACKING,
否则会提示错误.
你的是否是这样的
...........................

你说的现象——不正常。T'nR后,直接在任务栏右键运行Run Tracklog Analyzer,即可用停止键将Active Tracking组中的被Tracking程序纳入Completed Tracking组。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-24 22:56 | 显示全部 短消息 资料
字号: 25楼

引用:
【天天网的贴子】谢谢Baohe, 摸了快2个小时,才明白了一些,按你所给的方法,(safe dll)象是使用校验和文件保护的意思,是吧
[img][/img]
...........................

呵呵。看来,如何解读这些面板提示还真是有点儿小小的问题。
关于“为何要将卡巴的那个DLL收入safe dll组”:
卡巴要监控网页。因此,它要将那个dll注入IE。 而TPF的System Privileges中有一条默认规则——禁止任何程序的代码注入。但是,TPF对safe dll(安全的dll)网开一面——允许这类dll注入其它进程。因此,将卡巴的那个dll录入safe dll,就解决了你原来说的频繁报警问题。

其它的dll,也可仿此处理。但要注意:这类safe dll,必须用MD5+路径(或文件名)进行双重保护其完整性。即:要选择checksum and path或checksum and name。否则,它们一旦被病毒/木马改过后,你就惨了!
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-25 08:59 | 显示全部 短消息 资料
字号: 26楼

引用:
【天天网的贴子】结果IE只要一开就迅速关闭,害惨了,折腾了很久,总算明白了,原因偶开着词霸(屏幕取词)有看到网警介绍这有带壳的,关掉词霸正常上IE了。
Baohe帮忙想一下,要用词霸的啊,那条IE规则该怎么改一下?
...........................

建议:先将Inject Code后的Prevent改为Alert。确定后,打开词霸和IE。然后,像38楼的图那样,看清是哪个DLL文件要进行代码注入。之后,自己检查、确认此DLL是否安全。如果安全,可以仿照处理卡巴的那个 scrchpg.dll的处理方法处理之。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-25 10:54 | 显示全部 短消息 资料
字号: 27楼

【回复“天天网”的帖子】
0x5c8421f——比较晕!

能否这样折中一下:

上网前,关闭词霸的“屏幕取词”。
或者去金山询问一下。
我不用词霸。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-25 10:56 | 显示全部 短消息 资料
字号: 28楼

引用:
【天天网的贴子】关闭IE后,还会紧跟又弹出:                     
[img][/img]
...........................

看61楼
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-26 09:21 | 显示全部 短消息 资料
字号: 29楼

【回复“天天网”的帖子】
将卡巴的DLL收入safe dll,且用MD5+文件名保护,不会有任何问题。至于“五笔”的,我没用过,不好评论。
关于“高优先权”规则问题,可以自己设定。但请注意,这类规则不允许用ask user。如果要用ask user,就不能用“高优先权”规则。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2006-01-27 14:59 | 显示全部 短消息 资料
字号: 30楼

【回复“天天网”的帖子】
下步怎么做——取决于你T'nR的目的。
如果你只是想看看病毒感染系统后的情况,一一点击那几个标签,看明白后,点击file或registry标签,再点击面板右下方的Revert Changes即可。当然,在此之前须结束病毒进程。
如果你是为了找查杀方法,务必记录file和registry两板内容,写出查杀流程,然后再Revert Changes。如果这里的信息不全,应查看Activity Monitor中的记录或看TPF的日志。
gototop
 
<<上一主题|下一主题>>
123   3  /  3  页   跳转
页面顶部
Powered by Discuz!NT