瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 瑞星2008主动防御设置与“磁碟机”的预防

1   1  /  1  页   跳转

瑞星2008主动防御设置与“磁碟机”的预防

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-24 12:00 | 显示全部 短消息 资料
字号: 1楼

瑞星2008主动防御设置与“磁碟机”的预防

截至到昨天,我见到的此毒所有变种释放的文件名及其所在目录均无改变。
昨天,已经发帖,给出Tiny预防此毒的相关设置。Tiny毕竟是个冷门工具,因此那个帖子对多数朋友没什么帮助。
今天,试了一下瑞星2008的“主动防御”对抗此毒。设置比Tiny复杂些,但防御效果还是可靠的(就目前所见的变种而言)。

设置及防御效果的截图较多。以RAR包发上来。感兴趣者,可以看看。

附:瑞星2008“主动防御”预防磁碟机的设置截图


[用户系统信息]Opera/9.22 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:565
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-24 12:00:27
描述:

最后编辑2008-03-30 21:13:09
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-24 12:01 | 显示全部 短消息 资料
字号: 2楼

防御效果截图

附件附件:

下载次数:520
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-24 12:01:13
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-24 17:17 | 显示全部 短消息 资料
字号: 3楼

引用:
【好学的忆忆的贴子】请问设置图中的234的规则从哪里来的.如果是需要添加的能否给个文件导入下.谢谢
………………

规则在附件中,解压后,导入即可。

附件附件:

下载次数:502
文件类型:application/octet-stream
文件大小:
上传时间:2008-1-24 17:17:05
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-24 21:34 | 显示全部 短消息 资料
字号: 4楼

引用:
【没有梦想的男人的贴子】猫叔看过 Xorer.exe新变种磁碟机了吗.好像就更新了对付杀软.清理方法用上一变种的清理方法一样可以清理.XDELBOX_磁碟机专用测试版也能清.样本给阳光了.等他看看.
………………

这个帖子中RAR包里的截图就是运行 Xorer.exe的结果。运行条件是:关闭瑞星2008以外的所有安全软件;瑞星2008的监控也只保留“应用程序访问控制”,其它的一律关闭。
不过,这个 Xorer.exe还比不上前一个变种 Update.exe厉害。但是,这组规则一样能挡住Update.exe。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-25 10:52 | 显示全部 短消息 资料
字号: 5楼

引用:
【世纪情缘1的贴子】
在哪导入,是在应用程序访问控制中导入吗?
………………
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-26 10:03 | 显示全部 短消息 资料
字号: 6楼

引用:
【Guardian的贴子】高手就是高手,猫叔 顶你
什么时候交小弟我两手,嘻嘻
………………

玩笑了。
这种“雕虫小技”,也就是调侃一下这位不辞辛苦的病毒作者罢了。不必当回事。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-26 17:15 | 显示全部 短消息 资料
字号: 7楼

引用:
【文物2的贴子】
猫叔,这个规则因拒绝对C盘进行访问和修改。引起了windows defender不能正常运行。出现0X80070005错误,也出现Microsoft Windows Serch Indexer停止工作的错误。


猫叔,我目前暂时将C盘的访问,修改,创建权限打开了。因为我考虑会影响打补丁和影响Windows Defender工作。
………………

那几条规则都是针对具体文件的,对其它程序无影响。
至于“禁止在C盘根目录下创建文件”一条,根据不同用户的使用软件的具体情况,会有所不同。具体说:如果正常情况下,你的杀软或某些应用软件需要在C盘根目录下创建文件,那就应该取消这条规则。
如果取消“禁止在C盘根目录下创建文件”,这个帖子的方法无法彻底杜绝“磁碟机”(磁碟机会在C盘根目录下创建病毒文件lsass.exe.随机数字.exe)。请另想办法,
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-26 19:41 | 显示全部 短消息 资料
字号: 8楼

【回复“文物2”的帖子】
process explorer有这功能?
我没用过这个工具.
自己试试吧
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-26 20:04 | 显示全部 短消息 资料
字号: 9楼

引用:
【文物2的贴子】
我还搞不定繁杂的权限.同时我遇到了VISTA,你说过自己不喜欢VISTA的.
………………

汗!
即使用vista,也要等1-2年。
我可不想找麻烦。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-01-29 17:31 | 显示全部 短消息 资料
字号: 10楼

引用:
【从此不想中毒的贴子】联网情况下中磁碟机痊愈中~~~~~~

目前组策略+hips“裸奔”中~~~~~~

等待!

期盼!

渴望!

恳求!

磁碟机最新变种中~~~~~~
………………

用“组策略”防毒,须做好注册表防护(禁止删除HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Hashes和HKEY_LOCAL_MACHINE\SOFTWARE\Policies\Microsoft\Windows\Safer\CodeIdentifiers\0\Paths及其子键),并限制使用mmc.exe。否则,你的“软件限制策略”会被磁碟机删个精光!
gototop
 
<<上一主题|下一主题>>
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT