瑞星卡卡安全论坛技术交流区反病毒/反流氓软件论坛 用瑞星2008“应用程序访问控制”挡住“磁碟机”

12   1  /  2  页   跳转

用瑞星2008“应用程序访问控制”挡住“磁碟机”

收藏
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 16:15 | 显示全部 短消息 资料
字号: 1楼

用瑞星2008“应用程序访问控制”挡住“磁碟机”

附件1中是定义好的瑞星2008“应用程序访问规则”,针对磁碟机目前所有变种的。这套规则仅针对系统装在C盘的单分区系统,因为我的电脑只有一个分区。多分区系统用户,可仿此思路,自己动手,完善一下这套规则。
不会定义瑞星2008“应用程序访问规则”的朋友,下载附件1后,将其解压到桌面。再按照附件2中图1-图4操作,将其导入瑞星2008“应用程序访问规则”,在单分区的电脑,即可有效抵抗目前所见的磁碟机变种。
注意:“禁止在当前用户_启动目录下创建文件”那条规则的路径名是我自己的,别人导入此规则后,需要根据自己电脑的实际情况,改一下“当前用户名”(您的当前用户名不大可能也是baohelin)。
附件1:AppCtrl.xml

[用户系统信息]Opera/9.26 (Windows NT 5.1; U; zh-cn)

附件附件:

下载次数:272
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-2 16:15:23
描述:

最后编辑2008-03-16 01:48:51
分享到:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 16:17 | 显示全部 短消息 资料
字号: 2楼

附件2中图6-图8是在此套规则存在条件下,仅开着瑞星2008“应用程序访问控制”,运行磁碟机最新变种的防御效果。病毒运行后,仅创建图8所示的两个文件,无其它文件生成,也无感染文件动作。按照图6-图7结束那个lsass.exe.随机数字.exe进程,删除那两个文件即可。
我的电脑并无D分区。针对D分区的那两个规则,只是为多分区用户定义规则提供个参考而已。

附件2:操作顺序参考及防御效果。

附件附件:

下载次数:248
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-2 16:17:06
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 16:36 | 显示全部 短消息 资料
字号: 3楼

引用:
【networkedition的贴子】是否适用于已感染磁碟机病毒的电脑?
………………

已经感染的电脑,这套规则恐怕没用。

可以试试将下面附件中的RunCtrl.xml导入“程序启动控制”,重启,试试看。

附件附件:

下载次数:242
文件类型:application/octet-stream
文件大小:
上传时间:2008-3-2 16:36:48
描述:
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 16:57 | 显示全部 短消息 资料
字号: 4楼

引用:
【天月来了的贴子】(您的当前用户名不大可能也是baohelin)

呵呵!!!

每次看猫的贴

都有一种快乐的心情

好有趣



………………


没办法撒~~~

哪怕你有一点点说得不到位,就会有人抱怨。我不愿意上传自己的规则,主要原因就在这儿。
瑞星2008也有缺陷——————定义规则时,不支持变量路径,不支持通配符。如果这两个问题解决了,相信会有更多人对瑞星的主防感兴趣。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 17:04 | 显示全部 短消息 资料
字号: 5楼

引用:
【天月来了的贴子】在瑞星的主动防御越来越撑住不倒的情况下。

不知道为什么瑞星公司就不想更新升级这缺陷呢??

我怀疑是为了2009年能再推出新的瑞星留点后路吧

如果今年就推出这个支持变量路径,支持通配符,那2009年就没得玩了。
………………

变量路径,通配符————也能作为“卖点”
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 17:14 | 显示全部 短消息 资料
字号: 6楼

引用:
【天天泡泡的贴子】

正这么做着呢,瑞星的套装还配个SSM

………………

好久不见你了!
一向可好?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 17:23 | 显示全部 短消息 资料
字号: 7楼

引用:
【天天泡泡的贴子】【回复“baohe”的帖子】
猫叔,好啊。一直在向您学习呢,感觉自己的步伐越来越慢了,呵呵,已经有点跟不上形势了。工作很忙,在这里都有点惭愧了。

最近怎么样呢?


………………

还好!
那场大雪,你那里灾情很严重吧?
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-02 17:27 | 显示全部 短消息 资料
字号: 8楼

引用:
【天月来了的贴子】
是啊

在2008年总结出一些主防上的经验以后,

再到2009年推出内置的,用户还可以修改的规则。

这时为了用户方便,就使用变量路径,通配符咯

就象XP系统内置组策略一样。
………………

看来————你是块奸商的料啊
赚钱才是最重要的
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-03 11:04 | 显示全部 短消息 资料
字号: 9楼

引用:
【sssp的贴子】杀毒软件的主动防御可以和ssm一起打开的吗

不是有功能重复的地方
………………

杀毒软件的主动防御可以和ssm一起打开——————我一直就这么用。
gototop
 
baohe
头像
大版主
  • 帖子:72578
  • 注册: 2003-04-10
  • 来自:
年度优秀版主奖端午辟邪香囊卡卡名人堂就爱不长大论坛9周年纪念09欢乐圣诞十周年年度风云人物2012我眼中的你们茶馆劳模瑞星金牌用户十一周年勋章
发表于: 2008-03-03 11:15 | 显示全部 短消息 资料
字号: 10楼

引用:
【sssp的贴子】晕

我一直都没敢放在一起用

亏了




………………

请注意主动防御的具体设置。
“系统加固”那块,我没取那种BT设置(高级用户),而是用推荐的默认级别。
gototop
 
<<上一主题|下一主题>>
12   1  /  2  页   跳转
页面顶部
Powered by Discuz!NT