瑞星卡卡安全论坛技术交流区入侵防御(HIPS) 用好主动防御,从注册表监控开始,防病毒

1   1  /  1  页   跳转

用好主动防御,从注册表监控开始,防病毒

用好主动防御,从注册表监控开始,防病毒

流程如图

用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1) ; CIBA; MAXTHON 2.0)
最后编辑aaccbbdd 最后编辑于 2008-07-11 08:20:02
分享到:
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒

木马会操作的注册表项目

1. 木马服务注册表项目
HKEY_LOCAL_MACHINE\SYSTEM\Controlset\Services\
HKEY_LOCAL_MACHINE\SYSTEM\Controlset001\Services\
HKEY_LOCAL_MACHINE\SYSTEM\Controlset002\Services\
2.木马自启动注册表项目
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\Run
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunOnceEX
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunServices
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunOnce
HKEY_LOCAL_MACHINE\Software\Microsoft\Windos\CurrentVersion\RunServicesOnce
HKEY_LOCAL_USER\Software\Microsoft\Windos\CurrentVersion\Run
HKEY_LOCAL_USER\Software\Microsoft\Windos\CurrentVersion\RunOnce
HKEY_LOCAL_USER\Software\Microsoft\Windos\CurrentVersion\RunServices
3.内核级木马加载项目
HKEY_LOCAL_MACHINE\Software\Microsoft\WindosNT\Currentversion\Winlogon\Userinit
HKEY_LOCAL_MACHINE\Software\Microsoft\WindosNT\Currentversion\Winlogon\Shell
HKEY_LOCAL_MACHINE\Software\Microsoft\WindosNT\Currentversion\Winlogon\System
4.文件关联
可能被病毒修改用于启动病毒的
HKEY_CLASSES_Root\.exe
HKEY_CLASSES_Root\.com
HKEY_CLASSES_Root\.bat
HKEY_CLASSES_Root\.VBS
HKEY_CLASSES_Root\.JS
HKEY_CLASSES_Root\.JSE
HKEY_CLASSES_Root\.WSF
HKEY_CLASSES_Root\.WSH
HKEY_CLASSES_Root\.Pif
HKEY_CLASSES_Root\.INk
HKEY_CLASSES_Root\.scr
HKEY_CLASSES_Root\.txt
HKEY_CLASSES_Root\.ini



欢迎各位专家指出错误
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒



引用:
原帖由 lovert 于 2008-7-11 13:43:00 发表
楼主
可否解释一下为啥要去掉那几个对勾啊?去掉了的话会导致怎样的后果呢?谢谢 
 

不去的话
瑞星的主动防御会导致
在进行正常的操作会弹一车皮提示
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒



引用:
原帖由 woaiku 于 2008-7-12 15:13:00 发表
不错,,正好学习一下怎么设置主动防御的规则

没这么简单
这个最好也搞上,要用启动控制
省的病毒利用后台打开IE
下载病毒
对*.EXE启动IE提示
可惜
瑞星不支持


无语中。。。。。。。。。。。。。。。。。
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒

13楼我写错了
看图
瑞星能通过应用程序启动控制限制病毒后台打开Ie下载病毒
看图
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒



引用:
原帖由 印度小三三 于 2008-7-15 14:34:00 发表
很多病毒都是次无忌惮修改注册表导致杀不了或系统瘫痪

不怕影响性能的话
主动防御里的都设为高级
一般就没问题了
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒



引用:
原帖由 蛛蛛随便 于 2008-7-25 11:34:00 发表
我来加一个
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
这项是映象劫持

瑞星的规则里有
gototop
 

回复: 用好主动防御,从注册表监控开始,防病毒



引用:
原帖由 炫Oo逍遥oO 于 2008-7-19 20:11:00 发表
不检测SYS...
RS被结束进程,一切YY..


瑞星的系统加固里有
gototop
 
1   1  /  1  页   跳转
页面顶部
Powered by Discuz!NT