这些怎样方便的排除，绝对路径吗？

显示全部楼层 · 发表于 2012-9-26 12:09:28

2012/9/25 22:31:16 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Local\Google\Update\Install\{0B51391A-9B1D-40D7-86BA-D8E5AAB17070}\GoogleUpdateSetup.exe C:\Program Files\GUM6C5B.tmp\goopdate.dll 用户定义的规则:病毒入侵控制已阻止的操作: 创建
2012/9/25 23:29:20 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe C:\Windows\System32\shdocvw.dll 用户定义的规则:可执行区域控制已阻止的操作: 执行
2012/9/25 23:29:20 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\BackupDLTmp\Download\QQPhotoDrawExSetupForQQ.exe C:\Windows\System32\sechost.dll 用户定义的规则:可执行区域控制已阻止的操作: 执行
2012/9/25 23:29:28 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe C:\Windows\System32\shdocvw.dll 用户定义的规则:可执行区域控制已阻止的操作: 执行
2012/9/25 23:29:28 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\BackupDLTmp\Download\P2PSetup.exe C:\Windows\System32\sechost.dll 用户定义的规则:可执行区域控制已阻止的操作: 执行
2012/9/25 23:29:37 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe C:\Windows\System32\shdocvw.dll 用户定义的规则:可执行区域控制已阻止的操作: 执行
2012/9/25 23:29:38 已由访问保护规则禁止 JinGang-PC\JG C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\BackupDLTmp\Download\VideoMsgInstall.exe C:\Windows\System32\sechost.dll 用户定义的规则:可执行区域控制已阻止的操作: 执行
2012/9/26 12:03:39 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Program Files\Common Files\Microsoft Shared\IME14\SHARED\IMEDICTUPDATE.EXE C:\Windows\WindowsUpdate.log 用户定义的规则:系统文件控制已阻止的操作: 写入

显示全部楼层 · 发表于 2012-9-26 12:22:25

呃，看着像之前，我写过的规则......

就像最好我所建议的：尽量使用【文件名】排除。

至于理由：我已用反证法，证明了：目前在具有完备性规则的前提下，没有任何实验证据说明【文件名排除】不安全；且，在“广义”上，该排除最方便而安全。

呃，详细的各种【排除方案对比】：点击

回到，主题；各种排除看自己吧。只有尝试了各种排除，并验证了其各种“性能”后，选择适合自己的吧。

显示全部楼层 · 发表于 2012-9-26 12:30:53

storyhare 发表于 2012-9-26 12:22
呃，看着像之前，我写过的规则......

就像最好我所建议的：尽量使用【文件名】排除。

你的Rule-IIX-Stone（Final）规则
比如直接这样排除吗？：GoogleUpdateSetup.exe
QQSetupEx.exe
QQPhotoDrawExSetupForQQ.exe
那如果白加黑伪装成这样的去调用呢？

显示全部楼层 · 发表于 2012-9-26 13:02:44

本帖最后由 storyhare 于 2012-9-26 13:04 编辑

jgfhy 发表于 2012-9-26 12:30
你的Rule-IIX-Stone（Final）规则
比如直接这样排除吗？：GoogleUpdateSetup.exe
QQSetupEx.exe

恩，的确应该有这样的考虑.....

而且，的确有这么的一种情况发生：下载一个【.exe】（规则中并没有限制.exe的创建），而后该【.exe】下载相应的【.dll】（因为本地是有规则限制.dll创建的；只能使用在该规则排除中的程序下载，即【伪装的.exe】）.....

---

这版（Rule-IIX-Stone（Final）），是没有限制【.exe】，不得不说这是一个不小的漏洞（至于为什么没有补上该漏洞，值得思考～）

之前，该版规则的前身：Rule-IIX-Dev（开发版本），是有这么一条规则的：

规则名称：The Virus-Access Control Of Executable Files-EXE
要包含的进程：*
要排除的进程：FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名：*.exe
要禁止的文件操作：创建写入

这条规则，可以限制【白加黑】的入侵，因为无法在本地创建非法的.exe（当然有一个前提：排除要相对严格）

---

回到该规则：仅使用了一条【病毒入侵控制】（完整版的，还有.exe）；只为了一个原因——相比【.dll】不怎么会有操作（除了软件安装和更新），而【.exe】会经常被各种使用（下载、复制等）。

即：该版规则有一个默认的前提——不能安装和更新软件。（包括你给出日志中的Chrome更新）【但，可以系统更新】

更新时，请相信你的软件，关闭规则！

显示全部楼层 · 发表于 2012-9-26 13:15:18

jgfhy 发表于 2012-9-26 12:30
你的Rule-IIX-Stone（Final）规则
比如直接这样排除吗？：GoogleUpdateSetup.exe
QQSetupEx.exe

另外，你可以尝试一下：在保持原版本规则排除的前提下，在本地【创建】并【运行】白加黑.......

可以预见，是无法创建【.dll】，至于那个伪装成【GoogleUpdateSetup.exe】、【QQSetupEx.exe】等文件，是一个概率；而后利用以上文件下载【.dll】又是另一个概率。 2者的概率和，可以预见：很小！

最重要的：严格控制排除！（我说过的：更多的时候，排除比规则本身还重要）

不要排除QQSetupEx.exe这类文件。在安装或更新时，关闭规则即可（除非你不能够确保这时，本地是否有伪装文件）

显示全部楼层 · 发表于 2012-9-26 13:18:22

storyhare 发表于 2012-9-26 13:02
恩，的确应该有这样的考虑.....

而且，的确有这么的一种情况发生：下载一个【.exe】（规则中并没有限 ...

感谢解答！学习了

显示全部楼层 · 发表于 2012-9-26 13:19:26

jgfhy 发表于 2012-9-26 12:30
你的Rule-IIX-Stone（Final）规则
比如直接这样排除吗？：GoogleUpdateSetup.exe
QQSetupEx.exe

怎么说呢.......如果你实在想要排除，便使用路径吧，这样可以很大程度上，拦截伪装。

---

呃.....畅想一句：文件名排除，是一种境界～～～（【绝对路径排除】，是本人“彻底”倡导并使用的；而现在......自己却成了【文件名】派）

显示全部楼层 · 发表于 2012-9-26 15:40:18

个人感觉对付白加黑，最重要的还是靠人脑，因为白加黑最容易发作的时候是安装软件的时候，而安装软件的时候恰恰是关闭规则的时候，所以……，最重要的是保证软件是从正规渠道而来。除非杀软引擎够给力，直接报黑dll，我记得铁壳区有人曾经说过家庭版咖啡对付白加黑是很给力的，直接报黑dll，比360的qvm还要稳定。
另外，如果楼主不放心，可以建立一个全局禁运dll的规则，谨慎排除即可。

显示全部楼层 · 发表于 2012-9-26 16:22:28

shiyuelaohu 发表于 2012-9-26 15:40
个人感觉对付白加黑，最重要的还是靠人脑，因为白加黑最容易发作的时候是安装软件的时候，而安装软件的时候 ...

感谢解答
好的习惯加上人脑判断
软件保证正规渠道下载，运行之前看看文件的大小是否有问题，明明几十m的软件，下下来只有几kb，肯定有问题，在看看数字签名。

[求助] 这些怎样方便的排除，绝对路径吗？

评分

评分