查看: 3876|回复: 8
收起左侧

[求助] 这些怎样方便的排除,绝对路径吗?

[复制链接]
jgfhy
发表于 2012-9-26 12:09:28 | 显示全部楼层 |阅读模式

2012/9/25        22:31:16        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Local\Google\Update\Install\{0B51391A-9B1D-40D7-86BA-D8E5AAB17070}\GoogleUpdateSetup.exe        C:\Program Files\GUM6C5B.tmp\goopdate.dll        用户定义的规则:病毒入侵控制        已阻止的操作: 创建
2012/9/25        23:29:20        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe        C:\Windows\System32\shdocvw.dll        用户定义的规则:可执行区域控制        已阻止的操作: 执行
2012/9/25        23:29:20        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\BackupDLTmp\Download\QQPhotoDrawExSetupForQQ.exe        C:\Windows\System32\sechost.dll        用户定义的规则:可执行区域控制        已阻止的操作: 执行
2012/9/25        23:29:28        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe        C:\Windows\System32\shdocvw.dll        用户定义的规则:可执行区域控制        已阻止的操作: 执行
2012/9/25        23:29:28        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\BackupDLTmp\Download\P2PSetup.exe        C:\Windows\System32\sechost.dll        用户定义的规则:可执行区域控制        已阻止的操作: 执行
2012/9/25        23:29:37        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\SetupEx~0\QQSetupEx.exe        C:\Windows\System32\shdocvw.dll        用户定义的规则:可执行区域控制        已阻止的操作: 执行
2012/9/25        23:29:38        已由访问保护规则禁止         JinGang-PC\JG        C:\Users\JG\AppData\Roaming\Tencent\QQ\STemp\BackupDLTmp\Download\VideoMsgInstall.exe        C:\Windows\System32\sechost.dll        用户定义的规则:可执行区域控制        已阻止的操作: 执行
2012/9/26        12:03:39        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Program Files\Common Files\Microsoft Shared\IME14\SHARED\IMEDICTUPDATE.EXE        C:\Windows\WindowsUpdate.log        用户定义的规则:系统文件控制        已阻止的操作: 写入
storyhare 该用户已被删除
发表于 2012-9-26 12:22:25 | 显示全部楼层
呃,看着像之前,我写过的规则......

就像最好我所建议的:尽量使用【文件名】排除。

至于理由:我已用反证法,证明了:目前在具有完备性规则的前提下,没有任何实验证据说明【文件名排除】不安全;且,在“广义”上,该排除最方便而安全。

呃,详细的各种【排除方案对比】点击




回到,主题;各种排除看自己吧。只有尝试了各种排除,并验证了其各种“性能”后,选择适合自己的吧。


评分

参与人数 1经验 +5 收起 理由
心跳回忆 + 5 感谢解答: )

查看全部评分

jgfhy
 楼主| 发表于 2012-9-26 12:30:53 | 显示全部楼层
storyhare 发表于 2012-9-26 12:22
呃,看着像之前,我写过的规则......

就像最好我所建议的:尽量使用【文件名】排除。

你的Rule-IIX-Stone(Final)规则
比如直接这样排除吗?:GoogleUpdateSetup.exe
QQSetupEx.exe
QQPhotoDrawExSetupForQQ.exe
那如果白加黑伪装成这样的去调用呢?
storyhare 该用户已被删除
发表于 2012-9-26 13:02:44 | 显示全部楼层
本帖最后由 storyhare 于 2012-9-26 13:04 编辑
jgfhy 发表于 2012-9-26 12:30
你的Rule-IIX-Stone(Final)规则
比如直接这样排除吗?:GoogleUpdateSetup.exe
QQSetupEx.exe


恩,的确应该有这样的考虑.....

而且,的确有这么的一种情况发生:下载一个【.exe】(规则中并没有限制.exe的创建),而后该【.exe】下载相应的【.dll】(因为本地是有规则限制.dll创建的;只能使用在该规则排除中的程序下载,即【伪装的.exe】).....

---

这版(Rule-IIX-Stone(Final)),是没有限制【.exe】,不得不说这是一个不小的漏洞(至于为什么没有补上该漏洞,值得思考~)

之前,该版规则的前身:Rule-IIX-Dev(开发版本),是有这么一条规则的:

规则名称:The Virus-Access Control Of Executable Files-EXE
要包含的进程:*
要排除的进程:FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名:*.exe
要禁止的文件操作:创建 写入

这条规则,可以限制【白加黑】的入侵,因为无法在本地创建非法的.exe(当然有一个前提:排除要相对严格)

---

回到该规则:仅使用了一条【病毒入侵控制】(完整版的,还有.exe);只为了一个原因——相比【.dll】不怎么会有操作(除了软件安装和更新),而【.exe】会经常被各种使用(下载、复制等)。

即:该版规则有一个默认的前提——不能安装和更新软件。(包括你给出日志中的Chrome更新)【但,可以系统更新】

更新时,请相信你的软件,关闭规则!


storyhare 该用户已被删除
发表于 2012-9-26 13:15:18 | 显示全部楼层
jgfhy 发表于 2012-9-26 12:30
你的Rule-IIX-Stone(Final)规则
比如直接这样排除吗?:GoogleUpdateSetup.exe
QQSetupEx.exe

另外,你可以尝试一下:在保持原版本规则排除的前提下,在本地【创建】并【运行】白加黑.......

可以预见,是无法创建【.dll】,至于那个伪装成【GoogleUpdateSetup.exe】、【QQSetupEx.exe】等文件,是一个概率;而后利用以上文件下载【.dll】又是另一个概率。   2者的概率和,可以预见:很小!  

最重要的:严格控制排除!(我说过的:更多的时候,排除比规则本身还重要)

不要排除QQSetupEx.exe这类文件。在安装或更新时,关闭规则即可(除非你不能够确保这时,本地是否有伪装文件)
jgfhy
 楼主| 发表于 2012-9-26 13:18:22 | 显示全部楼层
storyhare 发表于 2012-9-26 13:02
恩,的确应该有这样的考虑.....

而且,的确有这么的一种情况发生:下载一个【.exe】(规则中并没有限 ...

感谢解答!学习了
storyhare 该用户已被删除
发表于 2012-9-26 13:19:26 | 显示全部楼层
jgfhy 发表于 2012-9-26 12:30
你的Rule-IIX-Stone(Final)规则
比如直接这样排除吗?:GoogleUpdateSetup.exe
QQSetupEx.exe

怎么说呢.......如果你实在想要排除,便使用路径吧,这样可以很大程度上,拦截伪装。

---

呃.....畅想一句:文件名排除,是一种境界~~~(【绝对路径排除】,是本人“彻底”倡导并使用的;而现在......自己却成了【文件名】派)

shiyuelaohu
发表于 2012-9-26 15:40:18 | 显示全部楼层
个人感觉对付白加黑,最重要的还是靠人脑,因为白加黑最容易发作的时候是安装软件的时候,而安装软件的时候恰恰是关闭规则的时候,所以……,最重要的是保证软件是从正规渠道而来。除非杀软引擎够给力,直接报黑dll,我记得铁壳区有人曾经说过家庭版咖啡对付白加黑是很给力的,直接报黑dll,比360的qvm还要稳定。
另外,如果楼主不放心,可以建立一个全局禁运dll的规则,谨慎排除即可。

评分

参与人数 1人气 +1 收起 理由
storyhare + 1 感谢解答: )

查看全部评分

jgfhy
 楼主| 发表于 2012-9-26 16:22:28 | 显示全部楼层
shiyuelaohu 发表于 2012-9-26 15:40
个人感觉对付白加黑,最重要的还是靠人脑,因为白加黑最容易发作的时候是安装软件的时候,而安装软件的时候 ...

感谢解答
好的习惯加上人脑判断
软件保证正规渠道下载,运行之前看看文件的大小是否有问题,明明几十m的软件,下下来只有几kb,肯定有问题,在看看数字签名。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 07:38 , Processed in 0.128494 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表