本帖最后由 hujiwa 于 2011-1-23 09:56 编辑
第一部分:前言 本文若无特殊说明,均讨论阻止某进程。本文以xp sp3实机环境进行试验,win7,vista不清楚。 第二部分:通配符
我在c:\丢上一个ccleaner.exe,顺便把它改成2.exe
| ?:\?.exe | 拦截失败 | | C:\?.exe | 拦截失败 | | C:\*.exe | 拦截失败 | | C:\2.exe | 拦截成功 |
然后?:\?.exe,C:\?.exe,C:\*.exe前面的图标全变成2.exe(ccleaner)的图标。删除C:\2.exe这个规则,图标还是没改。再双击2.exe,可以运行。 第三部分:快捷键
偶想全选下上面的规则,ctrl+A不成功;
按住ctrl来选择,不成功。
选中第一个,再shift,再选中最后一个,还没没能全选
--------------------------------------------------------------------------------------------------------------------------------------------
第四部分:加驱
咱来试验个加驱的。
上xuetr
C:\Xuetr.exe,偶双击,拦截成功~
咱来改一下大小写。
C:\XuEtR.exe,偶双击,拦截成功
--------------------------------------------------------------------------------------------------------------------------------------------
第五部分:环境变量
实验下环境变量。。我把xuetr.exe放在如下位置。 (我这系统盘为C,如果系统盘为D,则 %SystemDrive%表示 D:\,依次类推)
%SystemDrive%——表示 C:\
%AllUsersProfile%——表示 C:\Documents and Settings\All Users
%UserProfile%——表示 C:\Documents and Settings\当前用户名
%AppData%——表示 C:\Documents and Settings\当前用户名\Application Data
%Temp% 和 %Tmp%——表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles%——表示 C:\Program Files
%CommonProgramFiles%——表示 C:\Program Files\Common Files
%WinDir%——表示 C:\WINDOWS
结果——全部拦截失败~
--------------------------------------------------------------------------------------------------------------------------------------------
第六部分:实用举例 这件事情让我苦思了三天,本来准备了不少于百条规则,但是只有一个解释——用在红伞主防上不好用,不实用!所以我简单举些例子,大家可以拿红伞限制软件的开机启动进程等等。 以下为本人电脑上的路径,请自行变通。 例子1:限制搜狗进程
D:\Program Files\SogouInput\5.1.1.4880\ImeUtil.exe <——如果想用红伞限制搜狗的,请自行修改“5.1.1.4880”部分,
D:\Program Files\SogouInput\5.1.1.4880\PinyinUp.exe
D:\Program Files\SogouInput\5.1.1.4880\SogouCloud.exe
D:\Program Files\SogouInput\5.1.1.4880\SohuNews.exe 其实搜狗拼音神马exe都可以禁止的
例子2:禁止语言栏(ctfmon.exe)
C:\windows\system32\ctfmon.exe <——禁止语言栏是我个人喜好。因为偶这只有一个搜狗输入法,用shift切换,压根用不到语言栏。开机启动项里面我直接把它省了。
例子3:禁止危险系统进程(照抄自深红的雪的规则,为微软建议进行限制的程序)
c:\windows\system32\regedit.exe
c:\windows\system32\arp.exe
c:\windows\system32\at.exe
c:\windows\system32\attrib.exe
c:\windows\system32\cacls.exe
c:\windows\system32\debug.exe
c:\windows\system32\edlin.exe
c:\windows\system32\eventcreate.exe
c:\windows\system32\eventtriggers.exe
c:\windows\system32\ftp.exe
c:\windows\system32\nbtstat.exe
c:\windows\system32\net.exe
c:\windows\system32\net1.exe
c:\windows\system32\netsh.exe
c:\windows\system32\netstat.exe
c:\windows\system32\nslookup.exe
c:\windows\system32\ntbackup.exe
c:\windows\system32\rcp.exe
c:\windows\system32\reg.exe
c:\windows\system32\regedt32.exe
c:\windows\system32\regini.exe
c:\windows\system32\regsvr32.exe
c:\windows\system32\rexec.exe
c:\windows\system32\route.exe
c:\windows\system32\rsh.exe
c:\windows\system32\sc.exe
c:\windows\system32\secedit.exe
c:\windows\system32\subst.exe
c:\windows\system32\systeminfo.exe
c:\windows\system32\telnet.exe
c:\windows\system32\tftp.exe
c:\windows\system32\tlntsvr.exe
56楼反对意见:
某些系統進程不應使用AVIRA PROACTIV阻止由期是
REGSVR32.EXE(此為注冊.DLL時必須的檔案,如禁止時當需要安裝軟件/需要使用其他程式包括為WINDOWS安裝其他功能將會失敗)
NETSH.EXE為網路控制項
如果紅傘WEBGUARD出現任何錯誤時,需要調用此程序對WINSOCKS進行重設
c:\windows\system32\ntbackup.EXE為系統內建的備份程式
偶的观念是红伞主防连用的别去用它,红伞其他:网页防护、防火墙也别去用它。
上面大陆对岸的仁兄说的东东,我电脑上是从没动用过的。我明摆地说了,偶是抄来的。
--------------------------------------------------------------------------------------------------------------------------------------------
第七部分:推荐禁止开机启动,但不推荐禁运
下面,偶意思是不用主防、hips之类的禁运掉它。但推荐阻止它们开机启动。偶碰到一个写一个。之所以写这部分,以来实用,二来为我今后的文章先做草稿。
例子1:禁止盛大下载器开机启动
D:\Program Files\盛大网络\盛大下载器\sdDown.exe——菜单——系统设置——去掉“开机自动运行”前的√
--------------------------------------------------------------------------------------------------------------------------------------------
第八部分:其他可执行文件 我在桌面丢了个1.reg,红伞创建相应规则后,应用确定,双击,拦截失败。
--------------------------------------------------------------------------------------------------------------------------------------------第九部分:总结
红伞主防目前只支持一字不差的绝对路径规则。本人对红伞主防的评价是:几乎一无是处,纯粹的鸡肋一个。
-------------------------------------------------------------------------------------------------------------------------------------------
第十部分:意见与期待
作为一个hips和组策略玩家而言,红伞的主防实在是弱不可言。
1.希望支持?和*这两兄弟
2.希望支持批量导入导出规则
3.希望支持快全选捷键
4.希望支持三击这种选中方式
5.待定
--------------------------------------------------------------------------------------------------------------------------------------------
第十一部分:牢骚 最近卡饭服务器太不给力了,我好不容易写完全文,一保存,保存失败。害的我重写全文。 目前篇幅略比我之前缩水,因为心情太受打击了。 -------------------------------------------------------------------------------------------------------------------------
第十二部分:更新日志 2010年12月19日——2010年12月24日:beta 2010年12月30日: 实用举例部分新增:禁止语言栏和危险系统进程
新增:“前言”部分,“推荐开机启动,但不推荐禁运”部分 2011年1月22日:第九部分新增一句话。 2011年1月23日:新增56楼反对观点,及我的回复等。——偶从气流规则上抄的规则,自己还没琢磨过
-----------------------------------------------------------------------------------------------------------------------
第n部分:打劫
[:27:]
| 
[复制链接]
发表于 2010-12-19 21:30:05
楼主
