涩涩猪帮忙一下！

显示全部楼层 · 发表于 2011-7-10 14:13:49

帮我叫下咖啡storyhare

问他3、规则名称：禁止非信任程序修改Program Files文件

要包含的进程：*.*

要排除的进程: ××××××

要阻止的文件或文件名: **

要禁止的文件操作: 创建写删除

该规则，控制了程序归软件运行文件的修改权限（阻止了，病毒感染入侵Program Files文件）

4、规则名称：禁止非信任程序修改WINDOWS文件……这两条用和不用差别在哪？前面两条不是全局禁运和禁止修改（只读）吗？方便详解下吗？对了你发的这贴很精彩，我还要慢慢看。呵

显示全部楼层 · 发表于 2011-7-10 14:14:50

除了无奈……没其他形容词。

显示全部楼层 · 发表于 2011-7-10 14:19:34

如果方便的话提供一下你的测毒信息，我想知道，病毒是想要感染哪些文件，因为我的系统组排除满了！不够用

显示全部楼层 · 发表于 2011-7-10 14:25:51

我和他说了

显示全部楼层 · 发表于 2011-7-10 14:41:50

462588842 发表于 2011-7-10 14:14
除了无奈……没其他形容词。

恩，其实，在后面不是有举例IE为说明吗？？那就再仔细说明吧：“禁止修改”规则，阻止了对所有文件的修改，但，对于全局而言，要排除的进程，必然是相当多的，这就造成“无赖”地把一些相对不是很安全的程序（如IE，迅雷等）给赋予了全局修改权限，那么为了到达对系统的进一步保护（限制不是很安全的程序对重要文件的行为），规则3、4便为此产生了/（这套规则中：1与2是程序全局梯度权限，3与4是程序的不同文件区的梯度权限）

显示全部楼层 · 发表于 2011-7-10 14:50:24

462588842 发表于 2011-7-10 14:19
如果方便的话提供一下你的测毒信息，我想知道，病毒是想要感染哪些文件，因为我的系统组排除满了！不够用

恩，主要对象有3个：1、创建并替换系统本身的重要进程（svchost等，不过咖啡的默认规则中已有相关防护--禁止伪装Windows进程） 2、替换并调用IE等进程（病毒常用IE创建和替换系统文件） 3、根目录创建病毒文件，用于感染u盘等（后两个，在我的规则中已有相关防护）（以上，主要是破坏性病毒的行为）

显示全部楼层 · 发表于 2011-7-10 14:57:19

storyhare 发表于 2011-7-10 14:41
恩，其实，在后面不是有举例IE为说明吗？？那就再仔细说明吧：“禁止修改”规则，阻止了对所有文件的修 ...

如果只分禁系统组和软件组……那你的3,4是不是就成了“虚设”？还是有必要再加进3.4？因为我发现排除几乎一样！所以……

显示全部楼层 · 发表于 2011-7-10 14:57:59

涩涩的猪发表于 2011-7-10 14:25
我和他说了

谢谢！哈哈

显示全部楼层 · 发表于 2011-7-10 15:00:16

462588842 发表于 2011-7-10 14:57
如果只分禁系统组和软件组……那你的3,4是不是就成了“虚设”？还是有必要再加进3.4？因为我发现排除几乎 ...

呃，你说的“排除几乎一样”是指3和4还是1、2、3、4？？

显示全部楼层 · 发表于 2011-7-10 15:14:08

storyhare 发表于 2011-7-10 15:00
呃，你说的“排除几乎一样”是指3和4还是1、2、3、4？？

我表达可能错了，我是说一二是禁全局是吧？那有必要再保护（*\Program Files*\**）（C:\Windows\**）吗？这里面不是在一二中全排除了吗？

[讨论] 涩涩猪帮忙一下！

评分

评分

评分

评分