5.8 可以攔截病毒修改文件隱藏屬性了。

显示全部楼层 · 发表于 2011-10-20 12:07:28

本帖最后由 a256886572008 于 2011-10-20 12:08 编辑

mxf147 发表于 2011-10-20 11:47
日志里已经出现调用Attrib了

你可以允許他調用，看看單用這條規則，能否阻止全局隱藏文件。

\Device\KsecDD

如果不能，這條規則可以丟掉了。

直接換成 ?:\* 還比較實用。

显示全部楼层 · 发表于 2011-10-20 12:08:51

a256886572008 发表于 2011-10-20 12:07
你可以允許他調用，看看單用這條規則，能否阻止全局隱藏文件。

\Device\KsecDD

\Device\KsecDD这一条我是故意保留的，为了用这个弹窗来选择程序规则

显示全部楼层 · 发表于 2011-10-20 12:10:03

a256886572008 发表于 2011-10-20 12:07
你可以允許他調用，看看單用這條規則，能否阻止全局隱藏文件。

\Device\KsecDD

我把那一大堆Device\ip、Device\Net*之类的的去掉了，好烦人，保留两个控制联网的就够了

显示全部楼层 · 发表于 2011-10-20 12:10:33

mxf147 发表于 2011-10-20 12:08
\Device\KsecDD这一条我是故意保留的，为了用这个弹窗来选择程序规则

access service control manager 也可以

显示全部楼层 · 发表于 2011-10-20 12:12:52

本帖最后由 a256886572008 于 2011-10-20 12:13 编辑

mxf147 发表于 2011-10-20 12:10
我把那一大堆Device\ip、Device\Net*之类的的去掉了，好烦人，保留两个控制联网的就够了

\Device\KsecDD

外國人說，這條可以防禦 GPcode 病毒。

但是，我認為，連個全局刪除文件的 .bat腳本都無法攔截，還建議官方默認增加這條作什麼

显示全部楼层 · 发表于 2011-10-20 12:14:41

添加?:/*又不开沙盘，安装未知程序时点弹窗一定点到手软

显示全部楼层 · 发表于 2011-10-20 12:16:12

用户名不存在发表于 2011-10-20 12:14
添加?:/*又不开沙盘，安装未知程序时点弹窗一定点到手软

所以，我第1步就寫了，開 auto sandbox

显示全部楼层 · 发表于 2011-10-20 12:19:05

a256886572008 发表于 2011-10-20 12:12
\Device\KsecDD

外國人說，這條可以防禦 GPcode 病毒。

允许调用Attrib后，就要看Attrib的权限了

这个还需要加强

显示全部楼层 · 发表于 2011-10-20 12:22:51

a256886572008 发表于 2011-10-20 12:16
所以，我第1步就寫了，開 auto sandbox

所以对我这种不喜欢沙盘的人，用不了这个，只能重点防御了

显示全部楼层 · 发表于 2011-10-20 12:24:14

a256886572008 发表于 2011-10-20 12:16
所以，我第1步就寫了，開 auto sandbox

这也是手动的弊端，选择错了，就要承担后果

[讨论] 5.8 可以攔截 病毒修改文件隱藏屬性了。