默认规则里explorer拥有最高权限，你能放心吗？

显示全部楼层 · 发表于 2011-10-24 18:58:08

不懂得表示相信毛豆的研发人员

显示全部楼层 · 发表于 2011-10-24 19:00:07

h8888 发表于 2011-10-24 18:39
不与你争论，误导和引导意思相近，公道自在人心。

他说的是默认规则被穿越了。
手动最高的话，我想除非能突破驱动。

显示全部楼层 · 发表于 2011-10-24 19:00:42

h8888 发表于 2011-10-24 18:33
你却经常说旧版不安全，用新版才行，这到底那句才对？

意思是说病毒要运行explorer.exe，这个动作旧版都能发现。
但是发现不代表旧版比新版好，新版在易用性上比旧版好。
并且有些技术，旧版是没有的。

显示全部楼层 · 发表于 2011-10-24 19:59:22

利用explorer.exe做坏事，要么是explorer.exe的命令行参数，要么是创建远程线程插dll。利用explorer.exe的命令行参数能干的事是有限的，这取决于explorer.exe本身能干什么。创建远程线程插dll倒是可以胡作非为，但是任何一款hips都可以拦截这么明显的行为吧。

显示全部楼层 · 发表于 2011-10-24 20:08:32

chncwk 发表于 2011-10-24 16:17
在办公电脑上这是不可能的，很多政府部门下发的软件……
上次你说过一万六的问题，是国产软件在作怪吗？

是迅雷的问题，不知道它是不是在美国那里设有服务器。

显示全部楼层 · 发表于 2011-10-24 22:30:59

h8888 发表于 2011-10-24 18:36
如果你是毛豆的发烧友，建议用3.14版或4.0版，最好不要用5.0-5.8版。

嘿嘿，他是新版发烧友！

显示全部楼层 · 发表于 2011-10-25 09:11:26

a256886572008 发表于 2011-10-24 18:12
.cpl 並沒有執行 explorer.exe 呀。

手動 HIPS，病毒執行 explorer.exe，舊版都能發現了。

可是毕竟有系统进程被执行而没被监测到的情况，所以对一些系统进程进行限制不是完全没必要的

显示全部楼层 · 发表于 2011-10-25 09:15:31

chncwk 发表于 2011-10-24 19:00
他说的是默认规则被穿越了。
手动最高的话，我想除非能突破驱动。

软件本生的漏洞，规则是完全无效的。

拿cpl这种情况说下，5.8之前的版本没有监测到它执行系统进程的动作，弹得都是被执行的系统进程的程序，假如被执行的是最核心的系统进程那你的规则还有用吗？（除非你连系统最核心的进程也限制掉）

显示全部楼层 · 发表于 2011-10-25 13:18:26

搞不清楚，先这么用吧

显示全部楼层 · 发表于 2011-10-26 22:44:57

本帖最后由我是UD 于 2011-10-26 22:45 编辑

explorer没有被替换、感染、注入、修改内存前就是一个安全的程序，信任了没事的
除非你需要做出额外的权限限制
-------------
需要补充一下调用

[讨论] 默认规则里explorer拥有最高权限，你能放心吗？