旧版致命bug及h8888的不良意图

footman

秋月的私语 发表于 2012-1-1 13:01
想到了旧版解决cpl漏洞的方法，你到现在才想到么。。
另外，还要防止可信任的程序以及各种可能的情 ...

加入被拦截后，信任文件也不能产生cpl文件。


还有你们既然想到干嘛不说，藏着掖着算什么？况且我不用旧版，没必要为旧版想bug的解决方法，既然想到了就拿来分享了

秋月的私语

巴山冷箭 发表于 2012-1-1 13:03
记得当时我做那规则防御CPL时,系统内核程序,开关机钩子,资源管理及毛豆组成一个封闭的四边型,除
指定的程 ...

这个方法跟我的思想是一致的，反正就是要防止任何新的cpl文件产生，而且要坚守这倒防线。。
不然，确实容易悲剧，一旦陌生的cpl文件生成在本地，就相当危险了

footman

巴山冷箭 发表于 2012-1-1 13:03
记得当时我做那规则防御CPL时,系统内核程序,开关机钩子,资源管理及毛豆组成一个封闭的四边型,除
指定的 ...

还是直接拦截简单，不过用已知bug的软件还是不放心，不知道是否还有类似cpl漏洞的bug的存在

秋月的私语

footman 发表于 2012-1-1 13:06
加入被拦截后，信任文件也不能产生cpl文件。

嘛，我以为大家都知道么。。
况且，好像这里大家都在讨论新版，所以我也没专门说这个问题，说旧版感觉容易被人鄙视啊。。
而且，话说回来，这也是个权宜之计，并不能很好地解决问题，比如在特别的情况下（监控被手动关掉的时候）产生了陌生的cpl文件，那也是悲剧的，毕竟老板的毛豆监测不到cpl的运行这个是比较致命的，所以呢，这个也不算完美的解决办法，只是一种补充和预防措施。

巴山冷箭

另外  NTFS系统本身就可以补足这个不完善的地方   我也忽略过了  

footman

秋月的私语 发表于 2012-1-1 13:10
嘛，我以为大家都知道么。。
况且，好像这里大家都在讨论新版，所以我也没专门说这个问题，说旧版 ...

说解决方法怎么会被鄙视，又不是空洞的大话。技术探讨就算是旧的也是好的，只要不是空洞的、没实际意义的大话

秋月的私语

对了，你那个拦截的方法是不好的，因为“控制面板”功能全部用不了了，还是“防止新的cpl文件产生比较好”，全局设置里设置阻止，这样既可以使用控制面板等功能，又可以阻止新的cpl产生。

footman

巴山冷箭 发表于 2012-1-1 13:10
另外  NTFS系统本身就可以补足这个不完善的地方   我也忽略过了

这种方法对新手完全不适合，方法要大众化，易被大家接受的才是好方法

footman

秋月的私语 发表于 2012-1-1 13:13
对了，你那个拦截的方法是不好的，因为“控制面板”功能全部用不了了，还是“防止新的cpl文件产生比较好”， ...

win7  没问题


那就在规则最顶上添加一条 *的全局规则，全部询问，文件访问那 例外阻止*.cpl

秋月的私语

footman 发表于 2012-1-1 13:16
win7  没问题

xp党就是这么解决的
*的全局规则，全部询问，文件访问那 例外阻止*.cpl

顺便说一下，还要限制可信任进程甚至系统进程。。我说了这个不是几句话就能说清楚的。。。
有空再详细说明吧，因为要注意的问题还是挺多的，要把漏洞堵好的话。