讨论一下最近比较火的正常exe加载病毒dll

yjwfdc

z13667152750 发表于 2012-3-9 14:18
可是hips因为这些exe是白文件直接放行了

所以我提到需要以最小权限来设定规则,但是即使这样也会自动 ...

hips没有白文件的.
云hips规则不需要很严,很松已经够了.

z13667152750

yjwfdc 发表于 2012-3-9 14:28
hips没有白文件的.
云hips规则不需要很严,很松已经够了.

没有白文件如何区分正确的dll文件和非正常的dll文件?

如何防护dll劫持?

yjwfdc

z13667152750 发表于 2012-3-9 14:29
没有白文件如何区分正确的dll文件和非正常的dll文件?

如何防护dll劫持?

hips不区分黑白文件,只区分恶意行为和正常行为.

UDady

sanhu35 发表于 2012-3-8 14:02
模块检查的防火墙不多啊，国内貌似就瑞星有 金山网盾防火墙有（这个已经停止开发了）。

瑞星2012beta有的，可是虚拟内存占用太高了导致系统假死

lzd1996

这个不好说，自己注意点好，不用杀软监视，毕竟“病毒永远走在杀软前面”

z13667152750

yjwfdc 发表于 2012-3-9 14:32
hips不区分黑白文件,只区分恶意行为和正常行为.

同样 的行为,可以是恶意也可以是正常 的

比如写启动项,未知文件写启动项你肯定阻止,但是如果是暴风,甚至是金山的exe写启动项你也拦截?

这不是白名单是什么?

yjwfdc

z13667152750 发表于 2012-3-9 17:58
同样 的行为,可以是恶意也可以是正常 的

比如写启动项,未知文件写启动项你肯定阻止,但是如果是暴风,甚 ...

这不叫白名单,白名单是什么行为都不阻止,删除explorer都不阻止的,而hips不会这样.

并且除了某些安全软件允许写启动项外,其它所有软件写启动项都是阻止的.

s0s020000

国外的只有本土化好一点的比如卡巴反应还算迅速，诺顿的话……给官方上报了官方都迟迟不入库，不知道他们怎么想的

z13667152750

yjwfdc 发表于 2012-3-9 18:11
这不叫白名单,白名单是什么行为都不阻止,删除explorer都不阻止的,而hips不会这样.

并且除了某些安全 ...

这种利用白文件exe加载dll,可以让hips以为是正常的白文件exe在执行某些行为,而不是未知程序在执行,我不相信你对已知白文件的规则和未知程序一样严密

而且没有白名单的主防只能个人使用,实际上绝大部分用户的电脑即使有安全软件的主防保护,同时也是有着非常大的白名单

1341767532

现在微点查杀dll很猛的。