关于360的主防。。。

显示全部楼层 · 发表于 2012-3-10 15:41:35

本帖最后由氦氖氩氪氙氭于 2012-3-10 22:13 编辑

时间操作说明次数
11:58:43 已允许记录键盘操作 1
详细描述：
进程：C:\Program Files\Internet Explorer\iexplore.exe
动作：记录键盘操作
路径：
11:51:45 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice\[Progid]
注册表内容：ChromePlusHTML
进程：C:\Users\John\AppData\Local\Temp\CR_ED5B5.tmp\setup.exe
12-03-09 已清除发现木马：HEUR/Malware.QVM06.Gen 1
详细描述：
木马名称：HEUR/Malware.QVM06.Gen
所在路径：C:\USERS\JOHN\APPDATA\LOCAL\TEMP\RAR$EXA0.204\PHOTOSHOP_CS3_SC.CN.EXE
12-03-09 自动阻止进程创建 1
详细描述：
进程：E:\PROGRAM FILES\WINRAR\WINRAR.EXE
动作：进程创建
路径：C:\USERS\JOHN\APPDATA\LOCAL\TEMP\RAR$EXA0.204\PHOTOSHOP_CS3_SC.CN.EXE
12-03-09 已恢复 U盘隐藏文件夹 1
详细描述：
已恢复显示：I:\RECYCLER

12-03-09 已清除 U盘可疑文件 1
详细描述：
已清除：I:\RECYCLER\S-5-3-42-2819952290-8240758988-879315005-3665\jwgkvsq.vmx

12-03-09 已清除 U盘可疑文件 1
详细描述：
已清除：I:\autorun.inf
12-03-08 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice\[Progid]
注册表内容：KChromeBrowserHTML
进程：C:\Users\John\AppData\Roaming\KChrome\setup.exe
12-03-06 已阻止记录键盘操作 1
详细描述：
进程：C:\Program Files\Internet Explorer\iexplore.exe
动作：记录键盘操作
路径：
12-03-06 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Clients\StartMenuInternet\[]
注册表内容：
进程：C:\Users\John\AppData\Local\Temp\setup.exe
12-03-06 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\Shell\Associations\UrlAssociations\ftp\UserChoice\[Progid]
注册表内容：ChromePlusHTML
进程：C:\Users\John\AppData\Local\Temp\CR_98342.tmp\setup.exe
12-03-06 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.htm\UserChoice\[Progid]
注册表内容：Max3.Association.HTML
进程：C:\Program Files\Maxthon3\Bin\Maxthon.exe
12-03-05 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Classes\HTTP\SHELL\[]
注册表内容：se
进程：C:\Program Files\SogouExplorer\sogouexplorer.exe
12-03-05 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Software\Clients\StartMenuInternet\[]
注册表内容：FIREFOX.EXE
进程：C:\Users\John\AppData\Local\Temp\7zS1822.tmp\setup.exe
12-03-05 已允许修改默认浏览器设置 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Classes\.shtml\[]
注册表内容：shtmlfile
进程：C:\Users\John\AppData\Local\Temp\MozillaFirefox\setup.exe
12-03-04 已允许记录键盘操作 1
详细描述：
进程：D:\Games\rFactor\tvmenu.exe
动作：记录键盘操作
路径：
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：C:\Program Files\Common Files\Thunder Network\TP\Ver1\1.1.2.99_1111\ThunderPlatform.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：C:\Users\John\AppData\Local\360Chrome\Chrome\Application\360chrome.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：E:\Program Files\Tencent\QQ\Bin\QQExternal.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：E:\Program Files\Tencent\QQ\Bin\TXPlatform.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：E:\Program Files\Tencent\QQ\Bin\QQ.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：E:\Program Files\ESET Smart Security\egui.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：C:\Windows\explorer.exe
12-03-04 已阻止远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：C:\Windows\System32\dwm.exe
12-03-04 已允许远程线程注入 1
详细描述：
进程：D:\Games\rFactor\rFactor Dedicated.exe
动作：远程线程注入
路径：C:\Windows\System32\taskhost.exe
12-03-02 自动阻止记录键盘操作 1
详细描述：
进程：D:\Games\rFactor\tvmenu.exe
动作：记录键盘操作
路径：
12-03-02 已允许远程线程注入 1
详细描述：
进程：C:\Users\John\AppData\Local\Temp\~e5.0001
动作：远程线程注入
路径：D:\Games\rFactor\rFactor.exe
12-02-29 已允许修改系统环境变量 1
详细描述：
注册表位置：HKEY_CURRENT_USER\Environment\[PT5HOME]
注册表内容：e:\Program Files\Cisco Packet Tracer 5.3
进程：C:\Users\John\AppData\Local\Temp\is-49SO6.tmp\PacketTracer53_setup.tmp
12-02-29 已允许修改开机启动项 1
详细描述：
注册表位置：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run\[vmware-tray]
注册表内容："E:\Program Files\VMware\vmware-tray.exe"
进程：C:\Windows\System32\msiexec.exe

这些是360卫士木马防火墙的记录，那个键盘记录的是卸载枫树浏览器后弹出的调查问卷
我想问下的是以上记录真正涉及到主防的有多少？我看上去基本都是注册表之类的嘛。。
我上网习惯好不上乱七八糟的网站，即便下载有病毒，网盾和NOD32杀软也会报。。
因为现在在金山卫士和360卫士之间那么的徘徊，我看金山也有弹窗的，问你是否允许修改之类的。。
而且也有U盘，注册表之类的防护。。就是没主防。。
但360卫士有时候会弹窗说某某游戏文件无数字签名之类的。。。
求教导。。。谢谢了。。

显示全部楼层 · 发表于 2012-3-10 16:33:54

注册表修改同样是主动防御的防御部分。
一般来说，主动防御包括以下几个层面：
　　AD(Application Defend)应用程序防御体系
　　RD(Registry Defend)注册表防御体系
　　FD(File Defend)文件防御体系
所以关于注册表修改的拦截也是主动防御的范围。

金山卫士没有主动防御，但是金山毒霸有。金山卫士的防御是比较基本的，就是为了配合其他杀软。如果你想是用NOD32，就没必要找一个有HIPS（主动防御）的辅助软件，因为它自己就有了

显示全部楼层 · 发表于 2012-3-10 16:41:31

如果不喜欢弹窗的话可以设置成免打扰模式啊
楼上也说了，Nod32有自己的主防
上网习惯好的话卫士辅助就行了，清理个垃圾，打个补丁什么的

显示全部楼层 · 发表于 2012-3-10 18:43:33

xcffl 发表于 2012-3-10 16:33
注册表修改同样是主动防御的防御部分。
一般来说，主动防御包括以下几个层面：
　　AD(Application Defen ...

我的NOD32是4.2版本的。。5.0的有主防暂时不用，所以目前用360卫士的主防来保护。。有两个问题请问下，驱动加载是属于那一类的保护？？还有就是金山卫士和360卫士的注册表防护有多大差异啊？谢谢了~

显示全部楼层 · 发表于 2012-3-10 18:45:00

282283961 发表于 2012-3-10 16:41
如果不喜欢弹窗的话可以设置成免打扰模式啊
楼上也说了，Nod32有自己的主防
上网习惯好的话卫士辅助就行了 ...

我用的是NOD32的4.2无主防版本。。。以前也拿金山卫士搭配过NOD32。。。因为就是看金山木有主防，心理感觉不是很安全。。。才换掉的。。。

显示全部楼层 · 发表于 2012-3-10 19:55:12

氦氖氩氪氙氭发表于 2012-3-10 18:43
我的NOD32是4.2版本的。。5.0的有主防暂时不用，所以目前用360卫士的主防来保护。。有两个问题请问下，驱 ...

差异不会太大，只不过金山卫士为了兼容，可能不会像360那样直接拦截操作，而是对操作先允许，然后针对用户的选择在修改。
驱动加载的拦截貌似不属于主动防御把

显示全部楼层 · 发表于 2012-3-10 20:14:01

氦氖氩氪氙氭发表于 2012-3-10 18:43
我的NOD32是4.2版本的。。5.0的有主防暂时不用，所以目前用360卫士的主防来保护。。有两个问题请问下，驱 ...

加载驱动属于AD范畴

显示全部楼层 · 发表于 2012-3-10 20:33:38

氦氖氩氪氙氭发表于 2012-3-10 18:45
我用的是NOD32的4.2无主防版本。。。以前也拿金山卫士搭配过NOD32。。。因为就是看金山木有主防，心理感觉 ...

没有主防的话就360吧，联网状态下基本安全

显示全部楼层 · 发表于 2012-3-10 20:41:55

fovfinal 发表于 2012-3-10 20:14
加载驱动属于AD范畴

好的。。。谢谢~

显示全部楼层 · 发表于 2012-3-10 20:45:02

氦氖氩氪氙氭发表于 2012-3-10 20:41
好的。。。谢谢~

而且记住，加驱往往是很少见（一般是安全软件才有的），而且危险系数极高的行为。

[其他] 关于360的主防。。。

评分