有空进来讨论下DG4的兼容模式！

显示全部楼层 · 发表于 2012-9-25 06:46:44

从原文上来看，的确是提高安全性的，我翻一遍

FS DG拥有验证受监控进程（防止dll注入）的的能力，所以说监控系统有害进程会变得更简单。
但是，该Dll进程（指前者注入），并不会注入大多数拥有自我保护的程序。

所以在FS套装程序中DG高级进程监视功能被屏蔽，用户必须自己打开。

其实意思就是说DLL进程不会对大多数程序有害，开启高级进程监视正常情况写没什么用处。从这段话来说的确中文版翻译有问题。

P.S:这个工作人员为什么是匈牙利的（Hungary), FS不是芬兰的么，难道是国际的！？

显示全部楼层 · 发表于 2012-9-25 07:31:55

Mrt 发表于 2012-9-25 06:46
从原文上来看，的确是提高安全性的，我翻一遍

FS DG拥有验证受监控进程（防止dll注入）的的能力，所以说 ...

原来如此

显示全部楼层 · 发表于 2012-9-25 08:20:18

本帖最后由消停于 2012-9-25 09:25 编辑

crystalsong08 发表于 2012-9-24 17:13
这年头样本也不好收集了...

在昨天的毒霸扫描样本中我找到了一个有意思的样本：

不管开不开兼容模式，双击运行此样本DG都会弹出拦截提示，

选择开启兼容模式

选择阻止后，样本照样会弹出一个窗口，点击窗口上面的“搜索”按钮，样本开始搜索磁盘

而如果关闭兼容模式

那个搜索按钮就变得无法点击了

样本可以去样本去找http://bbs.kafan.cn/thread-1379536-1-1.html，这个样本太大了！

此外我还用clt测试了一下，用兼容模式的话虽然DG提示阻止，但clt仍然可以运行，最后还得了230分，而关闭兼容模式的话，clt虽然打开了，但却无法进行测试。

显示全部楼层 · 发表于 2012-9-25 10:20:19

本帖最后由 Thummer 于 2012-9-25 14:13 编辑

经过我一番（瞎）测试后，认为软件的翻译和说明没有问题，即以下帮助内的描述正确：

DeepGuard 会临时修改正在运行的程序，以提供最大保护。某些程序会确保自身不遭到损坏或修改，因此可能与该功能不兼容。例如，带有防诈骗工具的在线游戏会在其运行时确保不遭到任何形式的修改。此类情况下，您可开启兼容模式。

1、不打勾，程序运行时会被注入fshook32.dll（或fshook64.dll），描述为HIPS user-mode hooking module。
Handles下会多出这两个：
File, \Device\NamedPipe\__fships_hook_server__, 0xd0
File, \Device\NamedPipe\__fships_injector__, 0xd4

2、打上勾，程序运行后，未发现fshook32.dll（或fshook64.dll）的注入，Handles下也没有发现上述两条XX（怎么说）。

即，打勾后，进入兼容模式，避免出现因为fs的干扰而使某些（防修改）程序无法正常运行的情况。而此时没有了HIPS dll的注入，安全性相对降低。

所以我认为community上的那一位解释有误。

如有不对之处，请指出。

——————————————
补充：
我可能会在虚拟机内的英文xp上查看fs英文版的显示和说明，不过先要让虚拟机内的这个家伙腾出地方
http://bbs.kafan.cn/thread-1379741-1-1.html

——————————————
补充：
这是英文版帮助文件的说明

For maximum protection, DeepGuard temporarily modifies running programs. Some programs check that they are not corrupted or modified and may not be compatible with this feature. For example, online games with anti-cheating tools check that they have not been modified in any way when they are run. In these cases, you can turn on the compatibility mode.

附一张截图

显示全部楼层 · 发表于 2012-9-25 10:22:13

Thummer 发表于 2012-9-25 10:20
经过我一番（瞎）测试后，认为软件的翻译和说明没有问题，即以下帮助内的描述正确：

确实官方社区那个人的回复有所偏差！

显示全部楼层 · 发表于 2012-9-25 12:04:26

消停发表于 2012-9-25 08:20
在昨天的毒霸扫描样本中我找到了一个有意思的样本：

看24L的回复让我感觉是不是官方人员搞混了

显示全部楼层 · 发表于 2012-9-25 12:37:20

crystalsong08 发表于 2012-9-25 12:04
看24L的回复让我感觉是不是官方人员搞混了

我感觉也是！似乎新的套装默认是开启了高级进程监视，而选择兼容模式则是关闭！

显示全部楼层 · 发表于 2012-9-25 12:56:27

消停发表于 2012-9-25 12:37
我感觉也是！似乎新的套装默认是开启了高级进程监视，而选择兼容模式则是关闭！

官方论坛闹乌龙了如果有进程监视之类的软件可以看一下看每个进程有木有那个dll 如果有的话默认高级进程监视就是打开的

显示全部楼层 · 发表于 2012-9-25 12:59:24

crystalsong08 发表于 2012-9-25 12:56
官方论坛闹乌龙了如果有进程监视之类的软件可以看一下看每个进程有木有那个dll 如果有的话默认 ...

有时间我看看

显示全部楼层 · 发表于 2012-9-25 14:22:04

crystalsong08 发表于 2012-9-25 12:56
官方论坛闹乌龙了如果有进程监视之类的软件可以看一下看每个进程有木有那个dll 如果有的话默认 ...

我看了下那个dll并不会插入所有进程，不管是否开启兼容模式，不过开兼容模式与360插件清理没有冲突，关闭的话则会造成系统假死！由于系统假死，所以没法截图，也看不了dll。

[讨论] 有空进来讨论下DG4的兼容模式！

本帖子中包含更多资源

评分

本帖子中包含更多资源

评分

评分