针对魔方的技术的一些问题以及暂时解决办法

zzz37394853

      估计看到标题大伙们都不知道我说什么。是这样的。我看到有卡友发表主题：（桌面快捷方式删除不了）自己已找到原因，是魔方自己植入！后突然心血来潮。下载个最新版的魔方，先试试上面那个标题所陈述的内容看看会不会创建hao123桌面图标，结果很满意。因为我的桌面设置了权限。所以魔方无法创建这个图标，甚至还导致美化大师卡死。之后我发现原来魔方有了个新功能，说什么魔方守护？？里面有个浏览器主页保护，因为以前的魔方在优化设置大师里面也会修改IE主页，而以前那个魔方的这个行为我用权限保护把注册表设置了权限给阻止了。就想试试这次行不行，结果…………悲剧，IE浏览器马上变成了hao123。我顿感不可思议，看了下注册表，却发现里面的数值并没有修改。这就怪了……无论是IE程序也好，注册表也好，图标也好。均已经设置了权限，魔方究竟是利用了什么处理的呢？
       根据这个思路，我启动了卡巴斯基的交互式保护，并取消掉了信任具有数字签名的应用程序，删掉魔方的应用规则。这下好了，一个一个窗口跳出来。我一个一个的看，之后终于找到了魔方修改主页的地方。c:\users\administrator\appdata\roaming\tweakcube3\winguard.exe正在尝试将代码注入进程中。就是这个东西启动注入explorer.exe里，一旦点击允许，主页马上修改。我刚开始尝试根据路径找到winguard.exe并权限为阻止，只允许读取权限。并设置所有者为system。以前这个办法可以阻止其它程序修改指定程序的权限，可是我再次打开魔方后却发现主页仍然是hao123。我看了下winguard.exe权限，发现原先设置的everyone权限已经被自动删除。这就让我困惑了。而我重新创建everyone权限并设置完全拒绝后魔方才修改不了。当然，若利用本地安全策略的软件限制策略也可以阻止它运行。
       现在是可以阻止魔方修改主页了，但是却因此滋生了2个问题。求高手们解答。
第一，有什么办法可以阻止别的程序修改指定程序的权限呢？以前可以设置everyone权限并设置所有者为system以达到对方无法修改权限的目的，可是现在这个办法貌似没效果。该如何彻底阻止修改权限呢？
第二，关于卡巴提示的“正在尝试将代码注入进程中。”这个东西如何不利用第三方软件，而是靠系统本身的安全措施来阻止呢？毕竟魔方就可以做到这些，以后别的软件比如XXX软件或者木马病毒也利用这个东西修改主页那我之前关于主页设置的措施岂不是都是白设置么？

---

抱歉，本区禁止采用攻击性的用词。
本次帮你编辑掉，下次严肃按版规处理。
另外，规范的文本有助于更容易的让他人读懂楼主的目地，本次稍稍帮你编辑了一下

yloko留

SK云少

编辑掉,唉,可以试着学习下组策略,貌似组策略可以,不过我不会
如果不是因为组策略太复杂,通用性差,完全可以靠它打造无敌防御!

展示一下

楼主探索精神可嘉啊，我也用魔方，不过我下载的是绿色版，解压缩之后把不用的程序都删了，如升级程序，主程序等。

a330391

下载魔方后在魔方守护那里都X掉就行了，不要使用魔方守护就不会修改主页的。

假装、也虚伪

魔方现在越做越XXXX，好久不用了。

---

抱歉，本区禁止采用攻击性的用词。
本次帮你编辑掉，下次严肃按版规处理。

yloko留来自: Android客户端

keyoushi

噢~~~~话说介么多年来偶素一直挺稀饭魔方滴.....一直都在用，木有觉得有神马不对头的.....话说介么多年来偶每次设置浏览器主页，都素hao123.com....哪个小流氓敢改了老纸的主页抓住切鸡鸡~

adair

貌似文件夹的权限高于文件的权限，楼主试试把文件夹的权限也作同样修改看看
楼主如果用管理员登陆，那么只要你可以修改权限，你开的进程也可以，除非把它降权

zzz37394853

adair 发表于 2013-1-12 14:26
貌似文件夹的权限高于文件的权限，楼主试试把文件夹的权限也作同样修改看看
楼主如果用管理员登陆，那么只 ...

果然有效呢。我研究了下，魔方是先把“所有者”改回Administrator然后再把everyone给删除掉

zzz37394853

SK云少 发表于 2013-1-12 02:29
编辑掉,唉,可以试着学习下组策略,貌似组策略可以,不过我不会
如果不是因为组策略太复杂,通用性差,完全可以 ...

组策略太多了……………………

真小读者

【直播】巧用火绒套装活捉魔方修改IE主页的行为，与防御修改IE主页的方法。_国内杀毒软件讨论区_反病毒区 卡饭论坛 - 互助分享 - 大气谦和!
http://bbs.kafan.cn/thread-1438721-1-2.html