查看: 2099|回复: 6
收起左侧

[讨论] 关于wow64.dll 配置

[复制链接]
solly0880
发表于 2013-1-26 20:05:33 | 显示全部楼层 |阅读模式
win8 64位系统
我配置了全局dll控制也就是*.dll禁止删除 创建 写 执行,只放行我希望的文件夹和程序,
但是我在下载程序安装的时候如果不是原生64位软件 ,软件就会调用wow64.dll这个dll,
但是我如果把quanju dll 禁用的话,就不知道这软件安装的时候有没有对其他的dll 做修改 删除或者其他动作,
有什么办法可以丹巴吧wow64dll这个dll 给放行吗?
2013/1/26        18:56:33        已由访问保护规则禁止         solly-pc\solly        C:\Users\solly\Downloads\TxtEBookReader.exe        C:\Windows\System32\wow64.dll        用户定义的规则:012 全自动保护 DLL 禁止恶意注入        已阻止的操作: 执行
lhx1984
发表于 2013-1-26 20:14:37 | 显示全部楼层
我用的是32位的。没有遇到这个问题。
aolu
发表于 2013-1-26 20:50:09 | 显示全部楼层
如何配置规则,不知道.我不用企业版.

MSDN说,在64 位操作系统上,.NET Framework 1.0和1.1生成的应用程序都被视为32位应用程序,并在32位公共语言运行库(CLR)上的WOW64下运行,例如Visual Studio 2005是32位程序,在64 位Windows上就在WOW64下运行.假如你下载的程序或这个程序的安装程序是32位,或使用了.NET Framework 1.0和1.1,都会启动WOW64.dll.如何监控它,大概要到mafee的技术网站找解决办法.
jml521m
发表于 2013-1-26 21:15:35 | 显示全部楼层
本帖最后由 jml521m 于 2013-1-26 21:48 编辑

那规则只能这样编辑
规则名称:可执行区域控制
包含进程:×
排除进程:“ 根据自己需要对那些排除添加”
建议排除"C:\Program Files (x86)\**, C:\Program Files\**,C:\Windows\**"
要阻止文件文件名
*.dll
要禁止的文件操作:
     执行

建议加一条监听规则

规则名称:DLL文件监听控制(仅报告,不启用)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入

如果添加读取的话日志会很多

但就此一条完全不够安全添加其他操作配合控制。。。 只是想归楼主问题而言


如果想了解什么什么进程访问了wow64.dll  那么只需要设置一条监听规则


规则如下

名称:监听wow64.dll调用

包含:×
排除:无
要阻止的文件文件名
wow64.dll

要禁止的文件操作:

根据你的需求,可以选择 读取 删除 等等都勾选,但最重要的是只“报告”不启用。。



solly0880
 楼主| 发表于 2013-1-26 21:22:24 | 显示全部楼层
..我的意识是。。只放行程序对wow64.dll访问,其他的dll 我全部得控制
jml521m
发表于 2013-1-26 21:36:57 | 显示全部楼层
本帖最后由 jml521m 于 2013-1-26 21:40 编辑
solly0880 发表于 2013-1-26 21:22
..我的意识是。。只放行程序对wow64.dll访问,其他的dll 我全部得控制


   如果想让别人知道你的回复请点击对话框下的“回复”,否则 别人无法得知。。 请注意。。。。
4楼已修改,请查看,单一的一条规则无法实现。。。只能排除可执行程序。。。或者是我的推荐安装目录都排除,使用其他规则加以控制。。。
aolu
发表于 2013-1-27 23:50:31 | 显示全部楼层
jml521m 发表于 2013-1-26 21:36
如果想让别人知道你的回复请点击对话框下的“回复”,否则 别人无法得知。。 请注意。。。。
4楼已 ...

"单一的一条规则无法实现。。。"

赞同jml521m的观点.

LZ想实现的功能是:
1监控Wow64.dll的活动,了解哪些exe或dll是它启动的.
2对了解到的exe或dll执行操作(放行或阻止).
这是个两级操作,用第一级的输出作为第二级的输入.如果企业版的功能不支持将第一个规则的输出作为第二个规则的输入,就只能自己写代码,将第一个规则的结果传给第二个规则.通常这种代码不难写,关键是如何调用主程序内部功能,需要mafee技术人员提供信息.了解这方面信息的高手大多在官方网站活动,要去官网请他们帮忙.早年腾讯QQ传输文件,一次只能传一个,后来网上出了个能一次最多传10个文件的脚本,就是高手在腾讯技术人员帮助下做的.也有人说就是腾讯内部技术人员自己做的.
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 22:48 , Processed in 0.126348 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表