关于 墨大 墨池McAfee 8.8 P2返璞规则 64位 的一点疑问

jml521m

墨家小子 发表于 2013-5-3 23:17
吼吼吼。。。进入PE借助Diagnostics and Recovery Toolset 杀掉锁屏木马的启动项就可以
你说的那个不是锁 ...

  问题是我的PE 版本过低  无法访问系统盘几个特殊的文件夹。。。 最简单的方法就是删除其喽

这个是启动项指引的地址C:\Windows\System32\rundll32.exe C:\PROGRA~2\0bfol.dat,FG00


你说谁的方法简单？？？  不用介入任何工具就搞定哦

墨家小子

jml521m 发表于 2013-5-3 23:20
问题是我的PE 版本过低  无法访问系统盘几个特殊的文件夹。。。 最简单的方法就是删除其喽

这个是启 ...

不多说了，困了，明天你去样本区找找类似的样本，有HIPS测试的运行报告
明天聊啊

jml521m

墨家小子 发表于 2013-5-3 23:23
不多说了，困了，明天你去样本区找找类似的样本，有HIPS测试的运行报告
明天聊啊

呵呵    明天聊， 晚安

墨池

从防毒的角度，
规则名称：封锁非信任区_注册表
要包含的进程：*
要排除的进程：*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.exe, *\C:\Windows\system32\winlogon.exe, C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**, D:\Program Files (x86)\**, D:\Program Files\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\Program Files (x86)\**, E:\Program Files\**, E:\工具\**, System
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除

有其它规则的配合，注册表这一条规则就够了。

想细致控制，可以启用相关默认规则，甚至添加一些自定义规则。

诚如所言，软件安装时一般需要关闭规则，该改的已经完成，完成后再启动规则，正常使用就不用在添加排除了。

墨家小子

墨池 发表于 2013-5-8 10:50
从防毒的角度，
规则名称：封锁非信任区_注册表
要包含的进程：*

感谢墨大的解疑
我的本意是“C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**, D:\Program Files (x86)\**, D:\Program Files\**”这里面的程序还是需要加以控制，防止Program Files里的程序被病毒利用添加启动项，就如一楼的“java.exe ”被木马利用添加启动项，但是启用防御启动项被添加的默认规则带来的问题就是因此不便于白程序添加启动项也会被拦截……两难了