楼主: 墨家小子
收起左侧

[求助] 不知道这样写规则能不能阻止DLL型木马利用系统进程启动

[复制链接]
墨家小子
 楼主| 发表于 2013-11-4 13:34:47 | 显示全部楼层
本帖最后由 墨家小子 于 2013-11-4 13:35 编辑
jml521m 发表于 2013-11-4 13:20
1.注册表规则

全局注册表控制


我现在就用一条规则玩呢 默认的全部取消了,自定义就一条

要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramData\**, C:\Users\XX\AppData\Roaming\360se6\360BDoctor\360BDoctor.exe, C:\Users\XX\AppData\Roaming\360se6\Application\360se.exe, C:\Users\XX\AppData\Roaming\baidu\BaiduYun\AutoUpdate\AutoUpdate.exe, C:\Users\XX\AppData\Roaming\baidu\BaiduYun\baiduyun.exe,C:\Windows\**, System, \\?\C:\Windows\system32\wbem\WMIADAP.EXE
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:all

要是中毒了,请给我报仇
墨家小子
 楼主| 发表于 2013-11-4 13:45:20 | 显示全部楼层
jml521m 发表于 2013-11-4 13:20
1.注册表规则

全局注册表控制

问下 这个怎么排除
2013/11/4        13:43:04        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \\?\C:\Windows\system32\wbem\WMIADAP.EXE        C:\Windows\Prefetch\WMIADAP.EXE-369DF1CD.pf        用户定义的规则:02 封锁非信任区_文件        已阻止的操作: 读取

2013/11/4        13:43:07        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \\?\C:\Windows\system32\wbem\WMIADAP.EXE        C:\Windows\System32\combase.dll        用户定义的规则:02 封锁非信任区_文件        已阻止的操作: 读取
jml521m
发表于 2013-11-4 14:06:10 | 显示全部楼层
墨家小子 发表于 2013-11-4 13:45
问下 这个怎么排除
2013/11/4        13:43:04        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \\?\C:\Windows\sys ...

  直接排除进程名应该就可以...
墨家小子
 楼主| 发表于 2013-11-4 14:28:50 | 显示全部楼层
jml521m 发表于 2013-11-4 14:06
直接排除进程名应该就可以...

是哦 我怎么没想到
shiyuelaohu
发表于 2013-11-4 22:42:29 | 显示全部楼层
墨家小子 发表于 2013-11-4 10:10
多谢指点 人气候补
注册表那个也要分成三个吗?

我记得“要包含的进程”可以写成  A.exe,B.exe,C.exe  的形式,不好意思,手头电脑没有VSE,乃可以建立一个规则测试一下。
jxfaiu
发表于 2013-11-5 07:40:08 | 显示全部楼层
墨家小子 发表于 2013-11-4 13:45
问下 这个怎么排除
2013/11/4        13:43:04        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \\?\C:\Windows\sys ...

内存中的进程绝对途径排除:*\C:\Windows\system32\wbem\WMIADAP.EXE
进程名排除=可以是任意位置,有隐患;
jxfaiu
发表于 2013-11-5 09:24:32 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-11-5 09:38 编辑
墨家小子 发表于 2013-11-4 13:34
我现在就用一条规则玩呢 默认的全部取消了,自定义就一条

要包含的进程:*


要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramData\**, C:\Users\XX\AppData\Roaming\360se6\360BDoctor\360BDoctor.exe, C:\Users\XX\AppData\Roaming\360se6\Application\360se.exe, C:\Users\XX\AppData\Roaming\baidu\BaiduYun\AutoUpdate\AutoUpdate.exe, C:\Users\XX\AppData\Roaming\baidu\BaiduYun\baiduyun.exe,C:\Windows\**, System, \\?\C:\Windows\system32\wbem\WMIADAP.EXE
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:all

个人建议最好分2条规则,以上规则同一进程既排除了执行,又同时排除了写入、创建;因为有些进程只需排除执行就不影响使用(我所说的是绝对途径排除,谁又能保证本地所有进程是绝对值的干净的,当然规则不是单独的)

1,要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:写入 创建

2,要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:执行

本人的XP系统规则:写入 创建 删除 仅以下排除,根本不影响使用,关闭报告;因所有规则都是绝对途径排除,所以没执行规则
规则名称:F-02The Virus-Access Control Of Executable Files入侵控制-系统文件(非全局)
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\csrss.exe, *\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\Sandboxie\SbieSvc.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\regedit.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件操作: 写入 创建 删除
阻挡
墨家小子
 楼主| 发表于 2013-11-5 09:37:19 | 显示全部楼层
shiyuelaohu 发表于 2013-11-4 22:42
我记得“要包含的进程”可以写成  A.exe,B.exe,C.exe  的形式,不好意思,手头电脑没有VSE,乃可以建立一 ...

多谢多谢 已经弄好了
墨家小子
 楼主| 发表于 2013-11-5 09:37:46 | 显示全部楼层
jxfaiu 发表于 2013-11-5 07:40
内存中的进程绝对途径排除:*\C:\Windows\system32\wbem\WMIADAP.EXE
进程名排除=可以是任意位置,有隐患 ...

多谢大大指点
墨家小子
 楼主| 发表于 2013-11-5 09:41:29 | 显示全部楼层
jxfaiu 发表于 2013-11-5 09:24
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramDat ...

这样分成两条排除会不会麻烦点?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:07 , Processed in 0.085659 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表