楼主: 墨家小子
收起左侧

[求助] 元旦。。。。好,请教一个问题,大家都用什么规则克制远控的

[复制链接]
墨家小子
 楼主| 发表于 2014-1-1 22:20:04 | 显示全部楼层
风爱朴2 发表于 2014-1-1 19:10
禁止加载陌生位置dll,如桌面。。

那它要是把黑dll复制到C:\Program Files里面再运行怎么办?
风爱朴2
发表于 2014-1-1 22:57:12 | 显示全部楼层
墨家小子 发表于 2014-1-1 22:20
那它要是把黑dll复制到C:\Program Files里面再运行怎么办?

*.dll所有程序只允许读,对写和创建阻止,就是所谓的封锁dll。
jxfaiu
发表于 2014-1-2 08:32:06 | 显示全部楼层
本帖最后由 jxfaiu 于 2014-1-2 09:02 编辑
墨家小子 发表于 2014-1-1 22:18
http://bbs.kafan.cn/thread-1673079-1-1.html
你试试看,拦截日志贴一下


McAfee VSE+JPF2.0.26正版

双击图片1,允许通讯(拒绝访问网络)

进程C权限(仅允许:写入到应用程序内存,创建隐藏窗口,控制系统服务;其余拒绝)

弹窗:

接着调用:ACDSee



双击图片2,

当然VSE规则未曾全开报告;

VSE规则全开报告;双击图片1,弹窗

日志:调用其它进程注入
2014-1-2        8:54:39        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\system32\rundll32.exe        C:\Documents and Settings\Administrator\Application Data\foxreader.dll        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建
2014-1-2        8:54:43        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe        C:\WINDOWS\System32\rundll32.exe        用户定义的规则:F-23The Access Control Of Of Script Files访问控制-rundll32.exe(非全局)        已阻止的操作: 读取
2014-1-2        8:54:43        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\Program Files\Jetico\Jetico Personal Firewall\jpf.exe        C:\WINDOWS\System32\rundll32.exe        用户定义的规则:F-23The Access Control Of Of Script Files访问控制-rundll32.exe(非全局)        已阻止的操作: 读取


VSE规则全开报告;双击图片2,弹窗

日志:
2014-1-2        8:59:19        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\system32\rundll32.exe        \REGISTRY\USER\S-1-5-21-436374069-1454471165-1644491937-500\Software\Microsoft\Windows\CurrentVersion\Run\Update        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
2014-1-2        8:59:20        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\system32\rundll32.exe        C:\WINDOWS\setupapi.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
2014-1-2        8:59:20        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\system32\rundll32.exe        \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\RunOnce\GrpConv        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
 楼主| 发表于 2014-1-2 10:17:39 | 显示全部楼层
风爱朴2 发表于 2014-1-1 22:57
*.dll所有程序只允许读,对写和创建阻止,就是所谓的封锁dll。

规则怎么写
求详细
墨家小子
 楼主| 发表于 2014-1-2 10:21:37 | 显示全部楼层
jxfaiu 发表于 2014-1-2 08:32
McAfee VSE+JPF2.0.26正版

双击图片1,允许通讯(拒绝访问网络)

你这是默认规则拦截的吧

2014-1-2        8:54:39        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\system32\rundll32.exe        C:\Documents and Settings\Administrator\Application Data\foxreader.dll        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 创建

2014-1-2        8:59:20        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\system32\rundll32.exe        C:\WINDOWS\setupapi.log        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入
jxfaiu
发表于 2014-1-2 10:37:04 | 显示全部楼层
本帖最后由 jxfaiu 于 2014-1-2 10:42 编辑
墨家小子 发表于 2014-1-2 10:21
你这是默认规则拦截的吧


规则的使用要看你所掌握的排除度:不影响使用绝不排除;
XP系统排除:
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\AutoCAD 2004\acad.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡
jxfaiu
发表于 2014-1-2 11:02:30 | 显示全部楼层
本帖最后由 jxfaiu 于 2014-1-2 11:04 编辑
墨家小子 发表于 2014-1-2 10:17
规则怎么写
求详细

如:禁止远程创建/修改可执行文件和配置文件规则已排除,下面规则拦截:
规则名称:The Virus-Access Control Of Executable Files入侵控制-dll(非全局)
要包含的进程:*
要排除的进程:C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe
要阻止的文件或文件夹名:**.dll
要禁止的文件操作:写入 创建
阻挡
墨家小子
 楼主| 发表于 2014-1-2 11:52:29 | 显示全部楼层
jxfaiu 发表于 2014-1-2 11:02
如:禁止远程创建/修改可执行文件和配置文件规则已排除,下面规则拦截:
规则名称:The Virus-Access Contr ...

你这个太狠了
规则名称:The Virus-Access Control Of Executable Files入侵控制-dll(非全局)
就用这一个行不行?
Miostartos
发表于 2014-1-2 11:59:23 | 显示全部楼层
墨家小子 发表于 2014-1-2 11:52
你这个太狠了
规则名称:The Virus-Access Control Of Executable Files入侵控制-dll(非全局)
就用这 ...

火狐姐
拦截rundll32.exe联网
是不是只是特定程序会打不开或者报错呢?
我目前拦截了rundll32.exe联网没有遇到什么问题的感觉
jml521m
发表于 2014-1-2 12:23:22 | 显示全部楼层
墨家小子 发表于 2014-1-2 11:52
你这个太狠了
规则名称:The Virus-Access Control Of Executable Files入侵控制-dll(非全局)
就用这 ...

我看此条只有在病毒未写入时起效,如果病毒已经写入,还需要其他规则进行拦截,那么像你经常测试病毒,那么必须要写入后执行,那么只能防御往关键位置的复制以及替换,从整体来说还是存在安全隐患的.....
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 09:41 , Processed in 0.104020 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表