请问卡巴如何设置才能防VBS啊

ALEXBLAIR

不过，还是有点问题啊
我做了这个测试

1. c:\>md test
   
2. c:\>cd test
   
3. c:\test>md cmd.exe
   
4. c:\test>cmd.exe
   
5. Microsoft Windows XP [版本 5.1.2600]
   
6. (C) 版权所有 1985-2001 Microsoft Corp.

复制代码

文件夹并不能解决问题

深红的雪

这个嘛，首先你要搞清楚是哪个程序调用了cmd.exe

你那个批处理中，调用cmd.exe实际上是explorer.exe

深红的雪

如果你在windows目录下也建一个cmd.exe的文件夹就应该可以阻止了

ALEXBLAIR

原帖由 rappar 于 2007-12-18 20:17 发表
如果你在windows目录下也建一个cmd.exe的文件夹就应该可以阻止了

测试的结果是这样的，文件夹还是不可以解决问题，但是同名文件可以解决。
测试方法如下

1. G:\Program Files\Internet Explorer>dir c* /ad
   
2. 驱动器 G 中的卷没有标签。
   
3. 卷的序列号是 F0AF-3001
   
4. 
   
5. G:\Program Files\Internet Explorer 的目录
   
6. 
   
7. 2007-12-18  20:20              cmd.exe
   
8. 2006-12-19  02:22              Connection Wizard
   
9. 2007-12-18  20:07              cscript.exe
   
10.                0 个文件              0 字节
    
11.                3 个目录  2,255,486,976 可用字节
    
12. 
    
13. G:\Program Files\Internet Explorer>dir %windir%\c* /ad
    
14. 驱动器 G 中的卷没有标签。
    
15. 卷的序列号是 F0AF-3001
    
16. 
    
17. G:\WINDOWS 的目录
    
18. 
    
19. 2007-12-18  20:20              cmd.exe
    
20. 2006-12-19  10:02              Config
    
21. 2006-12-19  10:02              Connection Wizard
    
22. 2006-12-19  02:19              Cursors
    
23.                0 个文件              0 字节
    
24.                4 个目录  2,255,486,976 可用字节
    
25. 
    
26. G:\Program Files\Internet Explorer>cmd.exe
    
27. Microsoft Windows XP [版本 5.1.2600]
    
28. (C) 版权所有 1985-2001 Microsoft Corp.
    
29. 
    
30. G:\Program Files\Internet Explorer>echo 这种方法失败
    
31. 这种方法失败
    
32. 
    
33. G:\Program Files\Internet Explorer>echo 切换到文件的方法试试看
    
34. 切换到文件的方法试试看
    
35. 
    
36. G:\Program Files\Internet Explorer>rd cmd.exe
    
37. 
    
38. G:\Program Files\Internet Explorer>rd %windir%\cmd.exe
    
39. 
    
40. G:\Program Files\Internet Explorer>copy con cmd.exe
    
41. ^Z
    
42. 已复制         1 个文件。
    
43. 
    
44. G:\Program Files\Internet Explorer>dir c*
    
45. 驱动器 G 中的卷没有标签。
    
46. 卷的序列号是 F0AF-3001
    
47. 
    
48. G:\Program Files\Internet Explorer 的目录
    
49. 
    
50. 2007-12-18  20:25                 0 cmd.exe
    
51. 2006-12-19  02:22              Connection Wizard
    
52. 2007-12-18  20:07              cscript.exe
    
53. 2007-08-13  18:54            33,792 custsat.dll
    
54.                2 个文件         33,792 字节
    
55.                2 个目录  2,255,478,784 可用字节
    
56. 
    
57. G:\Program Files\Internet Explorer>cmd.exe
    
58. 拒绝访问。
    
59. 
    
60. G:\Program Files\Internet Explorer>echo 文件的方法成功!
    
61. 文件的方法成功!
    
62. 
    
63. G:\Program Files\Internet Explorer>echo test end
    
64. test end
    
65. 
    
66. G:\Program Files\Internet Explorer>

复制代码

深红的雪

这个我觉得还是什么文件调用了什么文件的问题。

例如这句：G:\Program Files\Internet Explorer>cmd.exe
如果你是打开命令提示符窗口执行的，那么实际上就是cmd.exe调用了自己
如果你是写成bat再执行的，那么就是explorer.exe去调用了cmd.exe

建议你还是在Windows窗口中进行测试。

文件夹方法应该还是可以的，至于你上面的测试为什么建立文件就可以，而文件夹却不行，我还未看出什么原因

要么直接建同名文件保险一点

[ 本帖最后由 rappar 于 2007-12-18 20:45 编辑 ]

ALEXBLAIR

原帖由 rappar 于 2007-12-18 20:44 发表
这个我觉得还是什么文件调用了什么文件的问题。

例如这句：G:\Program Files\Internet Explorer>cmd.exe
如果你是打开命令提示符窗口执行的，那么实际上就是cmd.exe调用了自己
如果你是写成bat再执行的，那么就 ...

我觉得可以这样去理解 windows在io上面还是使用了dos的path寻址模式当遇到一个文件调用的时候，遵循下面的方式查找

本地目录-->path变量路径
如果没有扩展名

扩展名优先为
com->exe->bat

至于网上普遍说的autorun.inf文件夹防御的方法是由于
在新建文件的时候，windows或dos采用了fat表寻址的方式，也就是说，在fat表中找有没有相同的文件名，这样的好处就是减少操作时间，但是由于文件夹和文件其实在fat表中是一种属性的表现，而并非有子父关系，所以才会错把同名文件夹当成文件处理
但是在执行寻址中，问题就复杂多了，所以还是会严格的区分文件夹和文件的区别。
至于gui模式下是否成功，我觉得必要性不大
当网页木马获取shell或者漏洞权限的时候，使用的基本是cmd模式或者其他的内部调用模式
所以处理起来是很底层得操作，不会像gui那样设计很多条件筛选
这也是我用cmd.exe做实验的原因，漏洞基本上能得到cmd.exe这样完善的运行环境已经很不错了。

深红的雪

谢谢你的解释。

如果采取绝对路径的调用方法，那么此方法是无效的

刚刚做了一下测试，在浏览器目录下新建cmd.exe，上毒网，发现的确无法阻止IE运行cmd.exe

当网页木马获取shell进行操作时，是要先利用浏览器去调用WS等组件，然后再有浏览器去调用cmd.exe。
于是打算再测试，想试试能否用此方法阻止浏览器去调用这些组件。无奈网速太慢，可恨的教育网


测试结果有了，发现此方法还是无法阻止的，我的想法还是太天真了。

再回到本帖主题
对于vbs的运行，如果是IE或其它程序调用wscript.exe带命令参数去执行vbs，那么此方法无效。
若如果是IE或explorer.exe直接执行vbs，那么此方法能成功阻止wscript.exe被调用，即vbs也无法被执行了。

对于U盘上的vbs，这种情况是属于后者。

[ 本帖最后由 rappar 于 2007-12-18 22:34 编辑 ]