McAfee有没有办法解决进程注入

显示全部楼层 · 发表于 2008-1-3 18:00:23

目前的木马基本上是靠进程注入，靠防写入规则效果不明显，大家有没有关于这方面的经验？

显示全部楼层 · 发表于 2008-1-3 18:18:40

咖啡的规则防不住木马吗

偶没遇到过，所以不会想这个问题。。

显示全部楼层 · 发表于 2008-1-3 18:32:45

呵呵,解决这个问题一般需要AD的,但McAfee只有FD和RD......

显示全部楼层 · 发表于 2008-1-3 18:38:18

麻烦给个例子

显示全部楼层 · 发表于 2008-1-3 19:12:09

目前的木马基本上是靠进程注入

“基本上”这说法是不准确的。大部分的木马都是采用独立进程，注入式的还是少数。因为技术要求高，如果dll设计得不好，甚至会让其宿主也崩溃，它自己也运行不了。
动态嵌入式木马一般是dll文件，但它不能自己运行，它需要loader。谁去帮它找loader?到最后还是exe等可执行文件。
因此防止exe等格式文件的私自写入，就能防住病毒。
木马无法写入，就谈不上运行。
所以我说，大家看问题要有前瞻性，不要等到亡羊了才去补牢。

但McAfee只有FD和RD

很多人的误区，其实咖啡是有AD的。不过只是最基本的AD——“执行”。

[ 本帖最后由 rappar 于 2008-1-3 19:16 编辑 ]

显示全部楼层 · 发表于 2008-1-4 09:58:01

说得不错，明白了一点儿。

显示全部楼层 · 发表于 2008-1-4 14:39:51

路过学习哦了

显示全部楼层 · 发表于 2008-1-4 14:49:08

非常感谢rapper的解说

显示全部楼层 · 发表于 2008-1-4 15:53:45

不是太明白！学习学习！

[讨论] McAfee有没有办法解决进程注入

回复 1楼 ronin 的帖子