V8访问内存System引起假死

凨啬

hips 干净pc模式，默认规则

柯林

根据安全需要决定
普通安全需要：正常的应用程序，扫描也没判毒的，深入根究意义不大，放过就是，精力放在防毒防未知上。
高安全需要：宁可错过，不可放过，凡是阻止而不影响性能的，先阻止了再说，不行再加例外，日志无视。

优劣：第一种方法，安全系数相对低点，但是系统性能高。
第二种方法，安全系数相对高点，但是系统性能可能略有下降。

至于要根究为什么会有这样的行为，去查它加载了哪些模块，这些模块要干什么，可靠不可靠？毛豆内存访问读写不分，这里究竟是读取系统内存，还是写入系统内存，需要进一步根究.....这些问题搞清楚，一切就都真相大白了，不能简单依靠别人回答一句正常还是不正常就决定拦放。

凨啬

柯林 发表于 2015-5-9 20:24
根据安全需要决定
普通安全需要：正常的应用程序，扫描也没判毒的，深入根究意义不大，放过就是，精力放在 ...

这一步根本看不到弹窗，只是卡死几分钟，也就谈不上是放行还是阻拦了

并且测试多次，重复出现，非偶然现象

在应用程序规则中手动设置程序“进程间内存访问”阻止症状消失

柯林

凨啬 发表于 2015-5-9 20:31
这一步根本看不到弹窗，只是卡死几分钟，也就谈不上是放行还是阻拦了

并且测试多次，重复出现，非偶然 ...

这些东西，只能自己取舍了。
要确认有害无害，只有做实验，选取几个正常程序与病毒或恶意程序，看它们在这一项上有无此动作？对于病毒或恶意程序，阻止这一项有无效果？

System这个进程没多少资料，说的都很模糊。毛豆默认是归入windows系统重要进程组，一般的程序阻止吧。你也可以试试下个官方版本的火狐，对比下是否还有相同的哦行为。

凨啬

柯林 发表于 2015-5-9 20:39
这些东西，只能自己取舍了。
要确认有害无害，只有做实验，选取几个正常程序与病毒或恶意程序，看它们在 ...

这一步有有害无害另说，但因为这步导致卡死是因为什么？

貌似坛子里很多反应过因为访问内存 system这步导致假死，谈不上普遍现象，但也不是特例

柯林

凨啬 发表于 2015-5-9 20:48
这一步有有害无害另说，但因为这步导致卡死是因为什么？

貌似坛子里很多反应过因为访问内存 system这 ...

可能是毛豆的bug，也可能是HIPS惯常的老毛病——行为太多太密，报告来不及回应，像win系统一样，在等待没有返回的响应中卡住了

柯林

你设置了规则，明确告诉它该拦截还是放行，就没后文；偏偏是等待“指示”的过程中卡壳了。这情形，以前遇到过。说来说去可能还是设计的bug。