查看: 3039|回复: 3
收起左侧

[求助] 关于“可执行文件”,storyhare的定义似乎有误?

[复制链接]
综合症初期患者
发表于 2015-9-5 15:10:26 | 显示全部楼层 |阅读模式
@storyhare 的《访问保护原理》中提到:
对于【*.bat, *.cmd, *.com, *.cpl, *.dll, *.drv, *.exe, *.ocx, *.scr, *.sys, *.vxd, *.386】等可执行文件(主动可执行文件),使用“执行”便可控制(“读取”,也可以控制)

然而我自己的测试结果却不是这样
对于一个bat文件
假如仅禁止执行,那么就算是禁止*对它的执行,它仍然可以执行
要真正阻止它执行,必须要阻止cmd.exe对它的读取才行...

感觉这样要防脚本就很麻烦了...只能针对每一个扩展名分别写规则防写防创建了...对吗?

还有一个问题,@storyhare 是把dll文件也列为了“可执行文件”
的确也有一些规则是防止dll“执行
问题是dll本身是无法直接运行的
所以,“禁止test.dll执行”是否是指“禁止rundll32.exe执行test.dll”?
柯林
发表于 2015-9-5 15:44:59 | 显示全部楼层
本帖最后由 柯林 于 2015-9-5 15:47 编辑

你说的问题不存在!

对于P5来说,读取执行一体,禁止执行也就意味着禁止读取。
对于P6来说,如果已经改进了p5的BUG,禁止执行就是禁止执行,不可能被运行,除非是驱动级别的执行。

除非你把规则写错,任何标准的写法,都是禁止*去操作(譬如你说的执行)某东东,不添加例外根本就木有任何通过的可能

补充:并不是所有dll文件都由系统的dll解释执行器来操作,极大多数程序都会自带dll并加载,病毒也不例外
综合症初期患者
 楼主| 发表于 2015-9-5 16:04:31 | 显示全部楼层
柯林 发表于 2015-9-5 15:44
你说的问题不存在!

对于P5来说,读取执行一体,禁止执行也就意味着禁止读取。

嗯...重新打开虚拟机试了一下以后又能成功禁止执行了...
抱歉刚才可能是我自己实验的时候把条件记乱了...
抱歉抱歉

不过还是有问题
假如我包含*,排除C:\Windows\**,禁止对一个目录**\test\**下的执行
那么这个目录下的exe显然是不能执行的
但是bat却还是可以执行...
这是否可以说明,bat文件是cmd.exe执行、而非其本身主动执行的呢?

另外,如果禁止执行一个目录下的dll的话,是否意味着任何程序都不能加载这个目录下的dll?
cocabean
发表于 2015-9-15 19:26:04 来自手机 | 显示全部楼层
bat应该是禁止读取
dll禁止运行
我的理解应该跟你3L的一样
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:56 , Processed in 0.122499 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表