查看: 1771|回复: 2
收起左侧

[求助] 15个程序 和排行

[复制链接]
23wbz
发表于 2008-1-23 11:13:21 | 显示全部楼层 |阅读模式
程序15个,          这里11个.     

我想知道其他4个什么 和 1.运行应用程序-----11.结束进程它们排行和画里不样,
1.运行应用程序是Run an executable    7.  安装全局钩子画里是#3排 windows/Winevent Hooks    其他不知道
告诉我下面 11个程序中英语



-------------------------
对于程序的访问权限应该怎么设置见仁见智。这里我把自己对一般应用程序的AD设置的看法说一下,仅供大家参考。

1.运行应用程序
    这个很简单吧,没什么好说的,你双击一个程序,这个程序就运行了谁都知道,但是如果在上网时你没有运行突然弹出询问框报警程序运行你就要当心了,一定要仔细看程序路径名称,一般会自动运行的除了病毒就是一些软件的升级程序,但是如果该程序是在TEMP路径下的话一定记住要阻止,99.9%是病毒!

2.
加载驱动程序
    一般只有比较BT的软件会要求加载驱动程序,比如杀软以及一些安全工具,所以这个也很简单,只有你完全信任的程序才可以允许,否则请阻止。特别是路径或程序名比较陌生的。

3.  
访问物理内存
        我们知道,在NT/2K/XP中,操作系统利用虚拟内存管理技术来维护地址空间映像,每个进程分配一个4GB的虚拟地址空间。运行在用户态的应用程序,不能直接访问物理内存地址;而运行在核心态的驱动程序,能将虚拟地址空间映射为物理地址空间,从而访问物理内存地址,从而更快的收集数据。所以要求访问物理内存的程序一般都是比较BT的,除了你确信的其他一般可以阻止,即使是正常软件阻止了也不会影响使用。

4.  底层磁盘操作
        所谓底层磁盘操作本身并没有什么危害,某种程度上还提高了操作效率。但对于FD而言如果仅仅是在Windows层面上进行控制,那么有些有害程序就是通过直接对磁盘进行操作的方法来绕过HIPS的控制。就象你在家门口放两个门卫以为可以高枕无忧,哪知人家挖了个地道直接进了你家,门卫就成了摆设。因此HIPS应该要包括对底层磁盘操作的防护。除非HIPS能做到最底层。一般来说阻止底层操作不会影响软件的使用。

5.  
创建远程线程
        远程线程技术指的是通过在另一个进程中创建远程线程的方法进入那个进程的内存地址空间。我们知道,在进程中,可以通过CreateThread函数创建线程,被创建的新线程与主线程(就是进程启动时被同时自动建立的那个线程)共享地址空间以及其他的资源。通过CreateRemoteThread也同样可以在另一个进程内创建新线程,被创建的远程线程同样可以共享远程进程的地址空间,所以,实际上,我们通过一个远程线程,进入了远程进程的内存地址空间,也就拥有了那个远程进程相当的权限。就好像把一个寄生体注入到了其他生物中一样。这个寄生体将会与他的宿主“同生共死”并且拥有宿主的所有权限。由于我们的程序代码寄生在其他进程内部,所以一般人使用任务管理器是看不见这个“寄生”进程的。
        创建远程线程是木马隐藏自己的一个非常高明的手段,就好象一个特务在通关时一般都会混进一些高官的车中,胁持高官谎程自己是高官的部下,从而获得了免于审查并通关的权利。所以对于不熟悉的程序一定要阻止其创建远程进程。

6.  修改其他进程内存
        一般正常软件不会有此动作,所以阻止吧。

7.  
安装全局钩子
        英文叫hook,指利用api来提前拦截并处理windows消息的一种技术,能够使该程序对其他系统内有键盘响应事件的程序自己挂钩。说白了就是在你家安装窃听器,你能容忍吗?阻止!不过QQ是要允许的哦,要不然就登录不上去了。

8.  
安装服务或驱动
        同加载驱动程序。

9.  键盘记录、修改系统时间、直接操作系统内核
        有些正常程序也会进行键盘输入监控,所以键盘记录一定要确定是不是正常程序。修改系统时间、直接操作系统内核一般建议阻止。


10.windows消息
        这个建议先阻止,看无影响下次就可以阻止并记住。有些病毒会利用消息破坏你的系统。

11.结束进程
        这个建议选询问。如果一般应用程序comodo提示它要结束其他程序进程一定要阻止。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wuliyen
头像被屏蔽
发表于 2008-1-23 17:02:15 | 显示全部楼层
对照!

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
wayaya
发表于 2008-1-24 11:33:58 | 显示全部楼层
保护 COM 接口

应该翻译成 受保护的 COM 接口 吧?其他几个保护好像也需要译成受保护或被保护

运行可执行体  翻译成  运行执行程序 可以吧,执行程序实际上也包括exe, .dll, .sys, .bat

乱弹的,不知道是不是合适,拍砖的闪人
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-5-1 11:11 , Processed in 0.135693 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表