现在的毛豆取消了dll加载的控制吗

显示全部楼层 · 发表于 2016-1-18 00:14:38

HEMM 发表于 2016-1-17 17:20
对啊！都是智能主防，无聊且宽松的规则加个云大补一下，这样就几乎不怎么打扰用户了，当然广受好评，可~ ...

我大ATC默默的看着你

显示全部楼层 · 发表于 2016-1-18 00:19:25

cy_guo 发表于 2016-1-17 17:27
大众如是，怎可奈何

X64好用的HIPS基本没有了，编写难度和X86不是一个数量级的。HIPS都是小公司或者是大公司的一个小组来搞，研发实力上不去没办法。

显示全部楼层 · 发表于 2016-1-18 00:52:00

ccboxes 发表于 2016-1-18 00:14
我大ATC默默的看着你

不是免费的，而且没HIPS好玩，无聊死了，什么都是自动= =

显示全部楼层 · 发表于 2016-1-18 01:00:58

HEMM 发表于 2016-1-18 00:52
不是免费的，而且没HIPS好玩，无聊死了，什么都是自动= =

大区不是有ssf和sb之类的，据说ess也有HIPS可玩

显示全部楼层 · 发表于 2016-1-18 01:03:30

柯林发表于 2016-1-18 01:00
大区不是有ssf和sb之类的，据说ess也有HIPS可玩

哼~都不是免费的，而且沙盘我不想用，SSF看看界面....感觉自定义不够豪放~
打磨机32用不惯，火绒用不惯~

显示全部楼层 · 发表于 2016-1-18 01:05:01

羽扇纶巾发表于 2016-1-17 23:29
你是我的老师之一。没有你，我也不可能玩毛豆。如何不谢。

我想表达的是，不调用，也就无所谓加载。.d ...

rundll32启动dll，似乎是xp时代流行下来的看法，xp后面的新系统，还有dllhost之类的，究竟怎么防御，说实话，我也不清楚——要看样本，具体了解它是怎么利用的，才能想法防御，这方面资料缺乏
现在对dll敏感的，好像是针对白+黑这个顽疾吧

显示全部楼层 · 发表于 2016-1-18 01:13:28

HEMM 发表于 2016-1-18 01:03
哼~都不是免费的，而且沙盘我不想用，SSF看看界面....感觉自定义不够豪放~
打磨机32用不惯，火绒 ...

还不睡？我上来改个帖子，顺便回下贴，不想逮着个夜猫子

显示全部楼层 · 发表于 2016-1-18 10:15:30

沙盘设置里面默认有。
可以改为全局监控

显示全部楼层 · 发表于 2016-1-18 15:10:32

sanhu35 发表于 2016-1-18 10:15
沙盘设置里面默认有。
可以改为全局监控

你是说的DLL加载控制吗，可否稍具体的说一下，我现在装的是V5，版本我是可以换的，只要支持64bit

显示全部楼层 · 发表于 2016-2-28 20:33:06

本帖最后由 accordion 于 2016-2-28 20:38 编辑

5系列开始以上就没有了

3和4是在可执行文件监控那里加*.dll那里就行了，AD的功能

这东西我设置过，除了一大堆弹窗和微乎其微的防护功能，基本没什么用，可以防很久很久以前的LPK病毒（快捷方式ODAY漏洞）。
后来直接简单粗暴的做法就是白名单（手动添加windows文件夹的dll，然后外加winsxs（windows更新替代的dll），和允许软件自己的文件夹的调用），但是这样有意思吗？（摔）

但是很多时候用户程序都要加载这些动态链接库，比如你用c#，c++写的很多功能都是要依赖这些动态链接库的（API嘛），病毒可以修改这些动态链接库达到加载自己的目的（比如regapi.dll，好像是叫这个，我忘了，管他呢），但是这个东西是winlogin之类的调用的，所以你要做的不是监控他，而是保护他不被修改。

所以回到问题上来，监控dll的调用，究竟有什么用？

楼主真的对这些有兴趣，可以去看一下汇编或者是windows核心编程之类的书，这些原理性的东西不是HIPS能解释的

[讨论] 现在的毛豆取消了dll加载的控制吗