用程序完整性保护阻止磁谍机病毒

显示全部楼层 · 发表于 2008-2-11 17:48:05

众所周知,磁谍机病毒通常是将主程序放在C:\WINDOWS\system32\Com\这个目录下,生成的主程序为smss.exe或者lsass.exe,你可以任取一个没用的.exe文件改成smss.exe或者lsass.exe放在C:\WINDOWS\system32\Com\下，然后进入卡巴主动防御-程序完整性保护-添加-找到路径C:\WINDOWS\system32\Com，再添加刚才那个文件lsass.exe，进行控制
执行：禁止内容修改:禁止作为子进程：禁止
接着那个文件也可以丢掉了，一旦磁碟机把主程序放置到我们那个位置，而且文件是lsass.exe的话运行起来的话就会被卡巴自身阻止
就算磁碟机到了你的机子上也发作不起来，再做几个组策略规则，限制autorun.inf和pagefile.pif的运行，这样就可以彻底避免磁谍机在你机子上运行了

经过我在影子系统下的试验，此方法无效，磁碟机病毒完全可以在机器上顺利运行。如果哪位朋友成功了，请发贴贴图说明，谢谢。
BY：Redevil

[ 本帖最后由 Redevil 于 2008-3-7 16:48 编辑 ]

显示全部楼层 · 发表于 2008-2-11 18:02:17

嗯，支持一下

显示全部楼层 · 发表于 2008-2-11 20:44:01

谢谢楼主分享~~
个人给你加1个魅力值

卡巴区最缺这种关于卡巴主防的文章。
完整性保护，真的很棒
从开始的惧怕它，到现在的热爱它--完整性保护

显示全部楼层 · 发表于 2008-2-11 21:49:51

不愧为卡巴专家，讲的很专业哦。

显示全部楼层 · 发表于 2008-2-11 22:03:56

学习了thx

显示全部楼层 · 发表于 2008-2-11 23:09:23

讲的不错,很通俗

显示全部楼层 · 发表于 2008-2-12 10:33:36

不错啊，学习了，谢楼主。

显示全部楼层 · 发表于 2008-2-13 00:17:12

学习了

显示全部楼层 · 发表于 2008-2-13 11:03:19

学习了楼主

显示全部楼层 · 发表于 2008-2-13 12:56:49

看得有点晕，支持一下

[新闻资讯] 用程序完整性保护阻止磁谍机病毒

评分