收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 国外杀毒软件 McAfee VSE8.8p7 默认规则拦截创建执行文件的不同形态
1234下一页
返回列表 发新帖
楼主: qftest
 收起左侧

[讨论] VSE8.8p7 默认规则拦截创建执行文件的不同形态

[复制链接]
柯林
发表于 2016-3-13 15:15:39 | 显示全部楼层
ly910326 发表于 2016-3-13 14:59
可能我们对规则的理解和vse产品手册的说明注释有偏差。

这个问题一直是这样的吧——理解的偏差与理念的偏执

对于玩规则的人来说,基本上都当杀毒组件是“空气'了,眼里只有规则,希望规则可以包打天下,最好能够任意双击病毒而屁事没有(实际上无法做到),这样的意识已经存在很多年且互相传染

对麦咖啡厂家来说显然不是这样,VSE只是其防毒阵线中的一个组件,在个人用户看来那些很“厉害'的病毒要想穿过麦咖啡的防线进入VSE提供保护的计算机,并不容易,很多东西,没达到阵地,就被拦截了。所以站在官人的角度看,问题不大,真到了病毒爆发肆虐的时候,保证VSE不被干掉,保证系统重要文件与设置不被更改,能够封锁病毒网络传播的加以封锁,然后实验室赶快分析出专杀就完事

规则用家一般不会这样去看和理解,有漏洞就等于高危事件,这也是可以理解的
回复

举报

墨家小子
发表于 2016-3-13 16:59:36 | 显示全部楼层
qftest 发表于 2016-3-13 14:51
顺便召唤样本小达人过来
@墨家小子
墨家,以后如果发现有替换windows系统dll的样本请PM下,谢谢

有没有工钱?免费的吗?

评分

参与人数 1人气 +1 收起 理由
qftest + 1 版区有你更性感: )

查看全部评分

回复

举报

qftest
 楼主| 发表于 2016-3-13 19:23:27 | 显示全部楼层
ly910326 发表于 2016-3-13 14:59
可能我们对规则的理解和vse产品手册的说明注释有偏差。

有没有主楼涉及的规则的官方详解?
回复

举报

qftest
 楼主| 发表于 2016-3-13 19:26:17 | 显示全部楼层
柯林 发表于 2016-3-13 15:15
这个问题一直是这样的吧——理解的偏差与理念的偏执

对于玩规则的人来说,基本上都当杀毒组件是“空气 ...

说实在的,我比较注重实战,理论上比较欠缺
另外,谁的规则可以打天下?让他PM我,随便给他几个样本让他哭出来
回复

举报

qftest
 楼主| 发表于 2016-3-13 19:26:52 | 显示全部楼层
墨家小子 发表于 2016-3-13 16:59
有没有工钱?免费的吗?

真聪明,的确是免费的
回复

举报

柯林
发表于 2016-3-13 20:51:21 | 显示全部楼层
qftest 发表于 2016-3-13 19:26
说实在的,我比较注重实战,理论上比较欠缺
另外,谁的规则可以打天下?让他PM我,随便给他 ...

这个,就让你们去玩了,呵呵
个人时间精力有限,测试偶尔为之,了解下新流行的究竟有啥不同就行了,毕竟主业跟病毒安防不沾边,普通用家,了解些基本常识,够加强下防御就满足,要求不高
回复

举报

ly910326
发表于 2016-3-13 22:02:52 | 显示全部楼层
qftest 发表于 2016-3-13 19:23
有没有主楼涉及的规则的官方详解?

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
qftest + 1 感谢提供分享

查看全部评分

回复

举报

qftest
 楼主| 发表于 2016-3-13 22:56:59 | 显示全部楼层
ly910326 发表于 2016-3-13 22:02

这个文档只是简介而非技术详解,尽管如此还是谢谢提供分享
主楼涉及的规则在文档p15 3908/3909,只是简单介绍了规则的作用与排除建议,仅此而已
“Prevent creation of new executable files in the Windows folder”
A common hiding tactic for adware, spyware, Trojans, and viruses, is to place their files in the Windows
directory. You should add processes that have a legitimate need to place files in the Windows directory
to the exclusions list. This rule will stop the addition of executable files to the Windows folder.
Intention: Viruses and Trojans often copy themselves to the Windows directory, hoping to hide among
the list of files there with odd names. These rules prevent files being created by any process, not just
from over the network. This rule prevents creation of .EXE and .DLL files in the Windows directory.
Risk: These rules will disable many software installers.
Included processes: all
Excluded processes:  Installers, Windows update
ID and name in Host IPS:
3908, Access Protection—Prevent creation of new executable files in the Windows folder.

“Prevent creation of new executable files in the Program Files folder”
Intention: This rule prevents creation of .EXE and .DLL files from adware and spyware installing new
executable files in the Program Files directory. It can stop new software installations if not launched from
one of the excluded processes.
Risk: McAfee recommends that you either install applications prior to enabling this rule, or place the
blocked processes in the exclusion list.
ID and name in Host IPS:
3909, Access Protection—Prevent creation of new executable files in the Program Files folder.
回复

举报

柯林
发表于 2016-3-16 13:20:12 | 显示全部楼层
本帖最后由 柯林 于 2016-3-16 13:21 编辑

你再试下,看看是不是WD的拌腿?组策略关闭WD
回复

举报

qftest
 楼主| 发表于 2016-3-16 14:55:12 | 显示全部楼层
柯林 发表于 2016-3-16 13:20
你再试下,看看是不是WD的拌腿?组策略关闭WD


这个疑似规则漏洞,与WD何干?两者根本毫无关系
首先VSE安装后会自动接管WD,其次就算手动组策略关闭WD表现仍然一致
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-4-19 18:11 , Processed in 0.095876 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表