关于网络病毒自动运行的讨论

电脑发烧友

HEMM 发表于 2016-4-3 11:37
这么说你的规则禁止了浏览器创建%SystemRoot%\System32\rundll32.exe和%SystemRoot%\explorer.exe还有%Sy ...

那倒是没有，只是没有任何一个权限是允许执行任何一个程序的，基本上执行不属于自己的程序都会弹窗询问。当然个别高危程序会直接禁运

电脑发烧友

柯林 发表于 2016-4-3 08:19
这个看comodo的监控点，如果监控点在或者可以打开，相关动作可以拦截，否则就只能靠拦截进入或禁止运行之 ...

云白名单关掉，文件列表清空，受信任证书清空，基本上就是纯手动了。

jefffire

电脑发烧友 发表于 2016-4-2 22:41
网络病毒发作第一大关就是“创建进程”这个权限，按理说，这种基础类的拦截应该不会漏掉，所以这个权限 ...

就漏洞防御而言，代码被执行防御就已经失败80%。例子中的恶意代码是启动conhost，还可以靠AD防御。如果代码里还包含一个本地提权漏洞 ，那怎么办？

电脑发烧友

jefffire 发表于 2016-4-3 15:09
就漏洞防御而言，代码被执行防御就已经失败80%。例子中的恶意代码是启动conhost，还可以靠AD防御。如果代 ...

    如果真的附带一个提权漏洞的话基本玩完，这种东西似乎是安全软件永远的痛，似乎除了打补丁没别的有效办法。不过如果有幸受到这么豪华的攻击也算没有白作死

HEMM

电脑发烧友 发表于 2016-4-3 12:31
那倒是没有，只是没有任何一个权限是允许执行任何一个程序的，基本上执行不属于自己的程序都会弹窗询问。 ...

毛豆防护这个有点勉强.......
所以我安装了EMET.....可我惊奇的发现.......EMET最新版本根本不支持win10的蛋疼浏览器......我的天，第三方HP等都开始支持蛋疼了，微软自家的这不支持那不支持，一个漏洞防护软件自家的程序不支持........都不知道说什么好了....亏的我写好了毛豆和EMET双规则，白写了一堆......还有证书规则写了半天忘记保存了，全没了.....懒得写了。累！

导演AZ

HEMM 发表于 2016-4-3 11:37
这么说你的规则禁止了浏览器创建%SystemRoot%\System32\rundll32.exe和%SystemRoot%\explorer.exe还有%Sy ...

我之前问rundll32 有人说是将dll放入指定应用程序的内存中 让应用程序自己执行里面的函数run可是我总觉得真的吗  rundll32 看这个名字就是这个程序执行dll啊 看百度也说是执行
我所理解的是第三方的应用程序加载非系统dll  不需要rundll 载入内存 直接运行
而需要调用系统的dll功能就用到rundll
米纳桑 求指导
@HEMM  @柯林 @电脑发烧友

HEMM

导演AZ 发表于 2016-4-4 11:42
我之前问rundll32 有人说是将dll放入指定应用程序的内存中 让应用程序自己执行里面的函数run可是我总觉得 ...

你懂的可真多加学习了，我布吉岛！这个林姐姐和发烧懂。

导演AZ

HEMM 发表于 2016-4-4 11:45
你懂的可真多加学习了，我布吉岛！这个林姐姐和发烧懂。

我什么也不懂啊

HEMM

导演AZ 发表于 2016-4-4 11:54
我什么也不懂啊

你这句话是什么意思？我才看清楚.........第三方的应用程序加载非系统dll  不需要rundll 载入内存 直接运行
你说DLL直接就可以在内存执行？........
哦....第三方调用= =.......不懂= =...........

导演AZ

HEMM 发表于 2016-4-4 12:02
你这句话是什么意思？我才看清楚.........第三方的应用程序加载非系统dll  不需要rundll 载入内存 直接 ...

就是其他软件调用dll 就把要调用的dll装在自己的内存里 然后自己执行
我想了解的是 程序（系统程序 非系统程序）调用dll（系统dll和非系统dll）的方式以及rundll32的关系
（貌似没有rundll64  有rundll16 都什么鬼啊  ）