如何使用HIPS规则保护svchost.exe（系统）文件

qftest

fireherman 发表于 2016-9-1 19:19
@电脑发烧友  
@renyifei  
@windows7爱好者  

这两个软件我刚好有用到，也建立了相应的规则，但是与你的不一样


自定义允许: BaiduYunGuanjia.exe


自定义阻止: BaiduYunGuanjia.exe   <注入>


自定义允许: QQDownload.exe


自定义阻止: QQDownload.exe

fireherman

qftest 发表于 2016-9-1 19:36
这两个软件我刚好有用到，也建立了相应的规则，但是与你的不一样

QQ旋风，你没有定义【FD规则】？

这家伙会在你的USER文件夹里狂写东西的。

qftest

fireherman 发表于 2016-9-1 19:44
QQ旋风，你没有定义【FD规则】？

这家伙会在你的USER文件夹里狂写东西的。

写什么？

电脑发烧友

fireherman 发表于 2016-9-1 19:19
@电脑发烧友  
@renyifei  
@windows7爱好者  

思路不错，但是受限于eset的hips。

fireherman

qftest 发表于 2016-9-1 19:51
写什么？

C:\Users\用户名\AppData\Roaming\Tencent\*


C:\Users\用户名\AppData\Roaming\Tencent\QQDownload\数字目录（估计是随机，或者是网站数字IP）

我的数字目录是2172636939，它在这个文件夹里的活动很异常，不停地写、删 文件。

fireherman

电脑发烧友 发表于 2016-9-1 19:53
思路不错，但是受限于eset的hips&# ...

本来就对这类国产大户的工具没好感，不监控着，鬼知道它在后台干什么。

至于……ESET的HIPS，唉……没办法，人老了，也懒了，不想折腾了。

有没有办法禁止它（们）这样访问网址（虽然被黑名单拦截，但可能会有漏网之鱼）

qftest

fireherman 发表于 2016-9-1 19:55
C:%users\用户名\AppData\Roaming\Tencent\*

哦，那个是它的临时文件吧？用来记录下载进度什么的，以便用来续传？我猜的
这种小事情就不用管它啦，又不是什么敏感动作，就算它想后台下载升级文件到那里然后静默安装也是不可能成功的

fireherman

qftest 发表于 2016-9-1 20:02
哦，那个是它的临时文件吧？用来记录下载进度什么的，以便用来续传？我猜的
这种小事情就不用管它啦，又 ...

那有什么办法可以阻止它连接（网址）。

我的HIPS明明已经禁止他访问其他【应用程序（AD全局拒绝它的请求）】，【注册表也拒绝它访问】

那么猜想它是自己内部进行调用如HTML/DLL之类的来连接的。

如果它真的是调用自己目录的DLL，那么，如你18楼所说……就没办法了？

renyifei

fireherman 发表于 2016-9-1 19:19
@电脑发烧友  
@renyifei  
@windows7爱好者  

想法不错，不过我只用自己精简的QQ和云管家
而且我从不用外国浏览器，只用国内的套壳

qftest

fireherman 发表于 2016-9-1 20:06
那有什么办法可以阻止它连接（网址）。

我的HIPS明明已经禁止他访问其他【应用程序（AD全局拒绝它的请 ...

我用的是EEA，不知道怎么阻止那个旋风连接TB，没见过这种情况
如果dll注册过了，那么ESET确实不会管它是怎么被调用的
另外有点好奇，你用的是什么绿色破解版本？
我是官网下载老版旋风，手动安装后将安装后的目录打包成所谓的绿色版，然后用RUP完全卸载清理安装信息，最后才使用“绿色版”