毛豆已更新。。。

KK院长

68221281 发表于 2016-9-26 15:47
厉害，防火墙对付联网病毒果然很有用，hips全过了但就不让你联网，制作者也没辙。但是万一遇到这个 ...

以前就有过默认 毛豆的样本，是DLL .  对EXE  拦截很好，DLL 有漏。

k2f2l5t2

68221281 发表于 2016-9-26 15:47
厉害，防火墙对付联网病毒果然很有用，hips全过了但就不让你联网，制作者也没辙。但是万一遇到这个 ...

上面的信誉价格表这个估计Outpost防火墙也是过不了的。远控类似方式能劫持系统进程联网的这个要是能找个来测试看看，首先能过多少杀毒软件了？我毛豆防火墙小白模式以前遇到过弹窗一个dll文件要求联网的。d+沙盒严格的规则还是需要的这个当然好看个人了，d+我小白安全模式足矣了。

柯林

KK院长 发表于 2016-9-26 15:54
以前就有过默认 毛豆的样本，是DLL .  对EXE  拦截很好，DLL 有漏。

拦截dll，一般比较可行的，是FD上禁止读取
毛豆的FD，呵呵，大家懂的

麦咖啡对付这种都是小菜一碟，别提里面还有个禁止svchost加载非windows程序的自带规则，确实牛哄哄的
这些事情，要么微软搞，要么第三方安全厂商搞：禁止windows核心进程加载非windows程序，靠注入系统进程做坏事的都歇菜了
至于脚本、批处理程序，加强宿主程序的管理，一般也就可以了

其实电脑安全，除了系统核心进程，还有一个浏览器，管好这两块，大部分问题都解决了。希望有安全厂商能够推陈出新，增加新功能：检测和拦截系统核心进程及浏览器加载非本身程序，那就上了一个新台阶，翻过一个新篇章了

柯林

这事情归结起来看，还是毛豆当前的文件验证体制有问题
虽然，表面上看，验证到了dll，问题下一步呢：不可识别的dll，是准许加载还是不准许加载?是不是有问题的dll依然准许所有程序加载（注入问题）？对于加载了该dll的exe之类，是不是要入沙呢？这些问题，现在的豆子没有解决呵

KK院长

柯林 发表于 2016-9-27 21:26
拦截dll，一般比较可行的，是FD上禁止读取
毛豆的FD，呵呵，大家懂的

拦截dll 最好反馈给官方好了，可能他都不知道。
就相当于，别人给你几个苹果，你会一一个检查。如果别人坏了，给你20箱，你知道里面有坏的吗？
结果你付钱了，然后过几天才发现了，已经晚了。

柯林

KK院长 发表于 2016-9-28 14:37
拦截dll 最好反馈给官方好了，可能他都不知道。
就相当于，别人给你几个苹果，你会一一个检查。如果别人 ...

谁跟官方熟的反馈下

KK院长

柯林 发表于 2016-9-28 19:07
谁跟官方熟的反馈下

@Candygu  能否跟官方反馈下？ 我没邮件地址。

YSJ

这么厉害，要上疯狂模式吗

YSJ 发表于 2016-9-29 13:22
这么厉害，要上疯狂模式吗

不用了，把防火墙设置成自定义，就可以阻止联网了。但是hips想拦截，默认规则是不行的。沙盒同理。

k2f2l5t2 发表于 2016-9-26 16:04
上面的信誉价格表这个估计Outpost防火墙也是过不了的。远控类似方式能劫持系统进程联网的这个要是能找个 ...

我试了试那个“小白模式”，不实用，加多了规则界面就有点卡。而且每个程序联网都得添加规则，要是遇到那种有一堆程序(外加一堆附属service，update之类）联网的人，估计得抓狂，这个可能只有自己日常用。dll联网的话，默认我也见过拦截dll联网的。现在看只能说还不够严格吧，我试了试，还是只能另找别的方法了。