毛豆的HIPS为什么会报system

柯林

fhja 发表于 2016-11-6 01:30
还会报告读写windowsup的升级日志
System无法被识别并且它将创建一个文件/文件夹C:\WINDOWS\Logs\Window ...

别纠结了，系统内核相关的东西：

tg123321

fhja 发表于 2016-11-5 13:28
这个跟原版没关系吧，
我是win7升的win10 x64

跟楼主一样的情况，不过我没这么大惊小怪

巴山冷箭

System是内核泛指，并没有制定一个固定可执行文件，很多时候还是DLL文件执行。。。毛豆官方内置规则里的System也并没有指定其可执行文件，所以当你设置安全模式时，弹窗报警是正常的，因为这个动作以前没出现过。

柯林

这个披着system外衣的内核玩意，管的东西不少：








病毒搞它，一般是假冒，注入之类似乎都不多见，所以别太纠结了

fhja

巴山冷箭 发表于 2016-11-6 21:35
System是内核泛指，并没有制定一个固定可执行文件，很多时候还是DLL文件执行。。。毛豆官方内置规则里的Sys ...

弹窗不正常啊
因为按照默认规则，“windows系统应用程序”组里面的文件应该默认允许所有操作
那就不应该有弹窗了

fhja

柯林 发表于 2016-11-7 09:24
这个披着system外衣的内核玩意，管的东西不少：

看了一下，win10的任务管理器已经把“system”翻译成了“系统和压缩内存”

我最奇怪的是毛豆的默认规则为什么没有生效。

不过说到注入，为什么说没有人会去想着注入？

柯林

fhja 发表于 2016-11-8 09:51
看了一下，win10的任务管理器已经把“system”翻译成了“系统和压缩内存”

我最奇怪的是毛豆的默认规 ...

svchost是管服务的，什么dll都可以加载，注入搞这个最方便
system这个主体是ntoskrnl.exe，按介绍，里面存储的是二进制代码，怎么注入？只能修改，系统会让你改么？它加载的dll也只有一个hal.dll，想用dll插入都不可能，怎么注？这东西除非你把它删了，用个假的来代替，系统不会让你干的。它是开机就被载入的东东，系统最先启动的东东，别想动歪脑筋，搞它事情大了，系统可能直接挂掉，都启动不起来，病毒这么蠢干什么呢。要动它只有找内核漏洞，这事儿一般人干不了，找到了也不会用到你我之类的普通人身上，还是别超这个心了

HEMM

柯林 发表于 2016-11-8 10:02
svchost是管服务的，什么dll都可以加载，注入搞这个最方便
system这个主体是ntoskrnl.exe，按介绍，里面 ...

小白不懂，准备进来抄一抄~
怎么防止注入啊，偶不会，内核漏洞怎么防，我要不要安装EMET呢？
最近WD更新好频繁，好像抽风一样，连万年更新困难的神网都感受到了些许更新，但是检测率也没什么改善啊？
姐姐不准备玩BUG豆了吗？还是等那个不知道那一年可以问世，BUG多多的10？
你在用什么呢？给我给参考参考，最近好惶恐，虽然我大部分时间都是在玩........
但是常言道人在河边走那有不跳河的，偶怕湿了。

听说内容不良，伤害身心健康不可编辑= =

柯林

HEMM 发表于 2016-11-8 10:37
小白不懂，准备进来抄一抄~
怎么防止注入啊，偶不会，内核漏洞怎么防，我要不要安装EMET呢？
...

我跟你一样，小白欸，不搞编程，不写代码，不调试机器，也不分析windows，说不出什么专业意见
按小白的见解，所谓注入，不管是ring0还是ring3的注入，不管是用加驱、加钩子还是dll劫持什么的手段，最终反映，就是内存问题：注入恶意代码到目标进程的内存空间，让它执行恶意代码。所以放到毛豆这里来讲，最关键的就是内存保护了：禁止访问其它进程内存或者禁止其它程序访问自己的内存（自保规则），做好这个，不考虑漏洞与0day的问题，就是防注入最有力的措施；涉及这问题的从毛豆方面看，有驱动加载、钩子安装、消息发送、物理内存访问（读写），乃至于注册表关键项目的改写，把这些一整套的全部结合起来，就是防注入措施

现在懒得折腾了，用微软套（WD+Windows  FireWall）【对付流氓下载器差点，其它没什么，防勒索备份就好】

ps：你要在乎内核漏洞防御，就安装吧，一般真的可以无视【常规正常应用下，个人电脑用户真的很不容易遇到那些威胁，担心的时间用来玩玩游戏、看看电影更好，然后到年底你就会发现真的没必要神经紧张】

HEMM

柯林 发表于 2016-11-8 12:27
我跟你一样，小白欸，不搞编程，不写代码，不调试机器，也不分析windows，说不出什么专业意见
按小白 ...

小白的起点居然这么高啊= =
.......
微软套，寂寞女士........不玩游戏不看动漫，没好奇心= =........好吧，毒与你无缘了。

我只是布吉岛该怎么办才好。
越来越不稀饭无敌了，恶心死了，为了卖新系统，一个劲的乱来，又矫情，把新功能和安全特性都往新系统上堆，疯狂更新，但又要很矜持的不越界让基准线维持百分之90多，它可真忙。
弄的TH比RS差一点，RS又比RS2差一点，更吧更吧，你硬件又更不上，恶心！为了卖系统已经疯魔了。
而且疯狂更新的后果，就是一大堆第三方安软和应用程序商家疯狂猛追大搞兼容，一个个都不稳定。
另蛋疼浏览器加个插件那个占用........吐。不加又很挫。
至于安全....总有漏洞，我看微软自己都顾不上这些了，疯狂的大更特更哪有时间测试搞兼容稳定性以及漏洞检测，都是有新功能就往上堆，安装了新版系统的用户使用过程中自动反馈........
哎= =，BUG豆10素不素因为跟不上微软的流行节奏才粗不来哦。