rasphone.exe

snmx

可恨的是McAfee与Symantec一直没有入库。

fireherman

ysj963 发表于 2016-12-27 09:47
我不定时有文件产生。。。我设置询问后不就会有写入提示吗？假如我只允许cmd.exe写特定文件夹，并且防止 ...

【询问】就是弹窗，选择【允许】（放行），还是【拒绝】（阻止）。

假如我只允许cmd.exe写特定文件夹，并且防止注入cmd.exe,这样的方法是不是可以呢。如果是否还要防调用？

你这个问题本身就有很大的误解：

1，cmd.exe （程序）本身是【开启DOS命令行】，但【DOS命令】并不是由cmd.exe生成的，它只是调用（父进程），例如DOS命令 dir / del /cls / copy 等等，并不是由cmd.exe来进行编译的。

2，【防注入】是AD规则（修改程序状态），此规则对应的不是磁盘静态文件，而是在内存里的驻留程序。

3，不明白你这个【防调用】是什么意思，例如编写一个bat批处理文件，然后双击它，此时就是调用cmd.exe；关键是要知道它这个调用是“合法”（如一个自己编写的批量修改文件名）还是“非法”（如一些流氓软件通过它来注册服务）。

fireherman

linzh 发表于 2016-12-27 09:28
放心，没入库时hips不手动设置锁定文件夹绝对GG，毕竟没主防，没什么好双击的

你当ESET的AMS透明的啊？

虽然……虽然……虽然……和ATC、SONAR相比……那个…………但是……人家AMS好歹也算个主防嘛。

linzh

fireherman 发表于 2016-12-27 10:37
你当ESET的AMS透明的啊？

虽然……虽然……虽然……和ATC、SONAR相比……那个……… ...

那就双击一下啊
另外人家卡巴都启发出来了这个ESET的高启发干什么去了

Dolby123

彩虹丶// 发表于 2016-12-26 23:21
像bd一样。。。kd.xxxxxx？？！

以卡巴的尿性，应该会定个帅气的名称 ，绝不是XXX那么黄

彩虹丶//

Dolby123 发表于 2016-12-27 10:55
以卡巴的尿性，应该会定个帅气的名称 ，绝不是XXX那么黄

是的

ysj963

fireherman 发表于 2016-12-27 10:33
【询问】就是弹窗，选择【允许】（放行），还是【拒绝】（阻止）。

就是我设置询问写入文件时正常的都允许，以后其他的的不允许，相当于半学习模式，但又要保证，被允许的程序永远是干净的，怎么办？

fireherman

linzh 发表于 2016-12-27 10:51
那就双击一下啊
另外人家卡巴都启发出来了这个ESET的高启发干什么去了

入库了，还启发什么？

@ysj963   

那你就开交互模式，然后通过交互模式产生的弹窗，逐一排除呗。

linzh

ysj963 发表于 2016-12-27 11:43
就是我设置询问写入文件时正常的都允许，以后其他的的不允许，相当于半学习模式，但又要保证，被允许的程 ...

如果你不怕你手点弹窗点抽筋的话，开交互模式慢慢设置。
这种情况卡巴斯基的应用程序控制会更适合你一些，卡巴自动分受信任组和低限制组

ysj963

linzh 发表于 2016-12-27 12:17
如果你不怕你手点弹窗点抽筋的话，开交互模式慢慢设置。
这种情况卡巴斯基的应用程序控制会更适合你一些 ...

卡巴应用程序有个不好的地方，不敏感。