如何判断一个程序有加驱行为或索要加驱权限？表现是什么？

cardmeal

如何判断一个程序有加驱行为或索要加驱权限？——加驱时，Comodo的表现是什么呢？会有什么提示呢？

有大神说，用HIPS，那么流氓软件加驱时，HIPS会有什么提示呢？表现是什么？——我没见过加驱的警报，也不认识，不知道哪个是加驱的警报。

谢谢~~~~

HEMM

一般程序都不需要加驱，加驱一般通过管制%SystemRoot%\System32\services.exe这个进程来实现，例如管制运行程序，管制加驱，管制注册表等手段，由于是系统关键进程不能设置过严的限制，严重可能导致系统无法开机或者直接玩完，控制不好跟病毒有的一拼，毕竟管制加驱是限制系统的正常运行，由你来接手系统的部分功能进行人工判断。

我很少看到流氓，某雷算不算？加驱会提示加载驱动巴啦啦文件........

呃.......默认规则疯狂模式不知道有没有，反正.....我是自定义的规则，不过我因为设置的过于严格，玩死系统N次，安全模式都进不去哦。

我的规则不提示，直接拦.......没弹窗，很少看见，刚才双击几个病毒都被WD直接干掉了.....来不及测，懒得关闭WD了，不管不测了，想起没少折磨机器惹。

cardmeal

HEMM 发表于 2018-2-6 23:44
一般程序都不需要加驱，加驱一般通过管制%SystemRoot%\System32\services.exe这个进程来实现，例如管制运行 ...

加驱时，HIPS提示的是：“XX加载驱动”吗？ ——我没注意、没见过长啥样

HEMM

cardmeal 发表于 2018-2-6 23:54
加驱时，HIPS提示的是：“XX加载驱动”吗？ ——我没注意、没见过长啥样

我也没见过，不好意思哈，我双击的都是毁灭全盘的那种.....
基本上就是拦截和快速死亡两种极端，当然也有加驱的，似乎我只能在日志里看到，具体弹窗我好像没看见过，或者看见的太少了，我的规则和别人的不一样，我自己也搞不大定，建议........一般人以学为主，我自己还在学呢？
双击病毒木马啊什么的，或者限制系统加载自身的内核驱动什么的来测试规则的严谨性，结果大多是毁灭性质的，病毒危害本身就大，格式化硬盘也很伤机器，频繁的测对机器的伤害极大，因为是实体机。测出来的结果我依然还在研究中.....主要是系统的驱动太多惹，我当然可以全部放行掉，但我又想极限严格......所以，基本上每次学习后的结果就是机器大大的受累，当然学是学到了点......至少知道了系统有哪些比较关键的驱动，当然只是一部分而已，我关闭了所有防护了，懒得弄，刚才双击了几个木马差点吓尿自己不是我说。

cardmeal

HEMM 发表于 2018-2-7 00:00
我也没见过，不好意思哈，我双击的都是毁灭全盘的那种.....
基本上就是拦截和快速死亡两种极端，当然也 ...

我一直想问：为什么你要研究这么深？与其花那么多时间，为什么不直接买comodo的服务，或者用卡巴斯基、BD之类的收费安全套装呢？这多省事、省时间？

HEMM

cardmeal 发表于 2018-2-7 00:04
我一直想问：为什么你要研究这么深？与其花那么多时间，为什么不直接买comodo的服务，或者用卡巴斯基、BD ...

好玩啊，还能是什么.....你难道都不会好奇的吗？我就想知道WD是加载的什么驱动，系统有那些内核驱动啊文件啊进程啊都是干什么的，有什么行为。
服务........从别人那里知道结果啊.......无聊！我知道了可能就会选择遗忘了，这个探索的过程才是有趣的，不然我为什么发疯去实机双击病毒和设置些不合理的规则，主要是看看后果是啥.......
当然结果是不怎么美好就是惹，不弄怎么知道那个其实根本不能弄呢？我还自己把系统的内核文件给强删了，改了各种文件夹的权限，导致经常的蓝屏和系统异常。所以我格式化重装超级频繁，偶尔一天能格式化个......不知道，5 6次以上走。
平时的使用习惯也不好，超级的爱整理磁盘碎片，虽然知道不好，但是我就喜欢文件排列整齐........
处女座你懂的..........

sorspray

comodo只是事前预防，要是不多了解一些驱动方面的知识，万一被过了，你拿着ark工具也不知道该怎么下手

cardmeal

HEMM 发表于 2018-2-7 00:12
好玩啊，还能是什么.....你难道都不会好奇的吗？我就想知道WD是加载的什么驱动，系统有那些内核驱动啊文 ...

佩服.......

cardmeal

sorspray 发表于 2018-2-7 00:14
comodo只是事前预防，要是不多了解一些驱动方面的知识，万一被过了，你拿着ark工具也不知道该怎么下手

那怎么办？请教

柯林

楼主，一个程序加载驱动，准确点的表述应该是——正常程序加载驱动，与恶意（包含病毒）程序加载驱动的区别：
对于正常程序，毛豆默认睁只眼闭只眼，一般你也管不了，比如QQ与迅雷，安装程序的时候，就已经创建驱动文件、写入注册表服务项，该设置的全部设置好，只等开机就自动启动服务和加载驱动，基本上你啥都做不了（没见过几个人开着疯狂模式安装程序的）
对于恶意程序加载驱动，流程大致是：首先有母体文件，运行，一系列动作：创建驱动文件，注册服务，启动服务，加载驱动，挂入内核……这些动作全部完成，你也就基本干瞪眼。但是正常情况下，毛豆至少在该程序加载驱动文件的时候，会有提示（具体你可下载一个ARK工具，双击运行，毛豆调疯狂模式，它会给你提示）。所以道理上来说，从创建驱动文件到注册服务项目到加载驱动程序，你至少有三个时段可以进行拦截。
-------------------------------------------------
告诉你无烦无恼无忧愁大法：关闭鸡肋的HIPS，开启自动沙盘，不可信程序（当然包括恶意软件、灰色程序、病毒、木马）运行就入沙，在沙盘内，默认设置禁止加载驱动、安装钩子……只要打开沙盘，一切高危行为，对于不可信程序就是“死刑”，所以，啥烦恼忧愁都木有，唯一有的，只是——尽可能不用国产流氓加驱软件，仅此而已。