搜索
楼主: AC1919
收起左侧

[讨论] 都有哪些杀毒软件能拦下监控软件的流氓行为

[复制链接]
AC1919
 楼主| 发表于 2022-5-5 20:30:19 | 显示全部楼层
761773275 发表于 2022-5-5 20:22
他是安全的就不能,只能HIPS手动挡

那卡巴呢,之前看卡巴好像是有程序锁来着
喀反
发表于 2022-5-5 20:33:40 | 显示全部楼层
AC1919 发表于 2022-5-5 20:29
window defencer和别的杀毒软件老是冲突,没法开啊

这个不是冲突,是微软的策略,安装通过微软认证的杀毒软件WD都会默认关闭系统监控
AC1919
 楼主| 发表于 2022-5-5 20:35:40 | 显示全部楼层
喀反 发表于 2022-5-5 20:33
这个不是冲突,是微软的策略,安装通过微软认证的杀毒软件WD都会默认关闭系统监控

那防勒索可以单开么,诺顿的那个防勒索对它无效
喀反
发表于 2022-5-5 20:38:37 | 显示全部楼层
AC1919 发表于 2022-5-5 20:35
那防勒索可以单开么,诺顿的那个防勒索对它无效

不可以,必须开启实时保护才行。不过WD的勒索软件防护做的有点对用户不友好,开启后绝大多数程序无法访问被保护的文件夹,甚至是系统程序,要一个个手动添加允许,所以有点麻烦
AC1919
 楼主| 发表于 2022-5-5 20:43:31 | 显示全部楼层
喀反 发表于 2022-5-5 20:38
不可以,必须开启实时保护才行。不过WD的勒索软件防护做的有点对用户不友好,开启后绝大多数程序无法访问 ...

那好吧,看来没办法了
00006666
发表于 2022-5-5 21:17:49 | 显示全部楼层
类似于企业级终端管理软件这种的,杀软不会拦截很正常,公司的电脑有安装管理软件也挺正常的,方便公司管理内网计算机,而且有些管理软件可以和内网准入联动,如果本地没有正常运行,内网准入会拦截。
stefen47
发表于 2022-5-5 21:48:36 | 显示全部楼层
Comodo刚安装完默认设置也是按数字签名信任一大票公司软件的, 其中就有shenzhen tencent qihoo 360等很多国内公司名. (其实确实有利于使用便利, 否则以后使用QQ微信桌面版, wegame等腾讯软件全都要挨个设置或准备好一个预定规则慢慢打磨)个人习惯为了防护性每次安装完都要把除了系统必要公司名外的全都删除, 以后再慢慢添加常用的绝对信任签名.
(操作有点麻烦, 注意图中软件商列表右上角有个搜索图标, 先勾最左上角的勾把所有公司名全部勾上, 然后点搜索按钮, 筛选出包含下列字符串的公司数字签名后, 再按一下左上角的全部打勾图标, 会只把搜索筛选结果中的内容去掉勾. 然后依次把和Comodo, Microsoft有关的, 你的主板芯片公司, 显卡公司和常用软件公司名都重复做一遍. 最后再取消搜索筛选, 查看打勾的结果是否满足需求, 右击任一被勾选的项目, 选移除.)

comodo
microsoft
(microsoft_ MSN 3rd Third XP 好像是第三方不知道该不该留)
intel(R)   ((r)小r的不知道该不该留)
intel corp
nvidia
Advanced Micro Devices (AMD公司)
同样在这个的地方也可以手动添加信任的数字签名, 右击添加后找到带数字签名的可执行文件或进程就行. 但一旦被comodo信任好像就是最高权限, 绝大部分规则都不再拦截它.

个人粗浅看法comodo防火墙安全性很高, 能拦截注册表和文件磁盘内存访问(好像都是防写不防读), 键盘屏幕钩子驱动com联网什么的(不懂), 防火墙联网可以按IP也能按MAC写规则, 好像主要是为了区分出入站, ip规则可以区分局域网还是外网, 但不像国内软件可以限速.  按mac写规则挺好, 可以共享文件夹时只允许你的手机或其他设备mac访问. 但具体是哪个系统进程控制共享访问一直没搞清楚..我是给大部分允许联网的程序设置成只允许外联的规则, 规则里加入了允许指定mac入站. 但坏处就是如果共享有故障就会多一个需要排查的地方, windows防火墙, 系统共享设置, windows smb功能打开, 访客账户设置共享权限也都会有影响. comodo的好处是可以给指定的规则加入触发拦截就写入日志, 然后如果拦截记录里发现了手机IP的访问就说明是它拦截的, 否则就是其他原因. 还有比默认系统墙好的地方好像是系统墙不能用通配符, comodo里可以用* ?等通配符对文件路径字符串匹配一定规则路径下的软件. 还可以分配不同的细节有差异的规则. 有个基础的隐性规则好像在规则列表里从下到上是有顺序影响的, 如果一个匹配大部分路径的模糊规则在下面, 一个具体的规则详尽的规则在列表上面, 一个程序都匹配到了会按两条规则叠加, 同一个行为有不同要求的话按最上面的规则说的算. 这也是之前坛里看到才知道的, 具体教程很多, 有时间的话得慢慢学..
最大的缺点是可能要花大量时间去慢慢磨合设置, 如果每个程序你都想知道最少给它多少权限才能满足它正常运行, 那时间可能会碎片化的蔓延几个月甚至年...某种合适的折中规则能匹配一类程序的正常运行, 或者直接用别人写好的规则?没试过... comodo有不少版本还有奇怪的bug如任务栏不显示图标.. 很多人喜欢的沙盒我也用不好, 想要入沙用的大部分软件进了沙盒都会变成用不了, 权限不够就不干活.. 可能关闭沙盒功能安全性会大打折. 还有设置中高级保护-其他-做启发式命令行分析, 好像有bug对某些程序, 我也是在坛里看别人讨论学到.. 下面的不检测注入可以用通配符排除一些路径, 或者也可以关闭.
comodo防御规则如果拦截了windows系统进程功能可能会很严重或特别奇怪的bug网上都搜不到..所以最上面删除信任的数字签名时保留微软签名非常必要, 还有你电脑的硬件驱动公司的签名等. 有极少数系统文件还没有数字签名, 好像到win10以后越来越少了



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-5-18 14:18 , Processed in 0.094751 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表