适时排除注册表 影子更好用!?

SONGBOWEN

话归正题，就算你有RD，你能保证不遗漏，但是你能保证不干扰用户的正常操作？

举例：浏览器的主页（这个是保存在注册表中的，并且经常被流氓软件以及病毒盯上）
首先，你的HIPS必须要允许用户手动修改吧？用户手动修改是调用的rundll32.exe进程，所以要运行rundll32.exe修改IE主页。
接下来，有一个病毒或者流氓软件，他也要修改IE首页，并且是通过一个DLL文件实现的，那么这个DLL由谁来执行？当然是rundll32.exe。
如何区分是用户修改，还是病毒修改？（不能用询问框，因为菜鸟看见这东西，估计会晕菜）

keiz

沒見過啥能做為通則的  還不是靠例外排除

我早說過例外排除跟白名單沒啥兩樣

ssyknuwyg

穿透作业注册表操作应该也快实现了

keiz

原帖由 ssyknuwyg 于 2008-10-27 17:00 发表
穿透作业注册表操作应该也快实现了

前提是 你知道你要排除或轉儲啥鍵值

ssyknuwyg

REGSANP扫描2次对比下就知道安装个软件要改动什么

fufuji97

原帖由 keiz 于 2008-10-27 19:55 发表


前提是 你知道你要排除或轉儲啥鍵值

实话说，这个困难点，呵呵

keiz

原帖由 ssyknuwyg 于 2008-10-27 20:31 发表
REGSANP扫描2次对比下就知道安装个软件要改动什么

想的比較簡單

問題是改動的不全是你要的

要不要我給你個比對文件看看啊

k53941

点子是不错，说明楼主脑子活 不过对于我们菜鸟来说我觉得没必要，菜鸟装影子主要是怕中毒，因为搞不懂安全软件以及杀软的一些询问，所以选择了影子，这样就不用装安全类软件，只装个影子简单实用。你这样又装这又装那的，看都看得头大了，不要说自已来实现了

ssyknuwyg

为什么不全要呢，只要不带有害的，带点垃圾上去也不是什么坏事

keiz

問題是 全部太多了啊

你會痛不欲要