KIS2009的HIPS感觉不行啊

pluto1313

Explorer.exe -> WScript.exe -> vbs
这个过程应该解释卡巴为什么不报了吧，第一个环节就是关键

写一个exe程序，让它来启动你的vbs（用ShellExecute()），看卡巴报不报

[ 本帖最后由 pluto1313 于 2008-11-24 14:17 编辑 ]

Horus

原帖由 pluto1313 于 2008-11-24 14:16 发表
Explorer.exe -> WScript.exe -> vbs
这个过程应该解释卡巴为什么不报了吧，第一个环节就是关键

写一个exe程序，让它来启动你的vbs（用ShellExecute()），看卡巴报不报

我没试过，但理论上，报是会报，但只是提示你调用vbs，而不会提示你调用format，你还是不知道他真正意图
再说了，哪个写病毒的会这样调用啊？？当然是可疑步骤越少越好

原帖由 tanlimo 于 2008-11-24 14:13 发表
a.vbs还是要由WScript.exe来解释执行的。

你总不能不让脚本执行格式化吧，这样误杀太大了。

我现在把代码放上来说，当然觉得合理，如果我做成exe骗人家下载后格掉别人的硬盘，你还会觉得合理吗？？

kenhang

我建议楼主用这个小东西去试一试诺顿NIS2009，试一试它的智能HIPS。

Horus

原帖由 kenhang 于 2008-11-24 14:54 发表
我建议楼主用这个小东西去试一试诺顿NIS2009，试一试它的智能HIPS。

有谁装的？帮忙试试看吧，我这里下载不方便~~

tanlimo

这不是我认为合不合理的问题，安全厂商做软件要考虑到很多的问题，不可能只考虑一个方面，系统中很多正常程序都存在双面性稍微利用下都会对系统、财产、个人隐私造成危害，你总不能让安全厂商把它们都禁止了吧？要是这样的话估计系统都没法用了，利用脚本来执行格式化对你来说是个威胁但是对某些人来说确是个好东西（不是用来搞破坏）你认为不合理但是别人认为很合理，在这种情况下你让安全厂商如何决择？所以说如果你认为不合理最好自已设置一下，这样就合理了，如果你设置后还拦不了那就上报，让安全厂商加入到病毒库这样也合理了。

[ 本帖最后由 tanlimo 于 2008-11-24 15:12 编辑 ]

laoxiao

病毒有很年了，十分危险的病毒也很多，但是楼主这样的干病毒的事的非病毒还真没有听说过。

sqsszzq

楼主的观点很有价值，值得探讨。

Horus

原帖由 laoxiao 于 2008-11-24 15:15 发表
病毒有很年了，十分危险的病毒也很多，但是楼主这样的干病毒的事的非病毒还真没有听说过。

就是啊，像这样不用确认就格式化硬盘，除了病毒之外，我实在想不出还有什么正常程序会这样
并且从造成的后果来看，这100%是个病毒……

XANADU

在FD写一条规则：*
    你这个问题随意的解决
   
原理就是：不管你调用什么程序，只要这个VBS被分入低受限组，则其删除、修改、创建、写入任何文件、文件夹都会被提示。如果这个VBS不幸被分入不信任组，则其任何动作都会被拒绝。

我早就说过这是一条万能的规则，并且对信任组程序不会产生提示，即对用户的影响并不大。

[ 本帖最后由 XANADU 于 2008-11-24 16:16 编辑 ]

jyk8

有点意思！！