KIS2009的HIPS感觉不行啊

显示全部楼层 · 发表于 2008-11-24 17:28:01

原帖由 XANADU 于 2008-11-24 16:14 发表
在FD写一条规则：*
你这个问题随意的解决

原理就是：不管你调用什么程序，只要这个VBS被分入低受限组，则其删除、修改、创建、写入任何文件、文件夹都会被提示。如果这个VBS不幸被分入不信任组，则其任何 ...

你的意思是手工判断？这样解决当然是能解决，但这样的话我还不如用毛豆去……

显示全部楼层 · 发表于 2008-11-24 18:13:16

vbs只是脚本，不能加进appfilter吧？叫本解析程序和format都是系统程序，不好拦。其实对于这些高危行为确实可以做一下监控，就像小a的拦截器

显示全部楼层 · 发表于 2008-11-24 19:06:19

原帖由 Horus 于 2008-11-24 14:55 发表

有谁装的？帮忙试试看吧，我这里下载不方便~~

呵呵，我特意装了一个虚拟机帮你试了一下，诺顿也不提示的。

显示全部楼层 · 发表于 2008-11-24 19:07:54

还刚使用，不晓得
用段时间再说 ..........

显示全部楼层 · 发表于 2008-11-24 19:30:57

大家继续讨论，越说越明麻！！！

显示全部楼层 · 发表于 2008-11-24 20:23:49

bat　vbs在卡８是作为程序处理的
就是为了对付利用信任程序作恶
希望楼主能在虚拟机真正进行一下格式化测试
其实把explorer放入低受限或高受限格式化试试也行
如果卡８仍没提示
可能就是卡８防磁盘底层的一个漏洞
有些朋友说该不该拦的问题
因为这里说的是hips
危险的就一定要拦
何况格式化本就属于写磁盘底层

显示全部楼层 · 发表于 2008-11-24 21:01:10

原帖由 leonfg 于 2008-11-24 18:13 发表
vbs只是脚本，不能加进appfilter吧？叫本解析程序和format都是系统程序，不好拦。其实对于这些高危行为确实可以做一下监控，就像小a的拦截器

KIS有继承关系，子进程继承父进程权限
若父进程为低受限组，则子进程即使是系统进程，也只有低受限组权限
若父进程为低受限组，子进程为高首先组，则子进程只有高受限组权限

所以这里并不需要对系统进程编写规则
只要添加 FD * 规则即可解决99.9%的问题

显示全部楼层 · 发表于 2008-11-24 21:12:09

原帖由 Horus 于 2008-11-24 13:42 发表
程序很简单，我可以说写这种东西没有任何难度，一句话就是了：

WScript.CreateObject("WScript.Shell").Run "Format /?", 1, True

把上面这句话粘贴进记事本里，然后保存成vbs文件执行就行了 (你可以写在vb里， ...

我已经测试了,提示得叫我手点起点到抽筋

http://bbs.kafan.cn/viewthread.php?tid=374382&page=1&extra=page%3D1#pid5570216

[ 本帖最后由 saber123 于 2008-11-24 21:14 编辑 ]

显示全部楼层 · 发表于 2008-11-24 21:26:43

那就是？

显示全部楼层 · 发表于 2008-11-24 21:29:50

哇大家谈论好详细哦.....学习中.....
像楼主说的脚本程序,好象卡巴很少拦截的吧...我的卡巴都没报过这样的程序......不过听楼主这样讲,觉得蛮恐怖的哦....