毛豆中services应处的位置！

显示全部楼层 · 发表于 2009-2-11 15:35:32

我都 *\* Block了，还需要去试吗？

现在玩FD游戏的病毒都害怕我了~

显示全部楼层 · 发表于 2009-2-11 16:41:15

原帖由 月光下的忍者 于 2009-2-11 15:35 发表
我都 *\* Block了，还需要去试吗？

现在玩FD游戏的病毒都害怕我了~

不见得。

显示全部楼层 · 发表于 2009-2-11 18:19:08

其实没有必要，学习模式下，很多系统自带进程都是处在all application下的（伯夷叔齐兄的帖子解说过），理由显而易见。

显示全部楼层 · 发表于 2009-2-11 21:40:38

services.exe难道会自动加载system32下的驱动？还是其他地方的驱动都能加载？
那就对全局规则禁止加载驱动不就行了？

显示全部楼层 · 发表于 2009-2-11 22:04:30

原帖由 Ice-card 于 2009-2-11 21:40 发表
services.exe难道会自动加载system32下的驱动？还是其他地方的驱动都能加载？
那就对全局规则禁止加载驱动不就行了？

是的。如果你允许程序访问scm后那么加载驱动的动作默认是允许的。驱动不一定必须在系统目录下。

services。exe默认是在系统组中的，系统组默认是可以加载驱动的，所以你在全局规则中禁止加载驱动不会影响到services驱动的加载。
看一下我的services驱动的加载

显示全部楼层 · 发表于 2009-2-12 00:34:56

kpcheck是什么？我选的ask，allow|modify是system32下的*.sys，用FD来监控新驱动的生成。

显示全部楼层 · 发表于 2009-2-12 01:04:26

问题是services开机会加载些系统或应用程序的正常驱动所以关键在于services要可以区分不同的驱动不能说允许加载驱动就允许加载全部

显示全部楼层 · 发表于 2009-2-12 09:12:24

原帖由 magiscoldeye 于 2009-2-12 00:34 发表
kpcheck是什么？我选的ask，allow|modify是system32下的*.sys，用FD来监控新驱动的生成。

那个文件是wsyscheck的驱动文件。我是全部询问驱动加载，弹窗并不多。

[ 本帖最后由小静电于 2009-2-12 09:13 编辑 ]

显示全部楼层 · 发表于 2009-2-12 09:52:48

算了，把services放在限制组里，弹窗太多了。
我还是多多禁止sys的生成吧，加载就让它加载安全的sys。

ps：services只能加载后缀名为sys的驱动吧，要不然还真是不好办

显示全部楼层 · 发表于 2009-2-13 00:00:59

我的IS和Wsyscheck都直接信任....
另外回LS，之前有个样本就是通过services.exe加载的tmp文件....

[讨论] 毛豆中services应处的位置！