楼主: 天月来了
收起左侧

[原创文章] 天琊超级进程监视器防护系统教程(39楼后面有相关内容)6.11日更新程序

  [复制链接]
evilrabbit
发表于 2009-5-11 10:03:35 | 显示全部楼层

回复 78楼 天月来了 的帖子

兼容性真的没问题,这个东西没有多少hook,在我这里和所有的软件兼容的都比较好。
天月来了
 楼主| 发表于 2009-5-11 10:23:08 | 显示全部楼层

回复 79楼 SONGLEI 的帖子

1、如果你只是将EXPLORER运行CMD的单纯命令行添加入白名单。是高度危险的,因为这个单纯命令行:

"C:\WINDOWS\system32\cmd.exe"

它是任意程序启动它的时候,都可能是这样的单纯命令行的,那样的命令行,还是可以导致任意程序能够启动cmd程序。

2、本程序无法做到仅允许EXPLORER运行CMD。

3、也就是问病毒要运行CMD是病毒程序直接调用CMD或是IE调用CMD?还是病毒控制EXPLORER运行CMD啊?

这个一般浏览网页时,都是一开始浏览器进程为父进程突然要启动危险程序。需要看具体情况,如果你U盘内有一个病毒是依赖cmd工作的,那么你双击误运行它的时候,就是EXPLORER运行CMD执行。

同时病毒程序也一样会调用cmd的,这完全看当时的进程行为是什么样,病毒的行为很复杂,三种情况都可能有的。

总之你那个单纯命令行是肯定不行的。

你现在在IE浏览器的地址内输入C:\WINDOWS\system32\cmd.exe回车,你就会发现IE已经可以毫无阻碍的启动cmd了。
天月来了
 楼主| 发表于 2009-5-11 10:37:13 | 显示全部楼层
所谓的命令行,是指下图中这样的命令行:

例如我们自己有东西要运行,并且这个东西是依赖或需要cmd工作的,比如我们在自己的桌面运行一个批处理,这批处理是自己需要用的。

那么当你去双击批处理运行的时候,跳出如下提示,你仔细看命令行那:

未命名2.jpg


cmd /c ""E:\桌面\循环修复应用程序劫持项.bat" "这个命令行才是我们真正需要添加的实际命令行,,添加后才不影响那批处理在那位置的启动。

同时又可以仍然维持对其他位置的任意程序的启动cmd的行为进行监控。

你现在能理解一点了吧???

所以命令行参数是重中之重的了。
SONGLEI
发表于 2009-5-11 10:40:26 | 显示全部楼层
原帖由 天月来了 于 2009-5-11 10:23 发表
1、如果你只是将EXPLORER运行CMD的单纯命令行添加入白名单。是高度危险的,因为这个单纯命令行:

"C:\WINDOWS\system32\cmd.exe"

它是任意程序启动它的时候,都可能是这样的单纯命令行的,那样的命令行,还是 ...


明白了,已从白名单删除,CMD手动运行点允许。反正不常用,运行一次点一次,病毒也就没这机会了。
天月来了
 楼主| 发表于 2009-5-11 10:46:35 | 显示全部楼层

回复 84楼 SONGLEI 的帖子

看我83楼,细细想一想所谓命令行应用的逻辑顺序。

也就是说我们的一些程序是和病毒一样要依赖系统的部分程序工作的。

我们不能永久禁止系统的那部分程序,既要阻止病毒利用那部分系统重要程序工作。又要那系统的部分程序能被我们自己的正常程序所调用,就只有利用这命令行功能来解决了。

这逻辑顺序,需要细细体会才能弄懂的。我相信你很快就会懂的。



[ 本帖最后由 天月来了 于 2009-5-11 11:11 编辑 ]
天月来了
 楼主| 发表于 2009-5-11 10:54:02 | 显示全部楼层

回复 84楼 SONGLEI 的帖子

同时,哪怕现在能做到仅允许EXPLORER运行CMD

也是高度危险的,因为一旦EXPLORER运行CMD不被监控。

那么当你的移动存储设备内有依赖cmd运行的病毒时,并且该病毒是利用autorun.inf的自动播放来启动的话。

你双击U盘盘符的时候,就是桌面进程EXPLORER在启动病毒的,同时又因为病毒是依赖cmd工作的,那时侯就是EXPLORER运行CMD的过程。

而你因为已经能够作到仅允许EXPLORER运行CMD,那么这时候,这双击U盘盘符导致的EXPLORER运行CMD的过程是没法监控到的。

这问题在很多安全软件或HIPS类软件中,都没能得到更好的解决。

你自己弄个批处理反复折腾这命令行和你刚才的单纯命令行的添加后的区别,反复一试即知。

[ 本帖最后由 天月来了 于 2009-5-11 10:55 编辑 ]
SONGLEI
发表于 2009-5-11 10:58:09 | 显示全部楼层
原帖由 天月来了 于 2009-5-11 10:46 发表
看我83楼,细细想一想所谓命令行应用的逻辑顺序。

也就是说我们的一些程序是和病毒一样要依赖系统的部分程序工作的。

我们既不能永久禁止系统的那部分程序,又要那系统的部分程序能被我们自己的正常程序所调用 ...


大致明白了,再看70楼的图片,第2、3张图确实很可疑了,命令行显示的GAMEEEEEE.VBS和GAMEEEEEE.PIF是真正要执行的
天月来了
 楼主| 发表于 2009-5-11 11:14:14 | 显示全部楼层

回复 87楼 SONGLEI 的帖子

对于你个人日常需要手工运行cmd做事,只有每次启动的时候,点一次允许了。

否则没好办法。

因为这cmd是几乎绝大多数病毒都需要调用的。

哪怕仅允许EXPLORER运行CMD,也会导致监控遗漏的。
SONGLEI
发表于 2009-5-11 11:21:16 | 显示全部楼层
原帖由 天月来了 于 2009-5-11 10:54 发表
同时,哪怕现在能做到仅允许EXPLORER运行CMD

也是高度危险的,因为一旦EXPLORER运行CMD不被监控。

那么当你的移动存储设备内有依赖cmd运行的病毒时,并且该病毒是利用autorun.inf的自动播放来启动的话。

你 ...


明白了,HIPS的AD也没有操作命令行的。有用惯HIPS的却嫌监视器的AD只有黑白名单,没有更多的AD分组。
事实上这款监视器的AD是真正简单而高效的。HIPS是通过阻止U盘根目录的可执行程序来防止,这样也妨碍了正常的程序
天月来了
 楼主| 发表于 2009-5-11 11:32:07 | 显示全部楼层
明白了,HIPS的AD也没有操作命令行的。
(这个还是有的,例如收费的SSM和EQ以及RTD等软件都是有这个命令行参数的规则添加的。)

有用惯HIPS的却嫌监视器的AD只有黑白名单,没有更多的AD分组。
(这个不少HIPS类软件还是有分组功能的,只是会灵活运用的人不多而已。)

事实上这款监视器的AD是真正简单而高效的。HIPS是通过阻止U盘根目录的可执行程序来防止,这样也妨碍了正常的程序。
(这个监视器的监控真是简单而高效的,同时它还是绿色免安装的程序,这是目前监控类软件中唯一的了)
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 14:07 , Processed in 0.103519 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表