假如熊猫烧香不去系统目录，而是随机找个目录释放，难道要把所有的exe锁住？！

wweir

我现在安装新软件，先开着严厉规则试试，看看日志阻止了什么，一般的病毒文件会调用这个，那个的系统程序和DLL文件，且数量较多，一般出现此类多为病毒，相反，则可以暂时禁用严厉规则安装了！（不是禁用所有访问保护）

tianmoboping

呵呵。各有所爱，强求不来的。还是要看规则。不要设太死啦。

ouran

防护规则尽量防止绝大多数侵袭即可,禁止整个计算机的exe文件被修改的策略并不是个好策略
原因如下:
系统关键区域的可执行文件具有稳定性,除非升级.所以保护对这些文件的写访问是个好策略.因为当我们去执行非系统分区一个小工具的更新程序的时候并不需要关闭这个规则,即使被欺骗执行了恶意代码,也没有大碍.
相反,如果采取**\*.exe这样的策略，我们关闭该规则的频率会高些，一旦骗取执行恶意程序，原来的exe已被修改，那么**\*.exe的规则就毫无意义了，孙子兵法曰＂无所不备，则无所不寡＂，从而不分主次，就是这个意思．

还有，所有的规则都包含了几个假定：
１．假定系统的初始状态是干净的，大家都知道，实际情况有时候不是这样．
２．所有的规则都是完全有效的，事实情况也不随时随地都如此，在没有补丁的８．０上我们已经有体会了．可以肯定得说，８．５还是要修复程序，完善对攻击的拦截．

所以，所有的病毒防御措施（包括HIPS．特征码扫描，启发式)都不可能完全阻断新的攻击方式（我说的是新的攻击方式，不是运用老技术的新样本),操作系统的内存保护措施尚不十全十美，更不要说用一款软件抵御所有的特权提升．规则足够就行．没有必要牺牲过多的计算机性能去打造所谓"不透风的墙＇了

[ 本帖最后由 ouran 于 2007-2-8 22:25 编辑 ]

zxc789

相反,如果采取**\*.exe这样的策略，我们关闭该规则的频率会高些，一旦骗取执行恶意程序，原来的exe已被修改，那么**\*.exe的规则就毫无意义了，孙子兵法曰＂无所不备，则无所不寡＂，从而不分主次，就是这个意思．
－－－－－－－－－－－－－－－－－－－－－－－－－
应该就是某些程序要升级的时候要被这条规则阻挡吧？～～我觉得还是不关闭的好～～把它们添加进排除进程不是更好？～～


还有，所有的规则都包含了几个假定：
１．假定系统的初始状态是干净的，大家都知道，实际情况有时候不是这样．
２．所有的规则都是完全有效的，事实情况也不随时随地都如此，在没有补丁的８．０上我们已经有体会了．可以肯定得说，８．５还是要修复程序，完善对攻击的拦截．
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
1. 就我的话～～不管你是干净还是不干净～～有毒还是没毒～～反正我这条规则就是禁止你可能存在的病毒修改正常程序～～也禁止你病毒程序（已存在的）进行自我联网升级～～我觉得干不干净对这条规则没什么影响啊～～

2. 8.0的我是直接用的补丁14～～能详细说说怎么回事吗？～～
不明白规则怎么会无效呢？～～

tonylu000

要防治熊猫搞破坏全盘禁止写入创建EXE、GHO不就好了？毕竟正常情况下很少有会去写入EXE文件的，要更新的话暂时去掉就是了

hddgmon

我做程序员的，但是不会写病毒（水平差劲精力有限）。
LZ这个假设有点道理～
但是，要做到  网络（或移动存储设备）－》内存－》写入非系统文件夹
这个过程如果不对系统文件进行修改，能顺利执行么？
因为，向一个 文件 写入或修改 内容难道不要获得权限么？不修改系统文件又如何使自身获得权限呢？没有权限又怎么创建或修改非系统文件夹中的文件呢？
考虑考虑：）

Oceanzd

嗯。。。病毒会修改程序内存的。。。然后就是挂起。。。

hddgmon

睡醒一觉看论坛！ 大海版主真乃论坛中敬业之强人！业界之楷模！别这么晚睡觉，注意身体！（不会是再另个半球吧？！）灌过收工！继续睡觉！
明天再请教一下，修改内存的问题，鄙人认为内存中无论是站空间，还是堆空间都不能修改吧？最多也就是个冒充进程吧？莫非现在病毒都发展到修改内存了就凭那几十K代码？！
我的知识老化了！！看来要学习了！！

TZillustrier

要求很高啊,稍有不慎........

bearorc

原帖由 ouran 于 2007-2-8 22:23 发表
防护规则尽量防止绝大多数侵袭即可,禁止整个计算机的exe文件被修改的策略并不是个好策略
原因如下:
系统关键区域的可执行文件具有稳定性,除非升级.所以保护对这些文件的写访问是个好策略.因为当我们去执行非系 ...

非常同意,规则的过于严厉只能让使用过程中关闭监控变得更频繁,如此安全性上不增反降.
爱好去样本区抓病毒来调戏的当我没说,呵呵.个人爱好而已