楼主: photoshoop
收起左侧

[讨论] 假如熊猫烧香不去系统目录,而是随机找个目录释放,难道要把所有的exe锁住?!

[复制链接]
wweir
发表于 2007-2-7 17:00:20 | 显示全部楼层
我现在安装新软件,先开着严厉规则试试,看看日志阻止了什么,一般的病毒文件会调用这个,那个的系统程序和DLL文件,且数量较多,一般出现此类多为病毒,相反,则可以暂时禁用严厉规则安装了!(不是禁用所有访问保护)
tianmoboping
发表于 2007-2-8 21:38:49 | 显示全部楼层
呵呵。各有所爱,强求不来的。还是要看规则。不要设太死啦。
ouran
发表于 2007-2-8 22:23:17 | 显示全部楼层
防护规则尽量防止绝大多数侵袭即可,禁止整个计算机的exe文件被修改的策略并不是个好策略
原因如下:
系统关键区域的可执行文件具有稳定性,除非升级.所以保护对这些文件的写访问是个好策略.因为当我们去执行非系统分区一个小工具的更新程序的时候并不需要关闭这个规则,即使被欺骗执行了恶意代码,也没有大碍.
相反,如果采取**\*.exe这样的策略,我们关闭该规则的频率会高些,一旦骗取执行恶意程序,原来的exe已被修改,那么**\*.exe的规则就毫无意义了,孙子兵法曰"无所不备,则无所不寡",从而不分主次,就是这个意思.

还有,所有的规则都包含了几个假定:
1.假定系统的初始状态是干净的,大家都知道,实际情况有时候不是这样.
2.所有的规则都是完全有效的,事实情况也不随时随地都如此,在没有补丁的8.0上我们已经有体会了.可以肯定得说,8.5还是要修复程序,完善对攻击的拦截.

所以,所有的病毒防御措施(包括HIPS.特征码扫描,启发式)都不可能完全阻断新的攻击方式(我说的是新的攻击方式,不是运用老技术的新样本),操作系统的内存保护措施尚不十全十美,更不要说用一款软件抵御所有的特权提升.规则足够就行.没有必要牺牲过多的计算机性能去打造所谓"不透风的墙'了

[ 本帖最后由 ouran 于 2007-2-8 22:25 编辑 ]

评分

参与人数 1经验 +5 收起 理由
小邪邪 + 5 很好的意见

查看全部评分

zxc789
发表于 2007-2-8 22:39:35 | 显示全部楼层
相反,如果采取**\*.exe这样的策略,我们关闭该规则的频率会高些,一旦骗取执行恶意程序,原来的exe已被修改,那么**\*.exe的规则就毫无意义了,孙子兵法曰"无所不备,则无所不寡",从而不分主次,就是这个意思.
-------------------------
应该就是某些程序要升级的时候要被这条规则阻挡吧?~~我觉得还是不关闭的好~~把它们添加进排除进程不是更好?~~


还有,所有的规则都包含了几个假定:
1.假定系统的初始状态是干净的,大家都知道,实际情况有时候不是这样.
2.所有的规则都是完全有效的,事实情况也不随时随地都如此,在没有补丁的8.0上我们已经有体会了.可以肯定得说,8.5还是要修复程序,完善对攻击的拦截.
---------------------------------------
1. 就我的话~~不管你是干净还是不干净~~有毒还是没毒~~反正我这条规则就是禁止你可能存在的病毒修改正常程序~~也禁止你病毒程序(已存在的)进行自我联网升级~~我觉得干不干净对这条规则没什么影响啊~~

2. 8.0的我是直接用的补丁14~~能详细说说怎么回事吗?~~
不明白规则怎么会无效呢?~~
tonylu000
发表于 2007-2-8 23:07:46 | 显示全部楼层
要防治熊猫搞破坏全盘禁止写入创建EXE、GHO不就好了?毕竟正常情况下很少有会去写入EXE文件的,要更新的话暂时去掉就是了
hddgmon
发表于 2007-2-8 23:47:35 | 显示全部楼层
我做程序员的,但是不会写病毒(水平差劲精力有限)。
LZ这个假设有点道理~
但是,要做到  网络(或移动存储设备)-》内存-》写入非系统文件夹
这个过程如果不对系统文件进行修改,能顺利执行么?
因为,向一个 文件 写入或修改 内容难道不要获得权限么?不修改系统文件又如何使自身获得权限呢?没有权限又怎么创建或修改非系统文件夹中的文件呢?
考虑考虑:)
Oceanzd
发表于 2007-2-9 03:41:08 | 显示全部楼层

回复 #16 hddgmon 的帖子

嗯。。。病毒会修改程序内存的。。。然后就是挂起。。。
hddgmon
发表于 2007-2-9 03:54:38 | 显示全部楼层
睡醒一觉看论坛! 大海版主真乃论坛中敬业之强人!业界之楷模!别这么晚睡觉,注意身体!(不会是再另个半球吧?!)灌过收工!继续睡觉!
明天再请教一下,修改内存的问题,鄙人认为内存中无论是站空间,还是堆空间都不能修改吧?最多也就是个冒充进程吧?莫非现在病毒都发展到修改内存了就凭那几十K代码?!
我的知识老化了!!看来要学习了!!
TZillustrier
发表于 2007-2-9 13:19:11 | 显示全部楼层
要求很高啊,稍有不慎........
bearorc
发表于 2007-2-9 14:38:38 | 显示全部楼层
原帖由 ouran 于 2007-2-8 22:23 发表
防护规则尽量防止绝大多数侵袭即可,禁止整个计算机的exe文件被修改的策略并不是个好策略
原因如下:
系统关键区域的可执行文件具有稳定性,除非升级.所以保护对这些文件的写访问是个好策略.因为当我们去执行非系 ...

非常同意,规则的过于严厉只能让使用过程中关闭监控变得更频繁,如此安全性上不增反降.
爱好去样本区抓病毒来调戏的当我没说,呵呵.个人爱好而已
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:00 , Processed in 0.101374 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表