关于阻止某个程序创建进程的求助

flying110

比如我设explorer.exe的规则是询问是否运行可执行程序，然后我双击某个a.exe，弹出窗口让我选择，我选阻止并记住，则下次双击a.exe直接被阻止，但通过其他程序调用a.exe则又能运行，那么能不能在第一次运行的时候直接将他设为无论谁都无法运行它？谢谢
另外a.exe被阻止并记住之后我再双击会有“windows无法访问指定设备。。。”能不能如何设置使他不跳出这个窗口，只是阻止运行？
还有一点不懂，把a.exe加入隔离区，双击还是会有弹窗提示是否让explorer创建进程，不能直接组织运行的吗？

[ 本帖最后由 flying110 于 2009-7-13 18:10 编辑 ]

Mr.Z

那么能不能在第一次运行的时候直接将他设为无论谁都无法运行它 ---- 不行

另外a.exe被阻止并记住之后我再双击会有“windows无法访问指定设备。。。”能不能如何设置使他不跳出这个窗口，只是阻止运行？ ------你自己主動去開它,當然會出顯示,你不按它就不會

轻闲一柳

第一个问题，直接把a.exe丢进毛豆的隔离区，最简单；复杂的——修改d+的规则，修改的复杂程度，视使用者自己规则的多少来定

第二个问题，ms所有的纯hips都不能，只是不同的纯hips，此时弹窗的内容不同，实际上是拦截的位置不同

[ 本帖最后由 轻闲一柳 于 2009-7-13 18:15 编辑 ]

flying110

再弱弱的问下，如果把explore的规则是询问是否运行可执行程序，以后需要这个规则判断的程序越来越多，到几百个之后会不会拖慢判断的时间，导致程序打开变慢？

Mr.Z

沒甚麼感覺

月光下的忍者

那么能不能在第一次运行的时候直接将他设为无论谁都无法运行它？

事先扔进隔离区，或者新建全局阻止其运行~

“windows无法访问指定设备。。。”

这个弹窗很好，木马一般运行后也看不出来运行，通过这个弹窗，让你放心它已经被阻止运行了。

轻闲一柳

新建全局阻止不一定能搞定，如果有程序的AD的创建新进程的规则是有通配符，并且此程序规则优先级高于全局。只是提个可能的情况  如果毛豆加个规则搜索的功能，排除起来更方便

月光下的忍者

一定可以搞定~

只要新建的这个阻止运行的全局规则在最上面，就是除隔离区外的最高优先级~

轻闲一柳

呵呵，如果你6楼早加上这个前提，偶就不用回7楼的贴来提醒lz注意优先级了。注意了优先级，新建全局阻止就可以，没注意就不一定可以，有不对吗？

[ 本帖最后由 轻闲一柳 于 2009-7-13 20:56 编辑 ]

Anderson997

这里默认手动添加的全局就是拉到规则最上面的。。。
潜规则？