查看: 3177|回复: 13
收起左侧

[讨论] 熟悉规则的大家来看看

[复制链接]
ppoa
发表于 2007-2-27 11:35:55 | 显示全部楼层 |阅读模式
这是我的日志,我认为对于这种系统服务都可以添加进排除项,没什么安全问题!
说的不对的,请大家发言说说!
这样以后其他人就不用重复问了,仅当抛转引玉了!
望斑竹置顶!


2007-2-27        11:37:18        1092        NT AUTHORITY\SYSTEM        C:\WINDOWS\System32\svchost.exe        C:\Program Files\Microsoft SQL Server\MSSQL\binn\ums.dll        防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件


2007-2-27        11:21:33        1092        Y9DPCY4O3CKB4JR\Administrator        \??

\C:\WINDOWS\system32\winlogon.exe        C:\Documents and Settings\Administrator\ntuser.ini       

用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:06        1092        NT AUTHORITY\SYSTEM        C:\WINDOWS\system32

\services.exe        C:\WINDOWS\setupapi.log        用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:15        1092        NT AUTHORITY\SYSTEM        C:\WINDOWS\System32

\svchost.exe        C:\WINDOWS\system32\WBEM\Repository\FS\MAPPING.VER        用户定义的规则:C盘防

病毒保护         

         
2007-2-27        11:23:18        1092        NT AUTHORITY\SYSTEM        \??\C:\WINDOWS\system32

\winlogon.exe        C:\Documents and Settings\Administrator\Local Settings\desktop.ini        用户

定义的规则:C盘防病毒保护         

2007-2-27        11:23:19        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\userinit.exe        C:\WINDOWS\debug\UserMode\ChkAcc.log        用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:19        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\lsass.exe        C:\Documents and Settings\Administrator\Application

Data\Microsoft\Protect\CREDHIST        用户定义的规则:C盘防病毒保护
         
2007-2-27        11:23:19        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\rundll32.exe        C:\WINDOWS\setupapi.log        用户定义的规则:C盘防病毒保护         

2007-2-27        11:23:22        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\ctfmon.exe        \REGISTRY\USER\S-1-5-21-3471048769-32881830-699875938-500

\Software\Microsoft\Windows\CurrentVersion\Run\ctfmon.exe        通用最大保护:禁止将程序注册

为自动运行         

2007-2-27        11:23:22        1092        Y9DPCY4O3CKB4JR\Administrator        C:\WINDOWS\system32

\ctfmon.exe        C:\WINDOWS\debug\UserMode\ChkAcc.log        用户定义的规则:C盘防病毒保护

[ 本帖最后由 ppoa 于 2007-2-27 11:38 编辑 ]

评分

参与人数 1经验 +5 收起 理由
小邪邪 + 5 感谢分享

查看全部评分

ppoa
 楼主| 发表于 2007-2-27 11:52:57 | 显示全部楼层
怎么这会大家都不在吗?
sxingbai
发表于 2007-2-27 11:57:18 | 显示全部楼层
并不是系统程序的行为都可排除,要看它执行是什么文件
系统程序又是由是被谁调用的
呆子
发表于 2007-2-27 12:32:10 | 显示全部楼层
svchost.exe这进程不好排除吧。要是病毒调用他怎么办???
ppoa
 楼主| 发表于 2007-2-27 13:13:03 | 显示全部楼层
谢谢回答!
但就上面的日志来说,应该是没有什么问题吧!
大家都来说说!
wweir
发表于 2007-2-27 16:32:14 | 显示全部楼层
认为没什么问题!
yumiren89
发表于 2007-2-27 17:36:03 | 显示全部楼层
好规则可以置顶,排除因人而异
c盘防病毒保护  触动太多,过于笼统,不要也罢
dier
发表于 2007-2-28 01:01:12 | 显示全部楼层
C盘防护?  具体规则是什么?
这个可能有点麻烦,似乎太大了
ppoa
 楼主| 发表于 2007-2-28 13:37:08 | 显示全部楼层
c盘防病毒保护规则
具体只是禁止任何程序写入和删除C盘下的任何东西!
谢谢大家的关注!
jlennon
头像被屏蔽
发表于 2007-2-28 17:47:42 | 显示全部楼层
你把系统主要进程禁止了,你的系统还能做什么???

系统进程被排除与病毒调用系统进程完全是两回事,系统进程调用DLL,很正常啊,但是病毒木马要调用系统进程要HOOK进程,咖啡可没排除这样的行为,怎么会出事??
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:30 , Processed in 0.128770 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表