CIS无法拦截DLL嵌入和线程插入

223311

原帖由 穿越星空 于 2009-9-28 20:09 发表
　　那有没有什么可以显示得更具体的HIPS呢？
　　PS：Comodo难道只靠FW吃饭？不太现实吧？

建议你去看一下Malware Defender，也许这一款拦截得更加细腻的HIPS会适合你的需求。不过，它不是免费的。

lujunji1987

EQ肯定可以，我也觉得毛豆的HIPS做的很一般，特别是安装软件，他那个安装模式个人不太信得过，而用EQ的话安装软件的风险就小很多，当然MD也一样，个人觉得MD是毛豆和EQ HIPS得结合体……当然毛豆区这么火，用的人这么多自然有他存在的道理，更新的勤快自然有好处。

aobama

D+ ,高级设置，可执行镜像 ，常规， 将模块调制 正常或主动，  
    文件检查中加入 *.dll。 OK!

穿越星空

　　Malware Defender我也觉得不错，不过我觉得它的ARK功能更好，可以弥补XueTr的一些不足，HIPS倒没太多关注过。
　　不过不是免费的倒是个现实问题。

穿越星空

　　EQ是我使用的第一款HIPS，由于当时的经验不足和准备不充分，所以最后还是放弃了，可惜现在也收费了，免费的HIPS已经不多了。
　　毛豆的安装模式我几乎不用，感觉像鸡肋，只是不知为什么用毛豆的人那么多，感觉国人开发的两款更适合我们使用，难道都跟我一样是价格的原因？

穿越星空

　　已设置为主动，并且添加了其他可执行文件，dll是忽略了，不过这个功能我现在也不是很清楚到底怎么回事，帮助文件也说得不够具体。

jony327

毛豆拦的相当宽 分的确实不太细 但我没觉得分那么细有什么用 毛豆的唯一（主要）缺点是操作比较麻烦
cis中最好的模块是FW,D+也相当全面，AV要来日方长。 都不靠这些吃饭，cis是用来show的，虽然有pro，目前买的恐怕不多，美国应该会有，中国应该是0。

evilrabbit

comodo，很有前途，以后和kis有得一拼

穿越星空

　　其实也有人和我有相同的看法，比如进程间内存访问吧，现在的程序几乎都有，不允许不行，但是允许了之后，就读写都允许了，这样就无法远程线程和DLL插入了，所以细一些能控制得更好，更具体，当然更麻烦也是正常的。
　　因为觉得Comodo的FW不错，所以装了，D+卸载不掉，只能用了，既然两个都用了，也不差AV了。

lhc-yuan

讨论的有点专业嘛