挖出老帖子来询问

lujunji1987

不管怎么弄规则，哪怕是单独弄条规则把他置顶阻止所有消息，还是挂了……你是怎么做到只是记事本挂了的？

Ice-card

我记得sandworm说过没有防御全部的消息啊？

难道我记错了？

username

那东西发了很多种消息
然后MD拦了其中502种（看日志可以看到各种各样的……）
是这个意思= =
没说拦全部
但在我的机器上也没出现哪个程序崩溃了。

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_NULL
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_CREATE
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_DESTROY
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_MOVE
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: 0x0004
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_SIZE
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_ACTIVATE
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_SETFOCUS
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_KILLFOCUS
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: 0x0009
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_ENABLE
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_SETREDRAW
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_SETTEXT
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_GETTEXT
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_GETTEXTLENGTH
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_PAINT
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

2009-10-27 18:22:27    向其他进程发送消息    阻止
进程: d:\emule\x\x.exe
目标: c:\windows\system32\csrss.exe
消息: WM_CLOSE
规则: [应用程序]* -> [目标应用程序]c:\windows\system32\csrss.exe

[ 本帖最后由 username 于 2009-10-27 21:53 编辑 ]

Ice-card

这样啊，看样子消息也不是百分百能让程序崩溃

mygames10

原帖由 lujunji1987 于 2009-10-27 21:27 发表
不管怎么弄规则，哪怕是单独弄条规则把他置顶阻止所有消息，还是挂了……你是怎么做到只是记事本挂了的？

俺用的秘书规则做蓝本，吧全局规则修改了下。严格限制了下。不允许访问系统组、explorer、rundll、任务管理器、浏览器、杀软、系统驱动程序内存，阻止COM和注册表，进程结束高级里面阻止系统组、explorer、rundll、任务管理器、浏览器、杀软、系统驱动程序。窗口消息高级里面阻止系统组、explorer、rundll、任务管理器、浏览器、杀软、系统驱动程序。
因为对于未知程序不能太宽松，要靠日志打磨的。explorer崩溃那个估计是SB搞的鬼。 因为SB里面允许直接访问帮助服务，导致explorer启动winhlp32.exe给弄崩溃了。

[ 本帖最后由 mygames10 于 2009-10-27 22:16 编辑 ]

lujunji1987

我规则对那个程序专门制定了个规则，置顶并且都是询问的，要有消息的话也该提示的，我甚至设置为禁止也照样崩溃，不过马上又会恢复。貌似我用COMODO这么多天没见过发消息的日志……
EQ之类的之前好像是可以防的

[ 本帖最后由 lujunji1987 于 2009-10-27 22:35 编辑 ]

mygames10

原帖由 lujunji1987 于 2009-10-27 22:33 发表
我规则对那个程序专门制定了个规则，置顶并且都是询问的，要有消息的话也该提示的，我甚至设置为禁止也照样崩溃，不过马上又会恢复。貌似我用COMODO这么多天没见过发消息的日志……
EQ之类的之前好像是可以防的

毛豆D+的提示和日志很粗糙的，用SSM会看的很清楚。

lujunji1987

关键是一点都没提示，只是提示他要加载其自身，其他提示一点没有，我的规则还都是设询问的。

mygames10

原帖由 lujunji1987 于 2009-10-27 23:03 发表
关键是一点都没提示，只是提示他要加载其自身，其他提示一点没有，我的规则还都是设询问的。

这说明毛豆磕起来还是满牙疼的。其实俺用毛豆的FD+SSM也蛮爽。SSM就直观多了。

username

原帖由 mygames10 于 2009-10-28 00:52 发表

这说明毛豆磕起来还是满牙疼的。其实俺用毛豆的FD+SSM也蛮爽。SSM就直观多了。

ssm能拦那东西= =？
你测过了？