如何用comodo阻止恶意程序在杀软目录或系统关键目录创建，运行*.exe等可执行程序

zhangkun0214

以前用threatfire（由于老是无故导致死机，还有更新BUG，卸载了），可以阻止恶意程序在关键目录创建*。exe等可执行程序，请教毛豆可否实现，貌似小红伞有个可执行镜像控制？？是怎么一回事？

sz5afc

没人回答吗，我来消灭下0回复
第一个问题：给你要阻止的恶意程序添加一条自定义规则，在受保护的文件或目录那里的黑名单中添加目录，则该程序不能在这些目录中创建文件

如果说得不对，高手指正下

zhangkun0214

回复 2# sz5afc
关键是没有恶意程序在电脑里啊，我想预防未知恶意程序（这个想法有点……）

柯林

回复 3# zhangkun0214
最简单的方法——看弹窗。毛豆已经把exe等可执行文件列入监控，如果你不是开的学习模式或者禁用D+，当有未知程序试图创建、修改、删除计算机里任何一个地方的exe文件，毛豆会弹窗警告，看到目标路径是杀软的，不用多说了吧，点阻止即可。
如果嫌弹窗烦人，全局规则——FD里——优先阻止杀软目录，毛豆将静默阻止任何未知程序对杀软目录下的任何文件的创建、修改、删除。

cucook520

是所有程序规则吧

zhangkun0214

回复 4# 柯林


    我开的是干净模式，（安全模式下有时候会出问题）我试了一下，是不是这样：所有程序——访问权限——受保护的文件——阻止修改的文件/目录——小红伞目录，这样的话，除了自己创建一个空文件夹在小红伞目录里可以，其他，删除，移动，小红伞目录里的东西都不可以了，那个镜像文件控制是怎么一回事？

slm513

回复 6# zhangkun0214
小红伞的目录还要加入我的受保护文件中

zhangkun0214

回复 7# slm513

虽说小红伞也有自保，可是双重保险，不过分吧

柯林

回复 6# zhangkun0214
网上资料——
“进程”，是指一个可执行文件在运行期间请求系统在内存里开辟给它的数据信息块，系统通过控制这个数据块为运行中的程序提供数据交换和决定程序生存期限，任何程序都必须拥有至少一个进程，否则它不被系统承认。进程从某一方面而言就是可执行文件把自身从存储介质复制在内存中的映像，它通常和某个在磁盘上的文件保持着对应关系，一个完整的进程信息包括很多方面的数据，我们使用进程查看工具看到的“应用程序”选项卡包含的是进程的标题，而“进程”选项卡包含的是进程文件名、进程标识符、占用内存等，其中“进程文件名”和“进程标识符”是必须掌握的关键，“进程标识符”是系统分配给进程内存空间时指定的唯一数字，进程从载入内存到结束运行的期间里这个数字都是保持不变的，而“进程文件名”则是对应着的介质存储文件名称，根据“进程文件名”我们就可以找到最初的可执行文件位置。

根据资料说明，加载镜像文件就是指一个可执行文件（exe、dll……）被复制到内存中加以运行，也叫执行，这个动作叫做创建进程。
所有活动的程序都是在内存中运行的，如果不加载进内存，只是躺在磁盘上的一个不会动的可执行文件而已。

深度扫描

彻底学习。。。。。