FD防护的归属问题。

显示全部楼层 · 发表于 2010-3-14 12:19:10

本帖最后由 ddfga 于 2010-3-21 18:33 编辑

A.EXE 修改exploer.exe 在C盘建立病毒文件。对于该行为的FD的防护规则，是属于 A.EXE 的还是exploer.exe 。
举例来说：建立规则A.EXE 不能在C盘建立任何文件。exploer.exe的规则是完全无限制的。
现在A.EXE 修改exploer.exe后通过exploer.exe在C盘建立病毒文件。毛豆认定该行为是属于A.EXE还是exploer.exe ？能否建立建立病毒文件？

我的猜测是可以的。但是我不知道如何验证。

如果A.exe是在沙盘里面运行呢，一系列的动作对explorer.exe的修改，创建病毒文件也会是在沙盘里面运行吗

显示全部楼层 · 发表于 2010-3-14 12:33:31

毛豆的FD就是整一坨，阻止建立了即阻止了修改
另外你的举例放在EQ或MD上是可行的。

显示全部楼层 · 发表于 2010-3-14 12:40:27

我倒，你根本没看明白我意思。我修改了说法，你再看一下吧

毛豆的FD就是整一坨，阻止建立了即阻止了修改
另外你的举例放在EQ或MD上是可行的。
lujunji1987 发表于 2010-3-14 12:33

显示全部楼层 · 发表于 2010-3-14 12:48:34

注入，算 Explorer 吧

显示全部楼层 · 发表于 2010-3-14 13:32:28

本帖最后由 lujunji1987 于 2010-3-14 13:37 编辑

既然是利用explorer.exe的当然是属于修改后的explorer.exe了……

显示全部楼层 · 发表于 2010-3-14 13:39:48

回复 1# ddfga
创建修改删除exe文件，属于全局规则*默认的监控
病毒注入explorer属于AD防御【包括访问explorer内存，安装全局钩子到explorer上等】

显示全部楼层 · 发表于 2010-3-14 17:44:25

如果放行A.EXE对explorer.exe的修改，那explorer.exe在C盘创建病毒文件自然是按照explorer.exe的规则来处理，也就是允许（不考虑其它因素）

显示全部楼层 · 发表于 2010-3-14 17:52:25

当然是explorer了..

显示全部楼层 · 发表于 2010-3-14 18:24:29

访问权归属如7楼所言。
相关话题是，explorer都被修改了，该系统已经废了，对于防护而言是极大的失败。

显示全部楼层 · 发表于 2010-3-14 19:55:29

[讨论] FD防护的归属问题。

评分

浏览过的版块