允许进程间内存访问explore.exe，却禁止修改的办法(已经证明行不通）

ddfga

允许进程间内存访问explore.exe，却禁止修改的办法！！！
使用毛豆有一段时间的人都知道，许多木马都喜欢修改explore.exe来创建新的木马程序。但是毛豆读写不分。全部禁止了影响使用，全部允许了又非常的不安全。因此我几度想放弃毛豆。
昨天舒舒服服的躺在床上，灵光一闪，找到了解决办法。
1进程间内存访问 允许 explore.exe
2受保护的文件/目录 --阻止的文件/文件夹--添加--正在运行的程序--点击explore.exe-选择
自动出现的项目是 C:\WINDOWS\explorer.exe

毛豆只是说保护这个文件，可没说一定只能是在磁盘里，应该也是包括内存里面的程序啊。
证明：弹窗询问 A程序访问 explore.exe，允许并建立规则后。查看其自动建立的规则， 在进程间内存访问-允许里面 依然是 C:\WINDOWS\explorer.exe。这说明 毛豆对于“C:\WINDOWS\explorer.exe“这个东西的理解，是包括 磁盘和内存中的该程序的。
按照这个方法，就可以允许读取，却禁止修改、删除、新建explore了。哈哈吼！！！

我实验了正常程序都可以正常运行。但是对于木马修改explore的行为，我实在是无法验证。请有能力的帮忙验证一下。
-----------------------------------------------
那是毛豆对内存的读,写,创建远程线程是混在一齐的。
进程间内存访问 其选项是如果允许了 explore, 意味着同意对 explore的 读取，由explore 可以创建新的进程，甚至修改EXPLORE（木马病毒最常干的事情。）

经过和高人的讨论。争论点在于  受保护的文件/目录   可不可以保护内存里面的程序。
虽然选择的是内存进程，但是保护的其实还是文件，并不保护程序。
而我的意思是 毛豆的帮助文件里面，并没有说 受保护的文件/目录   不可以保护内存里面的程序。。而毛豆的 FD AD 其实是我们用户自己划分的，未必那么一定。
口水无意义。谁能帮忙验证一下， 受保护的文件/目录  禁止某个程序的文件之后，能否修改内存里面的 该程序？
我自己实在不会验证，要不然就直接上图了。
请能者多劳吧。先行谢过了。

右剑

explorer.exe如果崩溃了还能新建不？木马只是插入到explorer进程中算修改么？可以防止ADS数据流依附在其上么？

sunny123sp

你真晕啊 呵呵

ddfga

explorer.exe如果崩溃了还能新建不？木马只是插入到explorer进程中算修改么？可以防止ADS数据流依附在其上么 ...
右剑 发表于 2010-5-27 10:59

毛豆的FD的禁止的内容是禁止 修改，新建，删除该文件名的文件。
至于 ADS数据流依附在其上么 ...？？不懂

zlj_lf

不解

柯林

楼主搞这么一大堆干啥呢？
毛豆默认就是无视任何文件读取的，除非放入隔离区。
至于exe文件修改，默认已经全盘监控，有病毒木马要修改资源管理器，默认规则都会弹窗的。
访问进程内存，楼主有没有搞清是什么意思？
建议楼主还是花点时间学习一下置顶教程。

云小禅

AD和FD搞混了,我以前的经验是把普通程序按在同一目录,然后降权,降为普通用户就可.毛豆里访问EXP内存放行

ddfga

你是什么意思？这是你自己说的话吧？
进程间内存访问——包括了读取内存和修改内存两部分。极端危险的事件。Windows操作系统为每一个应用程序分配了一个4GB的虚拟内存空间，用来存放代码和数据。如果A程序修改了B程序的内存，就可能在其代码中添加恶意指令来控制该程序【术语上应该讲进程，为了通俗易懂，就说习惯上的程序吧】。鉴于毛豆的读写不分，谨慎允许该项吧。
卡饭常用词汇列表

ddfga

我知道保护文件属于FD 。但是 毛豆的FD是否只保护磁盘里面的内容，而内存的程序就不保护了？
其实就是一句话。A程序访问内存里面的explore ，和 A程序修改内存里面的explore 。这2个行为毛豆是弹窗，但是2个弹窗的提示信息是否一样？是否能准确的提示用户？规则里面如何能否区别对待？

穿越星空

楼主搞这么一大堆干啥呢？
毛豆默认就是无视任何文件读取的，除非放入隔离区。
至于exe文件修改，默认已经 ...
柯林 发表于 2010-5-27 21:21

　　的确如柯大所说，楼主先搞清楚HIPS的基本概念吧，文件保护和内存保护不是一回事。
　　纵观全文，我一直没能理解楼主说修改explorer是在内存中还是在磁盘上。木马的行为个人觉得修改其内存更多些，而修改其文件的很少见。
　　对毛豆而言，文件保护防写不防读，这正如柯大所言；而内存保护是读写一视同仁，这个楼主也已提到。毛豆文件保护通过“受保护的文件/目录”，保护内存通过“进程间内存访问”，当然这么说很片面。