数字卫士的驱动防火墙怎么什么都拦？

显示全部楼层 · 发表于 2010-6-8 20:33:37

数字也疯狂。。。。。。

显示全部楼层 · 发表于 2010-6-8 21:15:31

这个
我默默的路过

显示全部楼层 · 发表于 2010-6-8 21:21:26

好多高手。很好奇是什么原因。等着看看讨论的结果。

显示全部楼层 · 发表于 2010-6-8 21:24:00

来看热闹。

显示全部楼层 · 发表于 2010-6-8 21:45:44

这只能说明360还不够成熟！过个一两年再看吧

显示全部楼层 · 发表于 2010-6-8 22:01:49

我这连单文件QQ都报

显示全部楼层 · 发表于 2010-6-8 22:59:19

我解释一下吧，rgrk指的是人工入库，事实上xuetr的驱动改名后并不是完全不变的，而是会变体多次，文件的hash是会改变的，至于一些人说发现MD5没变化，那是因为报毒的同时360已经阻止了驱动加载，此时xuetr会立即删除原来的驱动并生成一个新的，而这个新驱动很大可能与首次加载的那个不在库驱动hash相同，所以造成了非黑名单驱动被报木马的情况。

希望截取到那个被报毒的驱动的，只需用手动hips跟一下xuetr.exe删除驱动的动作并阻止删除，同时结束xuetr进程，就能保留那个入库的驱动（设置隐藏属性也可以阻止，这样更加直观）

至于为什么不把首次释放的驱动入库，首次释放直接报木马的话，这个工具就不能用了，但是考虑到这个驱动的危险性，如果用户不能辨明弹窗中加载驱动和阻止驱动的含义，很明显这样的用户使用这种工具是非常危险的，所以直接阻止了对变形的驱动的加载，以后进程联动防护完成之后，就能直接结束父进程xuetr.exe，而不会连续弹窗

显示全部楼层 · 发表于 2010-6-8 23:01:14

数子，随便报报

好让用户安心

显示全部楼层 · 发表于 2010-6-9 00:17:27

打得热火朝天

显示全部楼层 · 发表于 2010-6-9 00:33:11

本帖最后由 eraylee 于 2010-6-9 01:53 编辑

白羊同学的解释很专业了...

[讨论] 数字卫士的驱动防火墙怎么什么都拦？

评分