关于像svchost,service，rundll32这些系统程序

accordion

ＲＴ这些程序，一开系统就会出现．．．


最近运行程序才发现，对于这些程序，只要程序想调用，不会有弹窗（对exploer的规则调用程序已经全部设为询问）


问题来了．．．对于这些程序，本身是系统程序规则就不能太严，但如果被病毒，木马利用的话．．．（不知道会不会．．．比如说调用了service，直接加驱．．．）

对于这些问题应该怎么解决？，是否要准备像驱动白名单这类的东西来限制？

柯林

回复 1# accordion 的帖子[/b
这问题很好回答，svchost和services直接由毛豆按系统程序处理了，rundll32之类在3.0里自动弹窗按未知程序设置【默认对未知全局监控】，4.0里直接沙盘中运行或者按内部集成白名单所给予的安全权限处置。

病毒木马要对它利用，请参考病毒木马的注入方式，会被D+弹窗询问的；其二，默认把未知程序运行于沙盘，沙盘内的程序要调用svchost之类来搞破坏，有沙盘隔离的，没那么容易。

加驱之类的问题，先要有驱才可以加，没驱只能加空气，全局监控了sys文件，不随便点允许，要放个驱出来也没法放。至于服务注册及启动，需要修改注册表，RD防御了，怎么行？如果是沙盘内的，改写虚拟注册表的服务项，属于重大事件，应该会弹窗询问——可以在沙盘里安装带驱的程序验证一下。

   

accordion

那利用svchost感染所有应用程序是怎么回事？


或者说哪天疏忽了给病毒成功调用了怎么办

pastport

那也要先感染svchost 啊
弹框要看好
沙盘里的弹出来
点allow要慎

nakaxila

那就看楼主水平了,如果是hips控的化,像我就把安全级别开最高
所有系统动作都要允许,代价就是非常的麻烦和繁琐
而且需要一段比较长的时间来形成自己的规则,在此期间必须忍受卡机,拖速等一系列问题
但是用出来就好了
有了自己成型的规则,基本就可以放心使用了
还是那句话,要看使用者本人的水平,否则再好的工具也是白费...

穿越星空

　　对系统程序放宽运行，同时对他们进行保护。Rundll32一般多设询问，然后根据弹窗临时匹配规则。

wongzhen

打磨COMODO真是力气活