NOD32免杀

solcroft

ps的操作方式和其他hips似乎不太一样
打个比方，1.exe想调动2.exe
一般的hips提示一次便算，ps却把它看成两个动作，第一个动作是1.exe要求调动2.exe，第二个动作是2.exe启动，两次它都报

ps绝对有保护修改程序内存的，jlennon抓的图哦有看过
反而是eq的ad缺少这个功能... 希望能改进

jlennon

对，PS就是这样，每个程序都有加载与被加载这一项。

PS：谈谈你用的感想，除了界面，界面都直接和作者说了超级老土难看的要死，他自己也很不好意思。

[ 本帖最后由 jlennon 于 2007-4-22 03:44 编辑 ]

xpn282

EQ有修改内存的保护..我倒觉得PS没有..我试运行了一个CS作弊器..EQ就提示了2次..一次的修改内存.一次是创建远程线程..而换了PS就没一点提示.!!!!!!!!!!





还有就是关于前面solcroft说的做法可以让EXP运行其他程序时不提示...但是有瑕疵的...但我拿沙盘做实验时,,沙盘启动IE时是提示了..但IE再启动沙盘的程序A时就没提示了..沙盘程序A又会启动沙盘程序C..PS也不提示...日志中看见默认允许了..注:我AD规则里根本没添加沙盘的程序..
只有把这勾起来PS才能提示完整..solcroft的做法是把钩去掉..去掉后就出现提示不完整的状况..真不知道PS是怎么运作的

可见前面solcroft所说的做法行不通............



还有就是servicrs.exe会安装各种正常的驱动.
.
但在AD中不可以给servicrs.exe设规则说只能加载指定的驱动.....不管加载什么驱动都提示你..如果你在提示框中钩上"永远按照此操作执行"的话,,以后servicrs.exe在加载别的驱动是永远都不提示你了....

[ 本帖最后由 xpn282 于 2007-4-22 15:54 编辑 ]

xpn282

原帖由 solcroft 于 2007-4-22 02:13 发表

不是
父进程如果在AD规则里设置好了调动子进程前先询问，还是会出现提示的
刚做过小测试，自己动手打开notepad时ps不作响，用ie调动notepad的话ps报了

我已经确认你说的那方法不对了...
你上面的测试里..IE肯定是有规则了..而且设的是IE加载其他程序时询问..所以你的IE调用了notepad就会提示你...如果你把IE的规则去掉后..我想就不会提示你IE要调用notepad了

你试试看..



我刚才重新测试了一下:  拿超级兔子来测试..
条件:      1.把“阻止新程序运行”前的勾去掉..
                2.explorer.exe规则里设允许加载其他程序
                3.AD规则里不允许有超级兔子任何程序的规则存在

结果:   
1. 手动运行兔子主程序...当然我已经允许了explorer.exe加载其他程序..所以不会提示了...
2. 在兔子主程序中点击魔法设置...也就是说用兔子主程序调用魔法设置程序..呵呵..PS并没有提示


可见你所说的方法行不通

[ 本帖最后由 xpn282 于 2007-4-22 16:36 编辑 ]

solcroft

原帖由 xpn282 于 2007-4-22 17:45 发表

我已经确认你说的那方法不对了...
你上面的测试里..IE肯定是有规则了..而且设的是IE加载其他程序时询问..所以你的IE调用了notepad就会提示你...如果你把IE的规则去掉后..我想就不会提示你IE要调用notepad了
...

试了... 你说得对... AD里没有进程规则的话那个进程想调动其他进程便没有提示了

xpn282

所以PS对与规则的设置并不灵活....
我想手动运行程序不提示的话..只有2种办法就是
1.把程序启动这项保护关了...关的话,那还要HIPS干吗!!!
2.就是给每个你要手动运行的程序添加规则...麻烦啊..

solcroft

原帖由 xpn282 于 2007-4-22 18:12 发表
所以PS对与规则的设置并不灵活....
我想手动运行程序不提示的话..只有2种办法就是
1.把程序启动这项保护关了...关的话,那还要HIPS干吗!!!
2.就是给每个你要手动运行的程序添加规则...麻烦啊..

看样子来，调动子进程这个动作，除非AD里已经有父进程的规则，PS不会提示...

xpn282

还有一点不如人意的是...

程序1是合法程序..在PS规则中我们肯定对1进行允许启动的设置...但如果有一个恶意程序它要调用程序1...这时PS也不会在提示你了..因为我们已经对程序1设置为允许启动了..所以不管是谁调用程序1都可以....[:27:]


我的测试: 拿超级兔子来测试
条件:  1. 把魔法设置程序添加进PS的规则中,,并允许它可以启动
            2.  规则并没有explorer.EXE和兔子主程序的规则存在..(可以假设explorer.EXE和兔子主程序是恶意程序)

结果:   1.  从兔子主程序中点击运行魔法设置程序...PS没提示你...
             2.  直接手动运行魔法设置程序..也就是说是拿explorer.EXE调用魔法设置程序..PS还是没提示你

测试总结:PS没提示你..是因为在规则中已经允许了魔法设置程序启动..所以不管是什么程序都可以调用魔法设置程序


PS的路还很长啊...相比之下EQ在这一点比它高级灵活多了

[ 本帖最后由 xpn282 于 2007-4-22 17:58 编辑 ]

solcroft

原帖由 xpn282 于 2007-4-22 19:16 发表
还有一点不如人意的是...

程序1是合法程序..在PS规则中我们肯定对1进行允许启动的设置...但如果有一个恶意程序它要调用程序1...这时PS也不会在提示你了..因为我们已经对程序1设置为允许启动了..所以不管是谁 ...

还是投回SSM的怀抱

jlennon

PS的AD是这样的，每个程序都有两个设置，加载和被加载，如你所说的，1是被允许运行的，另一个恶意程序调用1，只要你在1的AD设置的被加载项设置成灰色（就是被加载提示），你不选的话怎么会提示呢？或你是打勾，那是允许被加载而不提示，SO.......

[ 本帖最后由 jlennon 于 2007-4-22 19:39 编辑 ]