NOD32免杀

jlennon

原帖由 xpn282 于 2007-4-22 17:46 发表
还有一点不如人意的是...

程序1是合法程序..在PS规则中我们肯定对1进行允许启动的设置...但如果有一个恶意程序它要调用程序1...这时PS也不会在提示你了..因为我们已经对程序1设置为允许启动了..所以不管是谁 ...

PS的有三中设置，不选，打勾，和灰色，只有灰色才是运行并提示，你设置的是运行不提示，你却又想叫它提示，这不是

xpn282

灰色的....被加载提示.........

那1要启动时每次都提示你..不管是谁调用1..PS都会提示的..这样不是很烦吗

jlennon

第一次调用，你选择记忆，就不会再提示了，sigh，你都没摸熟就随便下结论，我被你汗死了，嘟嘟

PS：突然发现你有点不可爱了 ，开玩笑，

[ 本帖最后由 jlennon 于 2007-4-22 20:07 编辑 ]

xpn282

原帖由 jlennon 于 2007-4-22 19:48 发表



PS的有三中设置，不选，打勾，和灰色，只有灰色才是运行并提示，你设置的是运行不提示，你却又想叫它提示，这不是

现在不讨论这个了


讨论的是下面...你怎么不明白我的意思呢...

还有一点不如人意的是...

程序1是合法程序..在PS规则中我们肯定对1进行允许启动的设置...但如果有一个恶意程序它要调用程序1...这时PS也不会在提示你了..因为我们已经对程序1设置为允许启动了..所以不管是谁调用程序1都可以....[:27:]


我的测试: 拿超级兔子来测试
条件:  1. 把魔法设置程序添加进PS的规则中,,并允许它可以启动
            2.  规则并没有explorer.EXE和兔子主程序的规则存在..(可以假设explorer.EXE和兔子主程序是恶意程序)

结果:   1.  从兔子主程序中点击运行魔法设置程序...PS没提示你...
             2.  直接手动运行魔法设置程序..也就是说是拿explorer.EXE调用魔法设置程序..PS还是没提示你

测试总结:PS没提示你..是因为在规则中已经允许了魔法设置程序启动..所以不管是什么程序都可以调用魔法设置程序

xpn282

原帖由 jlennon 于 2007-4-22 20:06 发表
第一次调用，你选择记忆，就不会再提示了，sigh，你都没摸熟就随便下结论，我被你汗死了，嘟嘟

PS：突然发现你有点不可爱了 ，开玩笑，

你选择了记忆..以后不管是什么程序都可以调用它!!!!!!!!!!!!!!!

[ 本帖最后由 xpn282 于 2007-4-22 20:10 编辑 ]

jlennon

这不还是加载和被加载的提示问题嘛 ，是你没明白

xpn282

是你没明白

jlennon

原帖由 xpn282 于 2007-4-22 20:08 发表

你选择了记忆..以后不管是什么程序都可以调用它!!!!!!!!!!!!!!!

应该不可能，等一时我到家后，用自己的机器跑一下，把图P上来给你

solcroft

原帖由 jlennon 于 2007-4-22 21:42 发表


应该不可能，等一时我到家后，用自己的机器跑一下，把图P上来给你

刚试过了，结果和xpn的一模一样
可能是我们设置的问题

jlennon

我的测试: 拿超级兔子来测试
条件:  1. 把魔法设置程序添加进PS的规则中,,并允许它可以启动
            2.  规则并没有explorer.EXE和兔子主程序的规则存在..(可以假设explorer.EXE和兔子主程序是恶意程序)

结果:   1.  从兔子主程序中点击运行魔法设置程序...PS没提示你...
             2.  直接手动运行魔法设置程序..也就是说是拿explorer.EXE调用魔法设置程序..PS还是没提示你

测试总结:PS没提示你..是因为在规则中已经允许了魔法设置程序启动..所以不管是什么程序都可以调用魔法设置程序
======================================================
1.魔法设置已经有规则了，允许启动，那你设置的是被加载提示吗？
2.你用explorer.EXE运行魔法设置，肯定不提示，因为两个都有规则。

我提醒一下容易搞错的地方，你换个程序试，或者把explorer.EXE设置成加载其他程序提示，明白了吗？

PS和别的HIPS不一样。