使用CLT测试，发现这两项不能防御，请教高手们！

显示全部楼层 · 发表于 2010-9-12 02:15:40

本帖最后由 sjyou 于 2010.9.12 02:44 编辑

23. Impersonation: ExplorerAsParent	Vulnerable
24. Impersonation: DDE	Vulnerable

刚测试的~其他都防御了，就这两项无法防御~不知道有没有什么建议？

其他的都还好，另外有一项写入系统文件夹下的vbs文件好像，我刚点毛豆就自动提示云扫描结果，要求清楚该病毒了，不知道大家什么情况？

最后还想请教下大大们，不知道有没有人用Total Commander这个软件，不知道大家给他什么权限？能否截个图？

显示全部楼层 · 发表于 2010-9-12 07:10:16

还是菜鸟，看不懂你写的

显示全部楼层 · 发表于 2010-9-12 08:31:19

回复 1楼 sjyou 的帖子

一个是调用explorer的权限（V3是调用，V4是访问内存），另一个貌似和调用浏览器有关

两个都是调用别的程序实现自身的动作，比如说explorer，在常规状态下他的权限很大，调用它就可以完成某些动作，所以一般看到这种调用或者访问内存第一反应就是阻止

那些测试工具都是测试性的，没毒，直接排除，方便下次使用

显示全部楼层 · 发表于 2010-9-12 11:56:45

回复 3楼 accordion 的帖子

好的，我尝试修改一下规则~还有一个问下，在V5中提示“创建进程”，这个在哪里添加允许呢？

显示全部楼层 · 发表于 2010-9-12 12:00:29

回复 4楼 sjyou 的帖子

创建进程是不能全局允许的，如果你想全部都允许，那就在例外允许里面加“*"即可

显示全部楼层 · 发表于 2010-9-12 13:15:50

回复 5楼 accordion 的帖子

不，我的意思不是全局允许~
我的意思是针对某一个程序。能说下具体在哪里设置允许么？是在“进程间内存访问”还是在“运行一个可执行的程序”？

显示全部楼层 · 发表于 2010-9-12 13:25:58

回复 6楼 sjyou 的帖子

我说的“全局”就是针对某规则而言的~~~

创建进程=执行一个可执行的程序

显示全部楼层 · 发表于 2010-9-12 13:43:04

回复 7楼 accordion 的帖子

了解了~哈哈哈~非常感谢，搞定了！

[求助] 使用CLT测试，发现这两项不能防御，请教高手们！

浏览过的版块