V5默认规则防不了恶意VBS脚本么？

显示全部楼层 · 发表于 2010-9-26 09:39:23

规则最上方建立wscript.exe的规则吧，先在保护目录加入*，然后wscript不允许修改被保护目录......注意优先级 ...
ring0biao 发表于 2010.9.26 09:14

请看标题：默认规则……

要写无敌限制规则，我不如用纯HIPS，写COMODO的规则还有一堆的优先级问题要考虑，更烦！

显示全部楼层 · 发表于 2010-9-26 09:46:33

本帖最后由 zlj_lf 于 2010.9.26 09:47 编辑

RT

是因为它完全信任wscript.exe？

忘了说，包括开着疯狂模式，包括开着沙箱，一样防不住。
vvvv1000 发表于 2010.9.25 22:28

VBS病毒是通过wscript.exe来执行的。就像你打开.doc文件一样，是word来打开的。

所以想防脚本病毒，必须所这个程序以及cmd.exe的规则设置好。

另外还有一个.msi后缀的病毒，默认规则下，你直接运行肯定被过。因为它是通过msiexec.exe来执行，确好，这个程序在默认规则中是安装更新的权限。

V5默认下，WINDOWS的签名程序是信任的。所以说，去掉信任签名对于有点基础的人来说，也未尝不是件好事。

[讨论] V5默认规则防不了恶意VBS脚本么？