防止svchost.exe被插入木马

显示全部楼层 · 发表于 2007-5-6 23:07:37

超级规则里有这条，它是多层防护，可以不用的

显示全部楼层 · 发表于 2007-5-7 10:32:15

一般通过svchost启动的木马都是修改注册表的，而不是直接对其操作的，卡巴主动防御开着的话能监控到

显示全部楼层 · 发表于 2007-5-7 11:02:04

13楼卡巴主动防御开着的话能监控到
这里是咖啡区使用的AV多为McAfee
卡巴主动防御 McAfee监控同开
不冲突也卡机

显示全部楼层 · 发表于 2007-5-7 16:16:53

是啊~~默认的都有,还需要自己加呀?

显示全部楼层 · 发表于 2007-5-7 18:28:26

一般为svchost.exe程序被整个替换掉或是被插入新的DLL文件等等

默认规则对于防止svchost.exe被插入木马已经一定程度保护
再加入一条禁止创建，修改，删除svchost.exe的规则差不多了

显示全部楼层 · 发表于 2007-5-7 19:16:06

是不是svchost调用系统以外的程序就可以断定它是木马呀？

显示全部楼层 · 发表于 2007-5-7 22:51:16

原帖由 diver123 于 2007-5-7 19:16 发表
是不是svchost调用系统以外的程序就可以断定它是木马呀？

svchost也会调用防火墙的

显示全部楼层 · 发表于 2007-5-8 10:43:33

呵呵，执行没必要勾，只要防止svchost.exe被修改，被创建就可以了。

同时默认规则里那个禁止svchost执行非windows文件再勾起来，就绝对没问题了。

这样就可以防止svchost被修改，同时又能防止svchost调用有危险的dll库文件

显示全部楼层 · 发表于 2007-5-8 13:23:29

如果SVChost已经被感染要用什么方法排除呢？

显示全部楼层 · 发表于 2007-5-8 14:04:58

一般正常情况下,XP下有几个SVCHOST啊??