怪异。。。难道QQ能绕过毛豆？

jason_zhx

你是不是把TENCENT添加到信任里了

小ZSY木

不会是加TX为信任厂商了吧？

深度扫描

不会啊。。。添加信任也要受D+控制吧？我明显都限制了的。

我主要是问问，以前都是毛豆先于咖啡拦截，这次为何是咖啡先于毛豆拦截呢？所以才有一问。

accordion

回复 23楼 深度扫描 的帖子

都是驱动级的软件，到最后可能是相互阻扰而被绕过

fjmt1305

http://bbs.kafan.cn/thread-861423-1-1.html
看上面这个贴子...
是qq改变了方式...从我的日志是在自身目录创建qqsafeud什么的...

chaezoy

accordion 发表于 2010-12-18 10:52
回复 18楼 深度扫描 的帖子

dlll就能绕过D+？基本是不可能的

楼主不是那个意思，只是说拦截其他的诸如auclt.exe这样的QQ可执行文件，而对QQ.exe放行不加限制是不可以的。
就像你说的，QQ.EXE去调用dll文件中封装的API进行动作，最终在毛豆的规则或者日志中反映出来的还是QQ.exe的动作。但是具体的行为是在DLL中定义的，所以如果想拦截这部分动作的话需要拦截对应的DLL文件。
说到底还是规则是否严谨，以及对要拦截的对象是否熟悉。
如果上述两条满足的话，还是可以完美的拦截QQ的多余动作且正常使用QQ的。

冰飒

没碰到过

accordion

回复 26楼 chaezoy 的帖子

额.....如果不是专业的程序员，估计也没有几个人懂一个dll具体是什么的函数

还不如直接控制程序实际

话说回来，windows有什么函数被调用可以绕过hips？

chaezoy

回复 28楼 accordion 的帖子

对windows内核不是很熟悉，不过如果规则好的话，应该不会出现这样的情况吧。
只允许某个可执行文件调用其安装目录内的dll，是不是就可以避免这种情况？
呵呵，我也是个HIPS新手，见笑了。

accordion

回复 29楼 chaezoy 的帖子

几乎所有的程序都要对win目录库连接，我的想法就是封杀一部分特别危险或者有漏洞的dll，然后只允许连接白名单的.....可是至今还没找到答案，头痛