1、运行一个可执行程序
最简单的在资源管理器中双击一个程序,通过explorer.exe调用这个程序就运行了。如果在上网
时突然弹框运行某程序,一定要仔细看程序路径名称。一般先尝试阻止(不记录规则),如果正常使用没
有问题再提示可以选择阻止并记录。
2、进程间内存访问
进程间内存访问可以修改进程内存并插入自身代码到进程,通过目标进程完成操作,一般正常软
件不会有此动作。
3、窗口或事件钩子
利用api来提前拦截并处理windows消息的一种技术,钩子实际上是一个处理消息的程序段,通过
系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,
亦即钩子函数先得到控制权。
4、进程终止
建议选询问,正常软件也会有此行为。对特定程序的终止行为可以直接阻止,如正常使用情况下
突然要求终止毛豆进程。
5、设备驱动程序安装
要求加载驱动程序的正常程序很少,一般是杀软或者安全工具。注:安装并加载驱动后,程序将
获得和毛豆一样的底层权限。
6、窗口消息钩子
为方便使用常用和已知程序的窗口消息钩子均可以允许,对于不清楚的建议先阻止,不影响使用
就可以阻止并记住。有些病毒会利用窗口消息钩子破坏你的安全软件和系统。
7、受保护的COM口
COM可以理解为一些组件,对外提供公开的接口以供其他程序调用。有些组件是DLL,有些程序如
IE,也对外提供COM接口,只要遵循com规范就可以相互直接通信。毛豆COM口内容很多,一般对提升
权限、修改系统时间、服务管理重点防范。
8、受保护的注册表键
主要防止修改注册表自启动、服务驱动和映像劫持等。
9、受保护的文件/目录
FD内容,看具体程序而定,这个比较直观,主要保护系统重要文件及个人私有文件。
10、本地环回网络
应用广泛的一种虚拟接口,主要用于路由器。当本机上不使用本地代-理转发和接收类软件时,本
地环回网络访问的是本机;当使用本地代-理时,某些程序不需要通过访问DNS就能实现与外部网络的通信
。一般情况下允许,交由毛豆防火墙控制。
11、域名解析客户端服务
允许提供客户端域名解析服务。
12、内存
在NT内核系统中,操作系统是利用虚拟内存管理来维护地址空间映像。应用层的程序一般不需要
直接访问物理内存地址,而是通过内核中的某些驱动程序将虚拟地址空间映射为物理地址空间,从而实
现对物理内存的访问。直接访问物理内存也可以获得很高的系统特权,一般选择阻止。
13、屏幕监视器
这个不用解释了吧~
14、磁盘
受保护的文件/目录仅仅只是在Windows层面上进行访问控制,如果程序通过直接对磁盘进行操作
的方法来可以绕过毛豆对其的FD控制,因此一般来说要阻止该底层操作。阻止之后一般软件的使用不会
受到影响。
15、键盘
访问键盘、进行键盘输入监控是很多正常程序也有的行为,根据具体情况判断。
应用程序的自我保护
参考上面的描述。不同的是一个是访问,一个是被访问。
楼主: huangzhifan1
[复制链接]
楼主
发表于 2011-2-19 21:30:01
