当“自我防护”碰上“映像劫持”

yahoo121

对，用注册表防护，添加一条规则就可以搞定！

peter1123

当你知道用注册表把那个键值锁定
我想你也有能力独自手动查杀木马了
即便没有卡巴也无所谓了

有很多的人中了木马 再来装卡巴 你从何说起锁定注册表?

论坛砖家

注册防护太复杂，像我这样的普通用户哪里会用呢？

bingren922

其实中了映像劫持病毒再装卡巴还不算烦，最烦的就是远程控制帮什么都不懂的人装卡巴 试过的就应该知道了…… 尤其是再遇到脾气不好+胡搅蛮缠的人

我觉得卡巴以后应该在安装完成的情况下就默认把注册表防御开着（最好安装时询问是否清空映像劫持那些注册表项），里面至少有防映像劫持一项

另外想问问大家，有那些正常软件需要映像劫持这个功能的？还是微软吃饱了撑的？

rcbblgy

有一些还是需要的。比如PE，它会添加映像劫持，把任务管理器指向自身。还有一些绘图软件也需要吧，我见过一次。

heym

原帖由 rcbblgy 于 2007-6-5 18:54 发表
你可以用卡巴的注册表监控加上一条规则，监视这个键值，HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options，如果再有例用映像劫持的卡巴就会提示了。

请教, 添加了后如何设,是否默认就OK了?(默认是读取  允许,修改 提示等)

bingren922

原帖由 heym 于 2007-6-6 14:38 发表

请教, 添加了后如何设,是否默认就OK了?(默认是读取  允许,修改 提示等)

按15楼的说法
还是很少有软件需要劫持的 所以只需要把读取设置成允许 把修改和删除设置成阻止就可以了。当然默认也没什么问题，只是我个人比较喜欢少操作点。让HIPS折腾的烦了

rcbblgy

不常需要而且最容易被病毒例用的，就直接设成禁止好了，如果怕影响正常的使用，也可以设成提示，这些键值正常情况下是不会访问的，只有特殊情况才会。

peter1123

原帖由 bingren922 于 2007-6-6 09:26 发表
其实中了映像劫持病毒再装卡巴还不算烦，最烦的就是远程控制帮什么都不懂的人装卡巴 试过的就应该知道了…… 尤其是再遇到脾气不好+胡搅蛮缠的人

我觉得卡巴以后应该在安装完成的情况下就默认把 ...

哈哈
我每次远程还好,对方都是安静的看着,只要远程不卡 还是很好解决的

最近几次远程帮人家杀毒 都是映像劫持

bingren922

原帖由 peter1123 于 2007-6-6 15:23 发表



哈哈
我每次远程还好,对方都是安静的看着,只要远程不卡 还是很好解决的

最近几次远程帮人家杀毒 都是映像劫持

老大 卡6和卡7默认的都是禁止外部控制啊（在自我保护哪个选项下边）
就是说远程控制点不了它……
所以要我来说对方来做
赶上个脑子不清楚的就说“你什么水平啊你……”
很无奈