软件通过进程间内存访问explorer资源管理器，能做什么？

taichow

用温馨规则自己打磨的规则，日志里有很多软件都会通过“进程间内存访问访问explorer”，不放行好像也没影响什么，只是日志里一堆看起来非常碍眼。有放行的打算，不过还是想先了解一下，软件通过进程间内存访问explorer资源管理器，能做什么？

谢谢各位高手！

柯林

回复 1楼 taichow 的帖子

毛豆读写不分，一个访问代表了读写操作，很难说。正常情况下，改写一个进程的内存就意味着注入，是一种入侵行为。如果是病毒的注入，是很危险的。很多正常的运用软件，都会访问资源管理器的内存，通常是以读为主，极个别的可能有改写行为。一句话，正常软件可以忽略，防御未知软件即可，当然，如果你要从追求极高安全的角度而言，那么奉行“凡是阻止而不影响使用的一律阻止”的原则，也是可以的。

taichow

回复 2楼 柯林 的帖子

谢谢柯大的详尽解答。现在基本上明白了，渴望毛豆改善FD功能！

mxf147

回复 2楼 柯林 的帖子

感谢柯大解答，柯大的回归给这里带来大量人气，其实你的每个贴子我都有给你加分的冲动，只是。。。。你懂的

loぴё冥シ楓

个人奉行的原则是
在不影响软件正常使用的前提下  能阻止的就阻止 ...

taichow

回复 5楼 loぴё冥シ楓 的帖子

基本上也奉行这个原则。
不过因为偶尔会不定期（暂时未发现规律和日志）资源管理器失去响应，再加上影响“心理”，因为不懂，总觉得可能会影响到不易发觉的方面。

taichow

回复 2楼 柯林 的帖子

那么，软件是否可以通过访问explorer，借壳访问该软件被禁止，而explorer放行的资源？

柯林

回复 4楼 mxf147 的帖子

版主这么客气，俺内牛满面。
其实俺只是个老菜鸟而已，我的本分是与文字打交道，计算机只是业余爱好，没时间和精力学习编程及深刻了解windows系统，仅仅凭着一些日常积累的基本常识，误导一下比我菜的菜鸟而已。版主和高手不指出俺的错误，俺就只能继续灌水误人。

mxf147

回复 8楼 柯林 的帖子

我的本分是和钢筋、混凝土打交道，现在全凭着上学时候的一点记忆，等到我把这些东西也还给老师的时候，我也就要退休了

柯林

回复 7楼 taichow 的帖子

这个问题不好说。理论上来说，如果一个程序或者说模块注入了资源管理器，那么它是可以操纵资源管理器的行为的，如果有恶意代码指示它操纵资源管理器去做一些危险的动作，假设HIPS放行资源管理器的那些行为，应该是可以完成的。但是实际例子，除了一些病毒之外，似乎并没有什么正常软件有过报告，要说有，据我所知，也只有流氓插件的案例——比如，搜狗拼音的升级模块插入资源管理器，让它启动搜狗升级程序；再比如以前的迅雷，一个流氓的dll模块插入资源管理器，于是导致防火墙提示资源管理器要上网连接某地址的15000端口【一般来讲，资源管理器是不会联网的】，其它没有听说过。