探秘MSE卡EXE程序与解除MSE卡EXE的方案【本文仅供参考】

xiaomaobi

感觉最明显的就是程序菜单出来的时候图标是一个一个慢慢出来的，设置传入就直接显示出来了

驭龙

make 发表于 2011-6-4 13:45
lz用的是什么版本啊，求该版本的官方链接

Forefront Endpoint protection 2010 在本区搜索一下吧，我现在有一点忙，没时间帮你找了

hj5abc

MSE的监控方法是监控其它进程对硬盘数据的读写，卡EXE最根本的原因是在于explorer大量访问硬盘数据的结果

其他杀软也是如此，不只是MSE，平时我们在资源管理器中复制，移动，执行文件的动作都是靠EXPLORER来完成的

但排除EXPLORER，做一些文件操作时，其他进程像svchost，searchproctolhosts等也有时会访问文件，所以也会触发监控；

设置排除EXPLORER后，记得不要随便双击你下载的程序，运行前先右键扫描下，确保最安全；但是这并不是说明，排除EXPLORER后双击就不报，因为EXPLORER执行程序后，该程序还会有执行自身的动作，这个可以用HIPS看看，我不是特别清楚明细，所以为了确保还是扫扫吧

beiluoshimen

那版主你说到底是设置为仅监控传入的安全性高啊。还是排除了EXPLORER再监控传入和传出的安全性高啊。毕竟两种方法下都不卡，当然是哪种安全用哪种！

wingsla

嘿嘿，了解一下即可。。。。

驭龙

beiluoshimen 发表于 2011-6-4 17:24
那版主你说到底是设置为仅监控传入的安全性高啊。还是排除了EXPLORER再监控传入和传出的安全性高啊。毕竟两 ...

这个按hj5abc做的测试来看，还是传入安全。我这个帖子只是揭秘一下MSE为什么卡EXE的原因

hj5abc

zdshsls 发表于 2011-6-4 19:14
这个按hj5abc做的测试来看，还是传入安全。我这个帖子只是揭秘一下MSE为什么卡EXE的原因

不绝对，你这个方法也安全，甚至可能更安全，前提是有运行未知程序前先右键扫扫的习惯，像我有沙盘，就更没问题了
而且就像你说的，看日志可发现有时不光EXPLORER，SVCHOST也会访问文件，所以很多时候拷贝，修改文件时也会触发监控

あ掵㊣峫淰℡

学习了

不过我这里传出也不卡~~~

驭龙

hj5abc 发表于 2011-6-4 21:18
不绝对，你这个方法也安全，甚至可能更安全，前提是有运行未知程序前先右键扫扫的习惯，像我有沙盘，就 ...

如果你不说，我都准备把建议监控设置为传入写进去了，现在不用了，呵呵

hj5abc

zdshsls 发表于 2011-6-5 09:12
如果你不说，我都准备把建议监控设置为传入写进去了，现在不用了，呵呵

我自己是设为仅传入，排除explorer和7zg.exe