楼主: 驭龙
收起左侧

[技术探讨] 探秘MSE卡EXE程序与解除MSE卡EXE的方案【本文仅供参考】

  [复制链接]
guvyer
发表于 2011-8-19 21:27:34 | 显示全部楼层
最新引擎有一点缓解,不是心里作用

hujiwa
头像被屏蔽
发表于 2011-9-4 12:36:32 | 显示全部楼层
本帖最后由 hujiwa 于 2011-9-4 12:54 编辑

针对此贴的软件限制策略专用写法

1.      %windir%\explorer.exe  不允许的

2.      9eb867933136ad37eaf7f2ecb97e3a4d:978432:32771    不受限的
         Windows Explorer
         Microsoft(R) Windows(R) Operating System
         Microsoft Corporation
         EXPLORER.EXE (6.0.2900.5512)

3.      MSE里面排除%windir%\explorer.exe这个文件

——注:第二条的意思是用散列规则来允许explorer.exe,因此实际结果因系统而异。熟悉策略的人一看即明白。

本规则原理

符合某系统explorer.exe的sha1的,则正常使用。
当explorer.exe被篡改,则组策略禁运explorer.exe

从而部分地弥补mse放行explorer.exe的缺陷。


具体细节及今后的处理仍需要用户的经验:
上面方法需要略有经验的人使用。不适合完全无经验者。

评分

参与人数 1经验 +8 收起 理由
飞霜流华 + 8 版区有你更精彩: )

查看全部评分

驭龙
 楼主| 发表于 2011-9-4 12:43:42 | 显示全部楼层
hujiwa 发表于 2011-9-4 12:36
针对此贴的软件限制策略专用写法

1.      %windir%\explorer.exe  不允许的

你提供的explorer不是WIN 7 系统的吧,怎样是没有效果的,你这个版本应该是Vista。所以建议修改为Windows7系统的explorer再发上来吧
hujiwa
头像被屏蔽
发表于 2011-9-4 12:47:20 | 显示全部楼层
zdshsls 发表于 2011-9-4 12:43
你提供的explorer不是WIN 7 系统的吧,怎样是没有效果的,你这个版本应该是Vista。所以建议修改为Windows ...

哦。我这是xp的、
我之前的写法其实不熟悉的人确实会get confused。

我修改下写法,使得更易懂些
驭龙
 楼主| 发表于 2011-9-4 13:02:45 | 显示全部楼层
hujiwa 发表于 2011-9-4 12:47
哦。我这是xp的、
我之前的写法其实不熟悉的人确实会get confused。
EXPLORER.EXE (6.0.2900.5512)

这个让我糊涂了,我实在是不太去研究XP,所以一看版本号是6.0就以为是Vista,呵呵。

你这个我就不添加到主帖里了,因为对于初学者实在是太危险,所以就不加了,呵呵
hujiwa
头像被屏蔽
发表于 2011-9-4 13:04:09 | 显示全部楼层
zdshsls 发表于 2011-9-4 13:02
这个让我糊涂了,我实在是不太去研究XP,所以一看版本号是6.0就以为是Vista,呵呵。

你这个我就不添 ...

嗯。这个用法有一定难度。explorer.exe当sha1不对时则进入shell禁运模式。

评分

参与人数 2经验 +2 人气 +1 收起 理由
光之优雅 + 2 加分鼓励
驭龙 + 1 感谢支持。我已经不是版主,所以一个RQ

查看全部评分

xf1121
发表于 2011-9-4 18:35:44 | 显示全部楼层
谢谢了,我试试。
james0213
发表于 2011-9-5 10:28:58 | 显示全部楼层
emet是什么东西?
驭龙
 楼主| 发表于 2011-9-5 11:20:15 | 显示全部楼层
james0213 发表于 2011-9-5 10:28
emet是什么东西?

看这个介绍吧
http://bbs.kafan.cn/thread-1044855-1-1.html
hujiwa
头像被屏蔽
发表于 2011-9-5 13:07:59 | 显示全部楼层
james0213 发表于 2011-9-5 10:28
emet是什么东西?

emet是一款0day防御工具,但如果把某些程序添加进去,则可能会造成软件运行出问题。

需要自行研究。

评分

参与人数 1经验 +5 收起 理由
飞霜流华 + 5 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-24 19:38 , Processed in 0.098575 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表