卡饭论坛 » 国外杀毒软件讨论区 » ESET(NOD32) » 用好ESS&EAV黑名单 让流行网页病毒无从“下手”

solcroft 发表于 2008-7-31 22:34

回复 74楼 hj5abc 的帖子

你是用什么软件？[:xi22:]

woai_jolin 发表于 2008-7-31 22:34

[quote]原帖由 [i]solcroft[/i] 于 2008-7-31 22:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302366&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]

无聊人物的本性完全暴露出来了
你用防火墙允许IE联网，请问你是不是会只允许IE连到某个特定的IP，然后来说这个防火墙怎么这么垃圾，我访问什么网站都要问我一下
同样的，你难道只懂得允许杀软删除一个指定的文件 ... [/quote]
不想口水了
还是那句话自己要用就下 不用就不下 没必要在那口水

woai_jolin 发表于 2008-7-31 22:35

[quote]原帖由 [i]lsyer[/i] 于 2008-7-31 22:33 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302369&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
好于这个~
虽然安全中心是是RING3下的HOOK
但是就是你所说的利用某些代码下载下来一个网马时
其被调用时一般也还是RING3下 拿不到RING0下权限绕过的
关于浏览器的安全中心拦截HIPS区曾今有过讨论
事实证明还是有 ... [/quote]
建议你去样本区下载一个下载者在sandboxie里运行一下 看看你伟大的浏览器被调用没有
你要下就下 不用就不下没必要口水

hj5abc 发表于 2008-7-31 22:38

[quote]原帖由 [i]solcroft[/i] 于 2008-7-31 22:34 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302379&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
你是用什么软件？[:xi22:] [/quote]

组策略.. 设置浏览器基本用户执行 .

lsyer 发表于 2008-7-31 22:38

[quote]原帖由 [i]woai_jolin[/i] 于 2008-7-31 22:29 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302326&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]

下载者下载病毒调用浏览器 高见 佩服了 [/quote]
叫你声大哥了
自己XX也不要这么XX啊。。。。。
你下载者平白无辜就自己运行了？
你从病毒区下载个downloader病毒下来你得双击才会起效不？
那这是就是explorer.exe调用了那个downloader
同理 网页通过代码下载下来的病毒得运行不？
它这时候的父进程就一般是浏览器
你说的那个调用浏览器是病毒作为父进程调用作为子进程的浏览器
连父子进程都搞不懂的人
还有意思和别人讨论什么HIPS~

[[i] 本帖最后由 lsyer 于 2008-7-31 22:40 编辑 [/i]]

lsyer 发表于 2008-7-31 22:40

[quote]原帖由 [i]woai_jolin[/i] 于 2008-7-31 22:35 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302406&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]

建议你去样本区下载一个下载者在sandboxie里运行一下 看看你伟大的浏览器被调用没有
你要下就下 不用就不下没必要口水 [/quote]
没什么好废话的
你运行不要explorer.exe做父进程啊？
真无聊
父子进程都搞不懂的人还好意思说HIPS~

woai_jolin 发表于 2008-7-31 22:41

[quote]原帖由 [i]lsyer[/i] 于 2008-7-31 22:38 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302442&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]

叫你声大哥了
自己XX也不要这么XX啊。。。。。
你下载者平白无辜就自己运行了？
你从病毒区下载个downloader病毒下来你得双击才会起效不？
那这是就是explorer.exe调用了八个downloader
同理 网页通过代码下载 ... [/quote]
你无非就是宣传非IE浏览器吗
我这是提供给用IE的ESET用户 不是提供给非IE的非ESET的用户

woai_jolin 发表于 2008-7-31 22:43

[quote]原帖由 [i]lsyer[/i] 于 2008-7-31 22:40 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302457&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]

没什么好废话的
你运行不要explorer.exe做父进程啊？
真无聊
父子进程都搞不懂的人还好意思说HIPS~ [/quote]
我说我懂HIPS了 我只是从最简单的易用性上说起
HIPS我不感兴趣  要是我感兴趣我早就天天钻进HIPS区了

[[i] 本帖最后由 woai_jolin 于 2008-7-31 22:44 编辑 [/i]]

hj5abc 发表于 2008-7-31 22:45

回复 87楼 woai_jolin 的帖子

jolin你理解错了.

程序执行都是要通过父子进程实现的 像你执行病毒 双击其实是explorer启动病毒 而网马后台执行其实是IE执行了脚本启动了病毒 这和什么浏览器无关.

woai_jolin 发表于 2008-7-31 22:46

不过就是发了一个黑名单吗
用得着这么抨击吗
BZ快来删帖吧

woai_jolin 发表于 2008-7-31 22:48

[quote]原帖由 [i]hj5abc[/i] 于 2008-7-31 22:45 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302505&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
jolin你理解错了.

程序执行都是要通过父子进程实现的 像你执行病毒 双击其实是explorer启动病毒 而网马后台执行其实是IE执行了脚本启动了病毒 这和什么浏览器无关. [/quote]
这点我是知道 你没能了解我的意思 我的意思是说
假如运行了一个下载者 下载者是要执行脚本从而实现后台下载 这时浏览器的拦截功能也就没用了

hj5abc 发表于 2008-7-31 22:50

回复 91楼 woai_jolin 的帖子

不是的.

是IE下载了一个下载者到缓存 再亲自把这个下载复制其他目录 再启动这个下载者

启动不了 管他是什么者.

EQ2 发表于 2008-7-31 22:50

[quote]原帖由 [i]hj5abc[/i] 于 2008-7-31 22:31 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302341&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
theworld和max 这些浏览器的安全浏览 其实是 在浏览器执行其他程序时 提示.
只要病毒是从毒网上下来 浏览器就是爹 漏洞利用直接调用realpayer uusee另算. [/quote]
[:15:][:15:][:15:]一些基于IE的浏览器号称自己能防毒网只不过是屏蔽掉iframe

woai_jolin 发表于 2008-7-31 22:52

[quote]原帖由 [i]hj5abc[/i] 于 2008-7-31 22:50 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302568&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不是的.

是IE下载了一个下载者到缓存 再亲自把这个下载复制其他目录 再启动这个下载者

启动不了 管他是什么者. [/quote]这又是后台下载了后台下载浏览器是会拦截的 这是必然的 我前面说的是自[:15:] 运行

[[i] 本帖最后由 woai_jolin 于 2008-7-31 22:53 编辑 [/i]]

hj5abc 发表于 2008-7-31 22:52

回复 93楼 EQ2 的帖子

不要说IE, 火狐的noscript和opera也是直接屏蔽iframe的

woai_jolin 发表于 2008-7-31 22:54

回复 95楼 hj5abc 的帖子

事实上IE根本就对后台下载做不了任何拦截 那些基于IE内核的浏览器 实现拦截后台下载或后台运行是要自己用其他的东西来实现的

hj5abc 发表于 2008-7-31 22:57

[quote]后台下载浏览器是会拦截的[/quote]

如果你什么都不做 连theworld和max也是不会拦截的 只有执行时才会提示
没有自动运行把 程序执行都是要被其他程序先调用的. 它不会无故自动运行.[:15:]

woai_jolin 发表于 2008-7-31 22:57

[quote]原帖由 [i]hj5abc[/i] 于 2008-7-31 22:57 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4302648&ptid=295386][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]


如果你什么都不做 连theworld和max也是不会拦截的 只有执行时才会提示
没有自动运行把 程序执行都是要被其他程序先调用的. 它不会无故自动运行.[:15:] [/quote]你又理解错我的意思了[:30:]

hj5abc 发表于 2008-7-31 23:02

回复 98楼 woai_jolin 的帖子

好累 我也不知道有没有说到你那里..

好了 不水了 回归主题 lz的意图是好的.[:30:]

想念天堂 发表于 2008-7-31 23:05

呵呵，楼主也是好意。黑名单也是一个不错的方法

查看完整版本: 用好ESS&EAV黑名单 让流行网页病毒无从“下手”