关于Image File Execution Options的限制
对于Image File Execution Options的Debugger,这个键目前S3是直接禁掉的,只有信任程序才可以看到和改写这个键值。同时在规则编辑中也直接禁止使用HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options路径。导致HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\Debugger直接失效。这个键虽然非常敏感,但正常使用中也有可能会用到。我觉得或许放开内置限制改为由规则来控制允许或拒绝比较好。 恩 可以
这招可以用来干病毒 也可以被病毒干[:06:] 牛,这一点都被楼主发现了,主要是因为以前出现了一个影像劫持的病毒,当我运行记事本的时候,运行的却是另外一个程序,而进程回调却无法发现偷换这一过程。Image File Execution Options一招十分歹毒,劫持的方法很有点像arp劫持,当然这个键的修改是有条件的。大多数的“守法”程序不会读取这个键。只有某个程序读取或者设置这个键,这个程序如果不是系统程序的话,肯定比较可疑。
回复 3楼 中网S3 的帖子
建议不要有内置规则,只要是S3能拦截的全部做成询问形式 可以页:
[1]