EQ能方便的阻止在本机硬盘上没有而在内存中新生成的进程运行吗?
比如说我在上网的时候如果有木马突然生成并试图运行,EQ能够通过设置规则来阻止任意一个全新生成的进程的运行吗?[:04:]PS:偶的想法是把本机硬盘上的所有可执行文件做成白名单,HIPS软件实时检测内存,一旦出现与名单中不符合的进程,提示用户操作。。。kis8.0 在发现没签名的进程后直接让它们进限制组了,哪款hips软件能方便的实现类似操作呢?
[[i] 本帖最后由 attc4 于 2008-8-16 18:56 编辑 [/i]] 用通配符可以
回复 2楼 byxiaochen 的帖子
实现起来是否困难呢?本人的想法是假设本机完全干净,一旦内存里出现一个全新的进程就出现提示。。。。 一旦出现新进程。。。。你不觉得烦吗?你开机的时候咋办? 规则设好后用锁定模式 全局AD就好了 禁止临时文件夹创建exe等可执行程序,禁止临时文件夹里有程序运行~~回复 4楼 cstar007 的帖子
我的意思是对本机的所有可执行文件列入白名单,一旦有全新的进程运行,o(∩_∩)o...。。。。 完全可以回复 6楼 martionhao 的帖子
如果有进程先执行AD和RD的操作,然后更改或写入文件的话就已经造成影响了啊回复 9楼 没注册 的帖子
EQ没有MD5值校验,如何让其判断进程是否是全新的呢? EQ有MD5效验回复 7楼 yzx714 的帖子
偶见正规程序的是要进临时文件夹的,是不是大多数病毒程序也会经历此过程呢,或者是在写入临时文件夹前就运行了,那样似乎不太保险[:15:]回复 12楼 没注册 的帖子
哦,原来如此。[:05:] 偶对EQ不太了解,那所有本机的可执行文件是否方便制作成白名单呢。 写入临时文件夹前就运行了,那样似乎不太保险不运行怎么写入临时文件夹? 最基本的AD执行拦截,如果连这个都做不到的就不是HIPS了
程序白名单的思路也是可以的,至于工作量自然会大一些
[[i] 本帖最后由 rappar 于 2008-8-16 18:35 编辑 [/i]]
回复 15楼 没注册 的帖子
偶的想法是在运行之前就有预警,如kis 8.0 那样没签名的程序一旦运行就进入限制组。。。回复 16楼 rappar 的帖子
有好的做白名单的方法吗,哪款hips方便制作和导入?[:17:]回复 18楼 attc4 的帖子
学习模式[:15:]再学习模式下把正常的程序都运行一次,之后再切换会正常模式[:08:]
页:
[1]