一个AD的问题……
[font=微软雅黑][size=4][/size][/font][font=微软雅黑][size=4]关于进程的监控[/size][/font]
[font=微软雅黑][size=4]假设,进程列表中有两个相同的进程A(进程id为a1,a2)[/size][/font]
[font=微软雅黑][size=4]这是,用规则保护进程a1不被中止,而a2可被中止……[/size][/font]
[font=微软雅黑][size=4]请问一下,这样的规则应该怎么设置?
[/size][/font]
[font=微软雅黑][size=4][/size][/font]
[font=微软雅黑][size=4][:11:]
[/size][/font] 这个有难度.... a1能固定不变? 请问楼主你用什么 HIPS?
有的HIPS支持 路径下 进程 保护 。
有的包含其它识别方式,如进程标示。但不是系统随即分发的 PID。
当然还有很多只能进行简单的名称识别 如替换 svchost.exe 。而不是注入。
很多hips没用过不能乱说。但 重点在于你所指的 进程ID是什么分发的标示? [quote]原帖由 [i]hwwgo[/i] 于 2008-8-24 18:52 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4597543&ptid=313645][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
a1能固定不变? [/quote]
只要 a1 不被中止,在运行时就不会改变
(系统重启除外)
[[i] 本帖最后由 泥鳅 于 2008-8-24 19:55 编辑 [/i]] 楼主用什么hips啊? 这里只是讨论一下规则,泛泛而谈,并非针对某一软件而言。
这里所指是应该是PID…… PID没用。每次重启,运行生成的PID都是不同的。谢谢 *** 作者被禁止或删除 内容自动屏蔽 *** 无实用价值的问题,浪费大家时间 两个进程的区别在哪里?
父进程不同?窗口标题不同?运行参数不同?还是什么?
你总得让HIPS能够区别两个进程。
如果除了PID不同其它不能区分的话,HIPS做不到你的要求。
PID是随机生成,这次运行是这个ID,下次就可能不是了。PID分配不同于DHCP分配,DHCP好歹还有生存期,只要不被其它占用,下次申请就会得到同一个IP,PID则没有。通过这个设HIPS规则是不可能的也是没道理的。除非那个进程永不退出,电脑永不重启,而这是不可能的。 [quote]原帖由 [i]Devy[/i] 于 2008-8-24 22:18 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4599903&ptid=313645][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
两个进程的区别在哪里?
父进程不同?窗口标题不同?运行参数不同?还是什么?
你总得让HIPS能够区别两个进程。
如果除了PID不同其它不能区分的话,HIPS做不到你的要求。
PID是随机生成,这次运行是这个ID,下次 ... [/quote]
还是有区别的……
两个相同的进程A(a1,a2),a1 和a2不同
要求 a1.A被监控,而 a2.A不被监控
这里有一个隐藏的必要条件:
在相对情况下,a是不变的。
在不论任何情况下,A出现在进程列表,HIPS一般会监控到A(A1.A2...)。当A发生动作时,HIPS会发出提示,但是A?发生的动作,HIPS就无能为力了。
当然,提出PID这个概念,只是方便把问题描述清楚。在实际的规则设置中,或者可以不必理会PID之类的东西。 难道进程路径也一样?
回复 12楼 泥鳅 的帖子
除了是同一程序的不同进程实例以外,其它什么地方不同?还请楼主说明一下,你的描述没看出来有什么地方不同。BTW,所谓不同,不包括诸如:启动的时间不一样、启动的顺序不一样、PID不一样、占用内存大小不一样、一个是后台运行另一个是前台运行……等运行状态、消耗资源的不同,这些东西是不可判或者说是可变的。也不包括诸如:一个要求不能被结束而另一个不可以之类“要求”性质的不同。
如果没有可用于区分的硬性区别,那HIPS是无能为力的。
TO:没注册,他说的两个进程应该是同一程序的两个不同进程实例。 用promon啥的那个ms那个监控吧,只能是勉强
过虑pid 卡巴斯基就是同一个程序2个进程
但是一个是界面进程 是SHELL启动的
一个是服务进程是 services启动的
回复 16楼 没注册 的帖子
对,如果启动方式有类似区别HIPS就可以判断并控制(比如根据父进程区别控制)。 哦,看明白了,原来说的是不同实例啊。是通过不同的参数调用来实现的吧?
还有别的方式吗?
[[i] 本帖最后由 491866227 于 2008-8-25 09:11 编辑 [/i]] [quote]原帖由 [i]Devy[/i] 于 2008-8-24 23:11 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4600701&ptid=313645][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
除了是同一程序的不同进程实例以外,其它什么地方不同?还请楼主说明一下,你的描述没看出来有什么地方不同。
BTW,所谓不同,不包括诸如:启动的时间不一样、启动的顺序不一样、PID不一样、占用内存大小不一样、一 ... [/quote]
[b][size=4]“同一程序的不同进程实例”[/size][/b]
这应该是对所提出问题的适当解释,也就是区别所在。
无论其状态如何,正如你所说,它的多个实例是实际存在于进程列表中的。
问题是,只对其中之一或其中几个进行监控……根据你的描述似乎是无法解决的?[:11:]
回复 19楼 泥鳅 的帖子
一般的正常程序没有这个要求吧?页:
[1]
2