偷偷问个问题,关于3.41的.
大将军的安静规则已经阻止了DEBUG.EXE的修改,为什么8月22的那个机器狗还是可以把DEBUG.EXE感染病毒,这是为什么呢?我XPSP2,无任何补丁系统。大部分服务关闭。
[:05:]
[[i] 本帖最后由 peter08 于 2008-9-5 12:48 编辑 [/i]] 规则没写好吧~~~
要在最高优先级里面写,禁止修改DEBUG.EXE
或者在应用程序规则里面写,禁止机器狗.exe修改DEBUG.EXE [size=3]你说的问题可能原因有:[/size]
[size=3][/size]
[size=3]1、EQ规则失效。(这种情况较少发生,但的确存在,跟BUG有关。)[/size]
[size=3]2、规则编写有问题。(这个涉及EQ优先级与规则的正确表达。)[/size]
[size=3]3、病毒获取了系统权限。(这时病毒的权限与EQ一样,可无视EQ的保护进行任意操作。)[/size]
[size=3][/size]
[size=3] 个人认为你的问题是第3个原因引起的。那么是不是说EQ在这个病毒面前就无能为力呢?答案是否定的。在病毒获得系统权限之前,一定会进行一些入侵操作(指入侵途径)。例如:在系统驱动程序目录安装或加载驱动、修改系统进程文件等手段……,来获取系统权限。只要你了解系统和病毒的运作,在EQ里设置规则阻止这些操作,病毒就无法获得系统权限,EQ就能有效保护系统。所以说你对系统和病毒有多了解,你的HIPS就有多灵。[/size][:07:]
[[i] 本帖最后由 MichaelLaw 于 2008-9-6 12:46 编辑 [/i]] 系统应该打上补丁,否则谈安全就没意义;升级到XP SP3吧,只有系统及时升级补丁,才可尽可能的防范已知的漏洞——要知有些漏洞是能绕过安全软件的,通过某些应用程序的bug,进而控制了机器。 额,规则有问题。。。。不会吧,我用的大将军的哦。
获得系统权限?不会吧,8月22号的机器狗没有释放驱动和加载驱动的动作,而且,你们没用过大将军的规则吧,它对于驱动的释放是直接阻止的。
我只是想问问,是不是3.41的BUG,想知道下其他人是不是也阻挡不住它修改DEBUG。EXE.
页:
[1]