引用:

原帖由 轻闲一柳 于 2008-10-11 13:39 发表
能不能把消息单独细化出来啊。比如一款取词翻译软件Lingos，取词时会对当前程序发送特定的消息，现在的情况是，如果建立永久或临时允许规则，那么Lingos若发送其他消息就拦截不到；降低了安全系数哦。

要细化的话很多东西都可以细化，不过处理起来也就更复杂。安全性是相对的，各方面都要平衡一下啦。另外通过消息产生的危害性并不是很严重，我个人觉得HIPS拦住一些关键的操作就行了，一个程序要是恶意的去搞破坏，手段太多了，防不胜防。

有没有打算加入com监控？

前几天简单看了下，COM以及SCM监控好像都是要在ring3拦截，需要增加不少代码来实现，而且ring3的hook理论上是可以被程序绕过的，暂时先不做了。

修改其他进程内存 需要有父子关系的规则,
就是像加载驱动那样可以定义哪些可以被加载,哪些不可以被加载.

举个例子,使用一个游戏修改器,游戏修改器需要修改游戏内存,询问框建立永久规则,可是问题在md就会认为游戏修改器可以修改所有进程的内存,一旦游戏修改器要系统进程的内存,md不会有任何提示,非常危险.

另外希望FD可以细化创建,修改,删除,仅仅写入,不够用.

作者考虑的应该更仔细一些,希望MD更安全,更易用.

[ 本帖最后由 hwwgo 于 2008-10-11 18:33 编辑 ]

嗯，目前md对于文件操作提示不够清楚
是创建新文件还是修改已有文件
往往都是先提示创建，后提示写
用户不容易弄清楚

引用:

原帖由 sxingbai 于 2008-10-11 19:56 发表
嗯，目前md对于文件操作提示不够清楚
是创建新文件还是修改已有文件
往往都是先提示创建，后提示写
用户不容易弄清楚

这个会改进一下

今天我把全局规则中*改为询问，在学习模式下，使用应用程序时，创建了很多文件规则和注册表规则。全为允许。在正常模式下，点得手软。一不小心，点错了一个，死机了。

在学习模式下是不是学习的是全允许，这样安全吗？

[ 本帖最后由 hudeg632 于 2008-10-11 21:45 编辑 ]

引用:

原帖由 hwwgo 于 2008-10-11 18:30 发表
修改其他进程内存 需要有父子关系的规则,
就是像加载驱动那样可以定义哪些可以被加载,哪些不可以被加载.

举个例子,使用一个游戏修改器,游戏修改器需要修改游戏内存,询问框建立永久规则,可是问题在md就会认为游戏 ...

虽然AD细化了更安全，不过还是要考虑尽量降低复杂度和简单化。所以近期内还不打算细化，等搞完ND之后再考虑吧。

还有FD细化创建,修改,删除，我个人真的觉得没什么意义，因为任何一个允许了都可以破坏文件，能举个例子说明下什么情况需要分开控制吗？

thx

引用:

原帖由 hudeg632 于 2008-10-11 21:42 发表
今天我把全局规则中*改为询问，在学习模式下，使用应用程序时，创建了很多文件规则和注册表规则。全为允许。在正常模式下，点得手软。一不小心，点错了一个，死机了。

在学习模式下是不是学习的是全允许，这样安全 ...

学习模式下是不安全的，只有确信系统没问题，才可以用学习模式为信任的程序创建规则。

引用:

原帖由 sandworm 于 2008-10-11 21:46 发表

虽然AD细化了更安全，不过还是要考虑尽量降低复杂度和简单化。所以近期内还不打算细化，等搞完ND之后再考虑吧。

还有FD细化创建,修改,删除，我个人真的觉得没什么意义，因为任何一个允许了都可以破坏文件，能举 ...

同意，ND什么时候有？？？100元能给个KFAN优惠价吗？？？