瑞星卡卡安全论坛

【回复“baohe”的帖子】baohe能否写个tracklog analyzer和TPF的教程啊！

引用:

【花飞影的贴子】【回复“baohe”的帖子】baohe能否写个tracklog analyzer和TPF的教程啊！ ...........................

Yocheng已经写过了。好像是发在了“霏凡”，还是个什么其它网站（这记性！！）。泡泡手里也有。

引用:

【baohe的贴子】 Yocheng已经写过了。好像是发在了“霏凡”，还是个什么其它网站（这记性！！）。泡泡手里也有。 ...........................

TPF的新手入门和中级攻略的文章我这里有，一篇是F-secure安全联盟的，一篇是Yocheng发在霏凡的，但是T'nR功能的文章我没有，我印象里CrossVirus也就是FogSnow在Antivirus Fans Web论坛上发过一个类似的，可以去看看。

【回复“天天泡泡”的帖子】
T'nR是TPF2005中最容易上手的一个组件。动手Tracking两个非病毒程序，就学会了。
难的是TPF2005的设置；尤其是DIY设置。设置灵活，上手也就难。

引用:

【baohe的贴子】【回复“天天泡泡”的帖子】 T''nR是TPF2005中最容易上手的一个组件。动手Tracking两个非病毒程序，就学会了。 难的是TPF2005的设置；尤其是DIY设置。设置灵活，上手也就难。 ...........................

设置问题就是应用技巧了，这要好好学习的，我用的全是默认设置。

晕...你们说的我一点也听不懂...

汗...

引用:

【Avril·Lavigne的贴子】晕...你们说的我一点也听不懂... 汗... ...........................

在谈论一个优秀的防火墙使用问题。很好的墙，但很难用。有点儿像“傻瓜相机”和高档普通相机的使用问题。

请教baohe：新装了系统，1、TPF中的IE组别不是services\trusted\trustedservicesp这3项，却是 （如图1）这正常否？  这可能带来下面的问题

2、一开IE就弹出提示（图2）是连续弹出，在Activity Monitor日志如图3， 应是和Kav网络防御监控有关，正常否、怎样操作正常（是该用TPF的还是Kav的）？ 使用IE一会儿不会弹了，关掉IE再开IE 又这样了  晕！    在IE使用五笔加加时也出现这个情况（图4）

图1
[img][/img]

附件: 459386200612403346.JPG

图2 [img][/img]

附件: 459386200612403516.JPG

图3[img][/img]

附件: 459386200612403744.JPG

图4[img][/img]

附件: 459386200612403848.JPG

【回复“天天网”的帖子】
关于37楼的问题。使用TPF的默认设置，IE都入那组。如果不想这样，可按下图操作（去掉那个勾）：

附件: 155847200612492537.jpg

【回复“天天网”的帖子】
关于38楼的问题，将卡巴斯基的那个DLL文件加入SAFE DLL组即可。

附件: 155847200612492733.jpg

原先的教程只能算说明吧


Activity Monitor建议多看看，动作都在那里面，还有跟踪有时是看不到一下小动作的哦


baohe使用有一段时间了，介绍介绍使用专集


泡泡，设置控制环节多的话会让机器难看哈哈

【回复“天天网”的帖子】
关于40楼的问题——看下图：

关于这类规则监测的回应问题——从安全角度考虑，如果能选“monitor”，尽量不要选“Alert”。否则，总是报警，会烦死人的。
选择“monitor”，处置比较灵活。因为"Activity Monitor"中有相关记录。如果觉得选"Monitor"不合适，还可以改回“Alert”或“Ignore”。

附件: 155847200612494202.jpg

金山和霏凡都有一些不错的文章

请问BAOHE,
TNR,我非要重启计算机,才能按那个停止键,完成TRACKING,
否则会提示错误.
你的是否是这样的

附件: 5418212006124105019.jpg

引用:

【菜菜飞翔的贴子】请问BAOHE, TNR,我非要重启计算机,才能按那个停止键,完成TRACKING, 否则会提示错误. 你的是否是这样的 ...........................

你说的现象——不正常。T'nR后，直接在任务栏右键运行Run Tracklog Analyzer，即可用停止键将Active Tracking组中的被Tracking程序纳入Completed Tracking组。

我非得重启才能用停止键,不晓得是啥原因,还好这似乎没什么影响.

谢谢Baohe， 摸了快2个小时，才明白了一些，按你所给的方法，（safe dll）象是使用校验和文件保护的意思,是吧
[img][/img]

附件: 4593862006124223837.JPG

引用:

【天天网的贴子】谢谢Baohe， 摸了快2个小时，才明白了一些，按你所给的方法，（safe dll）象是使用校验和文件保护的意思,是吧 [img][/img] ...........................

呵呵。看来，如何解读这些面板提示还真是有点儿小小的问题。
关于“为何要将卡巴的那个DLL收入safe dll组”：
卡巴要监控网页。因此，它要将那个dll注入IE。 而TPF的System Privileges中有一条默认规则——禁止任何程序的代码注入。但是，TPF对safe dll（安全的dll）网开一面——允许这类dll注入其它进程。因此，将卡巴的那个dll录入safe dll，就解决了你原来说的频繁报警问题。

其它的dll，也可仿此处理。但要注意：这类safe dll，必须用MD5+路径（或文件名）进行双重保护其完整性。即：要选择checksum and path或checksum and name。否则，它们一旦被病毒/木马改过后，你就惨了！

根据Baohe 44楼提示，也注意到他自设了条High rule（不知能否说说） 偶开始画葫芦，对low rule/ IE  设的和Baohe一样
[img][/img]

附件: 459386200612513401.JPG

TnR 规则偶没改，按默认的
[img][/img]

附件: 459386200612513617.JPG

偶把最下一条默认规则：
[img][/img]

附件: 459386200612513835.JPG

改成如下的：
[img][/img]

附件: 459386200612513951.JPG

结果IE只要一开就迅速关闭，害惨了，折腾了很久，总算明白了，原因偶开着词霸（屏幕取词）有看到网警介绍这有带壳的，关掉词霸正常上IE了。
Baohe帮忙想一下，要用词霸的啊，那条IE规则该怎么改一下？

[img][/img]

附件: 459386200612515407.JPG

引用:

【天天网的贴子】结果IE只要一开就迅速关闭，害惨了，折腾了很久，总算明白了，原因偶开着词霸（屏幕取词）有看到网警介绍这有带壳的，关掉词霸正常上IE了。 Baohe帮忙想一下，要用词霸的啊，那条IE规则该怎么改一下？ ...........................

建议：先将Inject Code后的Prevent改为Alert。确定后，打开词霸和IE。然后，像38楼的图那样，看清是哪个DLL文件要进行代码注入。之后，自己检查、确认此DLL是否安全。如果安全，可以仿照处理卡巴的那个 scrchpg.dll的处理方法处理之。

将Inject code设为了 阻止－警告 词霸与IE可共存一会儿，稍后还是IE关闭，弹出提示：
[img][/img]

附件: 4593862006125104909.JPG

和这壳是对应的：
[img][/img]

附件: 4593862006125105158.JPG