瑞星卡卡安全论坛
首页
»
个人产品讨论区
»
瑞星杀毒软件
»
瑞星杀毒软件2011
»
应用程序保护规则的说明
kim8018 - 2008-7-14 8:38:00
瑞星杀毒软件提供的应用程序保护规则的介绍:
防注入DLL:可以防止其它程序将动态库注入被保护进程。
防注入代码:可以防止其它程序将代码注入被保护进程。
防内存篡改:可以防止其它程序篡改被保护进程的内存。
防内存读取:可以防止其它程序读取被保护进程的内存。
防挂起:可以防止其它程序挂起被保护进程中的线程。
防结束:可以防止其它程序结束被保护进程中的进程和线程。
防模拟发送消息:可以防止其它程序向被保护进程发送消息。
防模拟按键:可以防止其它程序向被保护进程发送模拟的键盘输入的消息。
防监听键盘输入:可以防止其它程序监听被保护程序的键盘输入。
请问大家能否对以上的规则进行更详细的说明吗?虽然在瑞星杀毒软件的“帮助”文件中已有答案(上面的内容),但是还是不够详细明白,在使用主动防御方面上要弄明白这些规则后才能更有效地进行设置,在使用其他HIPS软件也是同样先搞清楚才能随心所欲地操作(回复的内容更专业点也不成问题)。希望大家详细说明的同时能附加一些相关例子,这样就更好了!:default7:
备注
:如果在该区上没有人回复的,请相关管理人员把我的这个帖子移动至
HIPS专区
,因为我不想重复发帖而违反了论坛的有关规定。谢谢!
用户系统信息:Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; WPS; (R1 1.5); Mozilla/4.0(Compatible Mozilla/4.0(Compatible-EmbeddedWB 14.59 http://bsalsa.com/ EmbeddedWB- 14.59 from: http://bsalsa.com/ ; .NET CLR 2.0.50727; CIBA)
aaccbbdd - 2008-7-14 8:48:00
防盗号的:
防注入DLL:可以防止其它程序将动态库注入被保护进程。
防内存读取:可以防止其它程序读取被保护进程的内存
防模拟发送消息:可以防止其它程序向被保护进程发送消息
防监听键盘输入:可以防止其它程序监听被保护程序的键盘输入
防对安全软件下手的:
防注入DLL:可以防止其它程序将动态库注入被保护进程
防内存篡改:可以防止其它程序篡改被保护进程的内存。
防挂起:可以防止其它程序挂起被保护进程中的线程。
防结束:可以防止其它程序结束被保护进程中的进程和线程
kim8018 - 2008-7-14 8:56:00
小狮子aa你真的是很可爱啊!经常见到你在论坛上尽自己的能力热心去帮助别人。谢谢!
你把这些规则分成两类情况来分别使用,这些我是知道的,只是我的问题是希望把这些规则进行更详细的说明。:default7:
aaccbbdd - 2008-7-14 9:22:00
你需要解释哪一条??
天下奇才 - 2008-7-14 9:26:00
按照我的理解,详细补充一下:
1 为什么要注入dll?
一般而言为的是为进程增添应用接口(这里的增添包括常规的整添,例如系统的和正常的dll。当然也包括非正常的增添,这种可理解为接管)
2 为什么需要注入代码?
基本与1相同,但注入的对象不同而已。
3 为什么要内存读取?
进程处于不同的进程空间,通过操作系统进行内存读取,可以获取其他进程空间的数据,包括标题、内存信息等。
4 为什么要内存篡改?
要实现dll注入,有一种途径是通过篡改其他进程的内存空间(写入相应dll的路径),通过线程注入,去加载该dll库。
实际上,内存篡改还可用于其他方面,例如大家的游戏外挂
5 什么是挂起?
挂起实际上是将进程强制移入虚拟内存。熟悉操作系统的应该知道,只有在物理内存中的代码才是可执行的。
6 什么是结束?
这个不用多说了,作用很明了
7 什么是模拟发送消息?
Windows是消息驱动的,大多数应用程序都靠消息进行调度和处理。当然,可以通过API向其他进程发送消息
8 模拟按键是啥?
键盘输入的数据都有一个面向的窗口,模拟按键也就明了了。但是具体有什么作用,我不大清楚,没见过相关的应用例子
9 干啥要监听键盘输入?
知道密码从哪里键入的吗?因此为什么要监听键盘输入就清楚了。
kim8018 - 2008-7-14 9:42:00
感谢大家!天下奇才这位朋友解释得很详细,作用很大,我知道了。
再问一个问题:我用应用程序保护功能来把系统常驻的进程(包括杀毒软件、防火墙和常驻的安全软件的进程等等)添加进去来保护,这样设置好吗?:default5:
aaccbbdd - 2008-7-14 9:46:00
还是防止注入DLL
防注入代码有效
瑞星么
主动防御第一项设为高级
基本瑞星就安全了
天下奇才 - 2008-7-14 9:54:00
引用:
原帖由
kim8018
于 2008-7-14 9:42:00 发表
感谢大家!天下奇才这位朋友解释得很详细,作用很大,我知道了。
再问一个问题:我用应用程序保护功能来把系统常驻的进程(包括杀毒软件、防火墙和常驻的安全软件的进程等等)添加进去来保护,这样设置好吗?:default5:
系统基本的进程在瑞星主动防御中可以设置,基本上不需要额外添加。
至于你说一些安全软件,可以在应用程序保护中添加,我个人觉得一定要选上以下几项,其他的酌情选择:
防注入dll
防内存读取
防挂起
防结束
kim8018 - 2008-7-14 9:55:00
我的瑞星杀毒软件的系统加固防御设置是全规则生效的而且是自定义的。:default7:
kim8018 - 2008-7-14 10:00:00
引用:
原帖由
天下奇才
于 2008-7-14 9:54:00 发表
引用:
原帖由
kim8018
于 2008-7-14 9:42:00 发表
感谢大家!天下奇才这位朋友解释得很详细,作用很大,我知道了。
再问一个问题:我用应用程序保护功能来把系统常驻的进程(包括杀毒软件、防火墙和常驻的安全软件的进程等等)添加进去来保护,这样设置好吗?:default5:
系统基本的进程在瑞星主动防御中可以设置,基本上不需要额
好的,谢谢!其实之前我是不太明白那些规则说明(规则说明不太详细)。:default7:
天下奇才 - 2008-7-14 10:11:00
引用:
原帖由
kim8018
于 2008-7-14 9:55:00 发表
我的瑞星杀毒软件的系统加固防御设置是全规则生效的而且是自定义的。:default7:
你打开瑞星主动防御设置就知道了,系统加固是作为一个独立的模块存在的。所谓自定义,实际上也仅仅是选择瑞星给你选择的选项,并非真正意义上的自定义
kim8018 - 2008-7-15 7:05:00
引用:
原帖由
天下奇才
于 2008-7-14 10:11:00 发表
你打开瑞星主动防御设置就知道了,系统加固是作为一个独立的模块存在的。所谓自定义,实际上也仅仅是选择瑞星给你选择的选项,并非真正意义上的自定义
奇才,我的意思是可以自定义防御规则结果,比如“拒绝”、“放过”和“提示”。瑞星杀毒软件内置的主动防御规则设置个人认为不是很好,设置适应自己系统的情况才是最好的。
天下奇才 - 2008-7-15 9:53:00
引用:
原帖由
kim8018
于 2008-7-15 7:05:00 发表
引用:
原帖由
天下奇才
于 2008-7-14 10:11:00 发表
你打开瑞星主动防御设置就知道了,系统加固是作为一个独立的模块存在的。所谓自定义,实际上也仅仅是选择瑞星给你选择的选项,并非真正意义上的自定义
奇才,我的意思是可以自定义防御规则结果,比如“拒绝”、“放过”和“提示”。瑞星杀毒软件内置的主动防御规则设置个人认为不是很好,设置适
你当然可以停用瑞星原有的系统加固(但我个人不建议这么做,我建议保留瑞星原有的保护),而自己编写规则
1
查看完整版本:
应用程序保护规则的说明
© 2000 - 2024 Rising Corp. Ltd.