瑞星卡卡安全论坛
baohe - 2009-5-25 16:32:00
这类DD是通过调用系统程序wscipt.exe执行的。
如果不看护好自己的wscipt.exe,用户可在不知不觉中中招。
戏弄.vbs的办法不止一个。下图是个例子。抛砖引玉而已:kaka16:
用户系统信息:Opera/9.64 (Windows NT 5.1; U; Edition IBIS; zh-cn) Presto/2.1.1
smallyou93 - 2009-5-25 17:26:00
baohe - 2009-5-25 17:27:00
原帖由 smallyou93 于 2009-5-25 17:26:00 发表
:kaka12:这规则对不?
禁止read即可:kaka16:
过客2007 - 2009-5-25 18:42:00
鬼鬼小猫咪 - 2009-5-26 9:18:00
工作中经常要用到vbs,还有别的方法吗?
baohe - 2009-5-26 11:49:00
原帖由 鬼鬼小猫咪 于 2009-5-26 9:18:00 发表
工作中经常要用到vbs,还有别的方法吗?
用工具。程序分组管理。
自己的与不是自己的------区别对待。
瑞星貌似无程序分组功能。
aaccbbdd - 2009-5-26 11:55:00
猫叔看下什么级别可以限制这类病毒运行
baohe - 2009-5-26 12:37:00
原帖由
aaccbbdd 于 2009-5-26 11:55:00 发表
猫叔看下什么级别可以限制这类病毒运行
组策略处理VBS病毒防护问题-----不太合适。因为有时用户自身也要用到wscipts.exe。因此需要灵活处理,区别对待。而组策略无法做到“区别对待”(要么限死,要么留下隐患)。
鬼鬼小猫咪 - 2009-5-26 13:34:00
应如何处理?可否举例说明?
baohe - 2009-5-26 13:59:00
原帖由 鬼鬼小猫咪 于 2009-5-26 13:34:00 发表
应如何处理?可否举例说明?
程序分组,说来简单。实际操作还要满足一些基本前提(也许有人认为这些前提与程序分组不相干)。
前提1:不用盗版系统(多数人会摇头)
前提2:尽量避免使用安全性未知的软件;对于安装到自己电脑中的软件应尽力做到心中有数(这个问题,若展开讨论,可以另开一帖)。
前提3:保证系统干净。
前提4:有可用的安全软件实现程序分组管理。
操作1:安装安全软件(如:Tiny等具有程序分组管理的软件)。
操作2:设置上述安全软件(看似容易)。
操作3:利用上述已经安装的安全软件实现程序分组。至少应设(1)信任组、(2)特殊程序组。然后将所有.exe程序录入相应分组。
信任组包括电脑中除了特殊组程序以外的所有程序;特殊组包括:explorer、iexplore、cmd、conime、cacls、wscript、cscript等。
操作3:信任组管理规则设置(允许加载DLL、允许获得系统特权、允许.......,总之一句话---全部允许)
操作4:特殊组管理规则设置(这是考验用户功夫的工作。弄不好就会杀敌1000,自伤800。不少人开始热衷于HIPS,最后将其彻底请出系统,大多是这部或类似这部的工作没做到位。)
操作5:其它组的管理规则设置(网络访问、文件访问、注册表读写删除、进程插入、程序间的调用、系统特权获得..........统统禁止)。注:其它组不用单独设置。
简单说来,就这些。
关键点:区分与己非己。
鬼鬼小猫咪 - 2009-5-26 14:02:00
谢谢,你讲得真好,一看就明白了.
Tiny跟瑞星有冲突吗?可以同时安装吗?
baohe - 2009-5-26 14:10:00
原帖由 鬼鬼小猫咪 于 2009-5-26 14:02:00 发表
谢谢,你讲得真好,一看就明白了.
Tiny跟瑞星有冲突吗?可以同时安装吗?
Tiny与瑞星杀软(不包括防火墙)共用,我用了6年了。
鬼鬼小猫咪 - 2009-5-26 14:26:00
谢谢,楼主真热情,真好.:kaka12:
天月来了 - 2009-5-26 15:38:00
我就不信了。
这样就能解决问题?
不影响经常使用.vbs,还能阻止wscipt.exe被非正常执行:kaka6:
baohe - 2009-5-26 15:40:00
原帖由 天月来了 于 2009-5-26 15:38:00 发表
我就不信了。
这样就能解决问题?
不影响经常使用.vbs,还能阻止wscipt.exe被非正常执行:kaka6:
不信?可是自己动手试试。
天月来了 - 2009-5-26 15:47:00
这和试试没关系的
现在顺序是这样,自己做事的时候,大多数时候是自己点击测试.vbs
那么为了不影响,必然要同意桌面进程任意运行wscipt.exe
那么这时候怎么阻止桌面进程非正常运行病毒的.vbs呢:kaka12:
鬼鬼小猫咪 - 2009-5-26 15:57:00
我想应该这样:
可信的直接运行,不提示,
不知道的给提示.
鬼鬼小猫咪 - 2009-5-26 16:01:00
Tiny看起来是任何程序的运行都需要经过它的许可,适合勤快的人使用,并不适合我这种懒人使用,如果有什么软件能更智能一些就好了.
天月来了 - 2009-5-26 16:02:00
问题是可信指的是什么??
不可信指的是什么??
因为.vbs是靠wscipt.exe执行的。
这设置wscipt.exe可信,就任意运行了。
仅设置你的.vbs文件为可信,又不能解决另一个.vbs的执行问题。
好难的,这情况我一贯难以折腾。
鬼鬼小猫咪 - 2009-5-26 16:07:00
我也不愿折腾,我感觉LZ就是这个意思,不知道楼主还有什么好的想法
天月来了 - 2009-5-26 16:13:00
我个人看
很可能未来HIPS类主防软件要增加这样的功能
就是指定wscipt.exe仅允许执行“信任文件夹”内的.vbs文件
其他任意文件夹不信任。
这样应该就差不多了,不乱提示自己的操作,也一样可以监控其他位置的不明.vbs文件执行。
然后自己习惯在固定的可信文件夹内操作做事。
比如固定桌面上的一个123文件夹内。
除此外,好象没什么好办法:kaka6:
鬼鬼小猫咪 - 2009-5-26 16:16:00
也够麻烦的...........等楼主回复,看有没有什么好办法了
天月来了 - 2009-5-26 16:20:00
那样就不麻烦啦
想要的程序设置,设置一下可信文件夹即可
鬼鬼小猫咪 - 2009-5-26 16:27:00
那还要设置文件夹啊.要是可信文件夹里进去病毒可坏事了.
最好是智能主动防御......
危险操作时提示,否则不提示.
baohe - 2009-5-26 16:28:00
原帖由 天月来了 于 2009-5-26 15:47:00 发表
这和试试没关系的
现在顺序是这样,自己做事的时候,大多数时候是自己点击测试.vbs
那么为了不影响,必然要同意桌面进程任意运行wscipt.exe
那么这时候怎么阻止桌面进程非正常运行病毒的.vbs呢:kaka12:
explorer等特殊程序访问wscript问题:
程序之间相互调用问题:
系统特权控制问题:
天月来了 - 2009-5-26 16:38:00
英文的迷糊
反正你就这样吧
设置桌面上的.vbs可以不提示运行
而其他位置的一运行就提示
你这可以做到??:kaka2:
baohe - 2009-5-26 16:40:00
原帖由 天月来了 于 2009-5-26 16:38:00 发表
英文的迷糊
反正你就这样吧
设置桌面上的.vbs可以不提示运行
而其他位置的一运行就提示
你这可以做到??:kaka2:
桌面上的.vbs?做啥用的?
天月来了 - 2009-5-26 16:46:00
小猫咪天天要测试运行自己做的.vbs文件呀
:kaka6:
一般都是放桌面运行测试的哟:kaka12:
鬼鬼小猫咪 - 2009-5-26 16:50:00
汗...当然不是,是做程序里写的vbs脚本...
鬼鬼小猫咪 - 2009-5-26 16:54:00
师傅们的想法都很好,但是实现起来恐怕不行,给客户这么做安全是行不通的,也是不可能的.因为普通的客户注重的是安全和方便,他不可能去手工设置让谁运行,不让谁运行.
© 2000 - 2024 Rising Corp. Ltd.
