瑞星卡卡安全论坛

:kaka6:标题我真的不知道怎么改了...哪个版主有限权而想到适当的标题的话，可以改一下:kaka1:


1.将钻系统空子的Dlls以Path的形式加入Tiny的KnownDLLs组

 附件: 您所在的用户组无法下载或查看附件



2.将钻系统空子的Dlls以Filename形式加入Tiny的PKnownDLLs组

 附件: 您所在的用户组无法下载或查看附件



转到System Protection的Dlls，创建两条规则

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件


从剑盟下载了一个病毒lpk.dll，解压缩到QQ目录，启动QQ

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

钻系统空子的Dlls列表
%SystemRoot%\System32\advapi32.dll
%SystemRoot%\System32\comctl32.dll
%SystemRoot%\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.0.0_x-ww_1382d70a\comctl32.dll
%SystemRoot%\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.5512_x-ww_35d4ce83\comctl32.dll
%SystemRoot%\System32\comdlg32.dll
%SystemRoot%\System32\gdi32.dll
%SystemRoot%\System32\imagehlp.dll
%SystemRoot%\System32\imm32.dll
%SystemRoot%\System32\kernel32.dll
%SystemRoot%\System32\lpk.dll
%SystemRoot%\System32\lz32.dll
%SystemRoot%\System32\msctf.dll
%SystemRoot%\System32\msctfime.ime
%SystemRoot%\System32\msvcrt.dll
%SystemRoot%\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.0.0_x-ww_2726e76a\msvcrt.dll
%SystemRoot%\WinSxS\x86_Microsoft.Windows.CPlusPlusRuntime_6595b64144ccf1df_7.0.2600.5512_x-ww_3fd60d63\msvcrt.dll
%SystemRoot%\System32\ntdll.dll
%SystemRoot%\System32\ole32.dll
%SystemRoot%\System32\oleaut32.dll
%SystemRoot%\System32\olecli32.dll
%SystemRoot%\System32\olecnv32.dll
%SystemRoot%\System32\olesvr32.dll
%SystemRoot%\System32\olethk32.dll
%SystemRoot%\System32\psapi.dll
%SystemRoot%\System32\rpcrt4.dll
%SystemRoot%\System32\secur32.dll
%SystemRoot%\System32\shell32.dll
%SystemRoot%\System32\shlwapi.dll
%SystemRoot%\System32\url.dll
%SystemRoot%\System32\urlmon.dll
%SystemRoot%\System32\user32.dll
%SystemRoot%\System32\usp10.dll
%CommonProgramFiles%\Microsoft Shared\OFFICE11\USP10.DLL
%SystemRoot%\System32\uxtheme.dll
%SystemRoot%\System32\version.dll
%SystemRoot%\System32\wininet.dll
%SystemRoot%\System32\wldap32.dll
%SystemRoot%\System32\ws2_32.dll

只供参考..欢迎拍砖...

用户系统信息：Opera/9.80 (Windows NT 5.1; U; zh-cn) Presto/2.2.15 Version/10.00

DLL数量巨大。
如此设置，系统运行速度会放慢。
建议另想一条思路。设置会比这个灵活多样。

数量巨大？我想不会超过100吧..

多数为钻系统空子的dlls:kaka12:

 附件: 您所在的用户组无法下载或查看附件

1.把系统和其他目录的Dlls加入Tiny的KnownDLLs组

不说其他目录下的，仅system32目录及其子目录下的dll就有1700多个。

哪些要加入KnownDlls组？哪些不需要加入该组？取舍的原则？

你自己终于知道它的痛苦了吧？？？

:kaka6:

谁的痛苦？啥痛苦？

楼主的设置还有一个问题：
KnownDlls组中的dll程序仅根据其所在路径识别？

那是我的表达问题，发这帖的时候截图为多，没花功夫在文字上..:default3: :default2:  


加入KnownDlls组的dlls，是从这个程序知道的（用该程序免疫之后，突发奇想，又参考了一下CA HIPS预设的规则才想出的）

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件

 附件: 您所在的用户组无法下载或查看附件






是的。而PKnownDlls组（Prevent loading  KnownDlls from others）就根据其文件名

仅根据其所在路径识别KnownDlls组中的dll程序——————有隐患。病毒替换了相应的dll后，该DLL依然能加载。
如果要监控DLL，建议用path+MD5识别之。

:kaka12: 这个我之前就想到了，Checksum and path.不过怕更新那些的，所以才以Path的形式录入。

不能因噎废食。
程序更新后MD5改变问题——————可以这样处理：



 附件: 您所在的用户组无法下载或查看附件

猫叔写个完整的吧，我来偷学:kaka5:

这就象我一直想要的，全机文件认证一样

除了我认证顾的所有文件可以读取加载入内存以外

其他任意文件不可以读入内存

哈

太疯狂了

不适合菜鸟们

:kaka1: 谢猫叔。

:kaka9: 我也来偷学..

其实这并不困难。只要你的安全软件支持程序分组管理＋MD5监控，就可以实现。
老Tiny就可以实现。

家里的台式机（WIN7系统），就用这个CA HIPS搞了比较BT的设置。已经考验了将近一个月。再等等。如果没什么大问题，可以截图上来给你看。
PS：估计多数人是不会接受这种BT设置的。

:kaka6:  至今我还是OLD TINY