12345678»   3  /  12  页   跳转

【实例】用SSM对付狡猾木马

收藏
浅浅蓝
头像
初生襁褓狮
  • 帖子:19
  • 注册: 2005-08-13
  • 来自:
发表于: 2006-08-25 23:17 | 短消息 资料
字号: 21楼

用XP自带的组策略中的软件限制策略可以像ssm一样禁止病毒文件加载吧。
gototop
 
无限001
头像
快乐黄口狮
  • 帖子:208
  • 注册: 2006-07-24
  • 来自:
发表于: 2006-08-25 23:53 | 短消息 资料
字号: 22楼

好东西,学习!!
gototop
 
影子110
头像
叱咤花甲狮
  • 帖子:4210
  • 注册: 2005-04-10
  • 来自:怀黯
发表于: 2006-08-26 08:55 | 短消息 资料
字号: 23楼

我发现用SSM对注册表规则项的设置也可以实现对注册表的完全监控~~
只不过不适合平时用,(太烦~~一会就要提示)

只需将那几个根键设置添加进去就好了,并且是所有子键下的*值~~(千万不能把这几个设为禁止写入,禁止删除,禁止创建~~,)
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-26 09:41 | 短消息 资料
字号: 24楼

在证据:
图:

附件附件:

下载次数:200
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-26 9:41:57
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-26 09:42 | 短消息 资料
字号: 25楼

图2:对REGEDIT的监控有效

附件附件:

下载次数:255
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-26 9:42:21
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-26 09:44 | 短消息 资料
字号: 26楼

图3:无法拦截IS对注册表启动项的修改.

附件附件:

下载次数:174
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-26 9:44:29
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-26 09:49 | 短消息 资料
字号: 27楼

即使这样:
也不行

附件附件:

下载次数:216
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-26 9:49:31
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-26 09:54 | 短消息 资料
字号: 28楼

照旧:

附件附件:

下载次数:218
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-26 9:54:30
描述:
预览信息:EXIF信息
gototop
 
闪电风暴
头像
特邀体验者
  • 帖子:5462
  • 注册: 2005-01-12
  • 来自:0GiNr
发表于: 2006-08-26 09:59 | 短消息 资料
字号: 29楼

终止EXPLORER后也可进行文件操作:

任务管理器,新键任务,浏览...

附件附件:

下载次数:400
文件类型:image/pjpeg
文件大小:
上传时间:2006-8-26 9:59:16
描述:
预览信息:EXIF信息
gototop
 
breach
头像
拙长孩提狮
  • 帖子:96
  • 注册: 2006-08-17
  • 来自:
发表于: 2006-08-26 10:22 | 短消息 资料
字号: 30楼

引用:
【闪电风暴的贴子】图3:无法拦截IS对注册表启动项的修改.


………………


我也测试下,情况的确像闪电风暴所说的那样,IS对注册表启动项的修改(删除也一样),SSM没有任何的反应。IS对注册表启动项的修改、删除可能是从底层进行的吧。
gototop
 
<<上一主题|下一主题>>
12345678»   3  /  12  页   跳转
页面顶部
Powered by Discuz!NT