越秀烟台开发区拿地:浅谈自我保护功能(修改)comodo
来源:百度文库 编辑:九乡新闻网 时间:2024/05/11 00:05:58
讨论] 浅谈自我保护功能(修改) [复制链接]
我这里实验的几个程序为病毒常搞的,主要以IE、QQ为例子,来说下设置过程。这里引用了局长的图一张,打磨图两张。版权还是你们的
这里的毛豆模式建议先为学习模式,然后是PM模式(最高模式)。以下实验是在PM模式下进行。
建议fans不要默认规则,特别是D+功能,要进行相关设置才可以达到保护的效果(只是建议,不要拍我
先看下自我保护的具体信息(第二张是局长的图,说的很详细了):
下面看下IE6.0的全局规则中的hook规则(系统无毒状态,建议先是学习模式,自动生成规则。减少麻烦)
现在开启自我保护:
先看看启动看看IE效果:
你会发现无法启动IE,看日志:
通过日志,我们可以添加拦截的文件
为了搞清楚优先级,还要在搞搞看:
自我保护添加正常的dll文件
运行IE:
再来一个例子看看(自身保护中的hook不变):
运行IE
继续:
运行IE无异常
更改下自我保护:
我们看下,对于shell32.dll这个特殊的文件,IE的自身保护中的HOOK及时添加了shell32.dll,全局规则中如果没有允许shell32.dll,运行IE依然会有提示,这是因为Access right中的hook是对IE的权限设置,与protect setting中的保护设置没有关系,。对于msctf.dll貌似很多程序都会用到他,可以放到例外中。
我们再看下打磨的两张图:
多放3张没用的图:
打磨达人都说了,我也没什么可说的
我用的TW,所以把TW也设置一下
可以看出,因为TW是IE内核,还是要挂钩IE相关的dll,如读取cookies文件、对internet选项设置。添加到保护吧
再来看下QQ(这里的QQ不是官方原版,是deepinqq版,部分设置可能有差异)保护:
登陆QQ试试:
看日志:
又是msctf.dll的原因
好了,再关注下其它保护项,访问物理内存不需要添加相关程序,不过不敢保证QQ其它程序访问,到时要看日志,自行添加
windows messages:
process terminations:
总体,自身保护的优先级最高,或许对windows签名的dll会自动允许,不管全局规则中有无、allow or block保护中有的就会放行。这样的话,如果自己的误操作使木马运行,木马挂钩相关保护程序,即使允许了hook,自身保护中没有也是无法挂上的。保护作用很明显。
不仅仅是杀软,还有游戏、浏览器、即时通讯程序都可以设置相关的自身保护来抵御木马的侵犯。
感谢zoes兄的指点迷津:“Protection setting里的四项是用来防止“IE被其它软件进行内存数据存取、被其它软件插入代码/挂钩、。。。。”,是保护IE“不被别的程序怎样”。而Access rights里的类似的设置是“IE可以做什么或者能对别的程序怎么样。。。。”。是设定IE的权限的。”
所以对于shell32.dll这个文件对自我保护没有关系,只是IE的一些运行权限,自我保护的优先级还是最高的。
以上是个人临时使用心得,有错误之处请指正,我会及时调整相关设置。
[ 本帖最后由 huai168an 于 2008-6-22 18:03 编辑 ]
浅谈自我保护功能(修改)comodo
浅谈相机防抖功能(转载)
教幼儿学会自我保护(转)
未成年人的自我保护
提高警惕,保护自我。
提高警惕保护自我
未成年人的自我保护
女性自我保护
女性自我保护方法
自我保护常识汇编
自我保护常识汇编
常用功能Windows注册表修改
第二十讲 自我修改 精益求精
医生同志自我保护必读 (现实版生存大法)
浅谈人体的免疫功能
未成年人的自我保护教案
自我心理保护十原则
医生同志自我保护必读
医生自我保护31条
如何用电脑画图功能修改图片与加字?(图文)
如何用电脑画图功能修改图片与加字?(图文)1
【引用】如何用电脑画图功能修改图片与加字?(图文)
如何用电脑画图功能修改图片与加字?(图文)
文档保护Word文档不被修改