PTT數位生活區 / AntiVirus (防毒)

[解決] (更新)win7/comodo排除M$線上說明觸發HIPS

看板AntiVirus (防毒)作者 (無情的老K)時間11年前 (2014/11/11 11:48), 11年前編輯推噓4(4013)
留言17則, 3人參與, 最新討論串1/1
系統:win7 事件檢視中希望能線上查詢微軟的說明 因而點選/事件紀錄檔線上說明/ comodo會產生tmp*.VBS的檔案要求入沙 請問如何設定排除項目 為了能放行,暫時沙箱停用一次之後 看了說是會存取com介面目標是svchost 目前我沙箱設為"不信任"層級 因為之前保留預設值結果中獎,因而調高啦 多謝專業的指導 -- ※ 發信站: 批踢踢實業坊(ptt.cc), 來自: 175.181.133.198 ※ 文章網址: http://www.ptt.cc/bbs/AntiVirus/M.1415677681.A.582.html
11/11 13:25, , 1F
要玩沙就用sandboxie吧
11/11 13:25, 1F
11/11 14:14, , 2F
請針對問題,多謝:-D
11/11 14:14, 2F
※ 編輯: kgtsimcard (175.180.181.226), 11/11/2014 15:04:27
11/11 16:54, , 3F
雪特
11/11 16:54, 3F
11/11 16:55, , 4F
官方論壇http://ppt.cc/~IpF
11/11 16:55, 4F
11/11 23:31, , 5F
taskeng.exe 加入例外,並打勾"包含子進程"。
11/11 23:31, 5F
11/11 23:32, , 6F
但有個弱點,此時開啟的firefox別進有毒網站。
11/11 23:32, 6F
11/11 23:32, , 7F
http://goo.gl/MZ5Vku 參考資料,V7
11/11 23:32, 7F
11/12 01:28, , 8F
專業的終於來了,:-)
11/12 01:28, 8F
更新 因為我的沙箱是設定''不信任'',因此比較麻煩 除了taskeng.exe需設規則為windows應用程式 HIPS的行為封鎖還必須把tmp*.vbs設為排除項目(不包括子進程) HIPS規則把tmp*.vbs歸類到''隔離類''規則 然後再自訂此規則的存取權限中的''執行可執行檔''排除中加入firefox成允許 以及 ''windows/winevent鉤子'' 排除中加入wscript.exe成允許 這樣就都不會出現詢問視窗只會在defense+事件記錄中 ※ 編輯: kgtsimcard (175.181.152.91), 11/13/2014 16:59:20
11/13 17:37, , 9F
你有開HIPS就簡單了 taskeng.exe設installer or updater
11/13 17:37, 9F
11/13 17:37, , 10F
弱點還是一樣
11/13 17:37, 10F
※ 編輯: kgtsimcard (112.105.146.171), 11/13/2014 18:07:47
11/13 18:11, , 11F
那我應該不想把它當成安裝或更新規類
11/13 18:11, 11F
11/13 19:47, , 12F
不知道有沒有辦法加入檔案大小規則,事件檔全都只有1k
11/13 19:47, 12F
11/13 19:49, , 13F
應該是說tmp*.vbs檔
11/13 19:49, 13F
11/13 21:49, , 14F
installer or updater 就是所有子進程都信任。
11/13 21:49, 14F
11/13 21:50, , 15F
一般不直接信任.vbs是怕病毒用那個名字
11/13 21:50, 15F
11/14 14:16, , 16F
病毒只有1k的話應該是蠻會寫的:-),我算比較天方夜譚X
11/14 14:16, 16F
11/14 14:16, , 17F
D
11/14 14:16, 17F
更多 kgtsimcard 的文章
文章代碼(AID): #1KOORnM2 (AntiVirus)
AntiVirus 近期熱門文章
更多 近期熱門文章 >>
PTT數位生活區 即時熱門文章
更多 即時熱門文章 >>
更多 kgtsimcard 的文章
文章代碼(AID): #1KOORnM2 (AntiVirus)