‹‹ 上一主题 | 下一主题 ››
发新话题
打印

重要 用QQ的用户都得注意了

haijun110

驴民高工

Rank: 6Rank: 6
1# 发表于 2010-5-19 08:41  显示全部帖子
一、运行一个可执行程序
默认行为:阻止
设  置:允许的应用程序—浏览器
     阻止的应用程序—无

二、进程时内存访问
默认行为:阻止
设  置:允许的应用程序—C:\WINDOWS\system32\ctfmon.exe
     阻止的应用程序—无

三、窗口或事件钩子
默认行为:阻止
设  置:允许的钩子—C:\WINDOWS\system32\MSCTF.dll、
           QQ的绝对路径
     阻止的钩子—无

四、进程终止
默认行为:阻止
设  置:允许的应用程序—无
     阻止的应用程序—无

五、设置驱动程序安装
默认行为:阻止
设  置:允许的驱动—无
     阻止的驱动—无

六、窗口消息钩子
默认行为:允许
设  置:允许的应用程序—无
     阻止的应用程序—无

七、受保护的COM接口
默认行为:阻止
设  置:允许的COM接口—Shell.Explorer.2
     阻止的COM接口—无

八、受保护的注册表
默认行为:阻止
设  置:允许的注册表键—*\SOFTWARE\Classes\*file\shell\*\command\*
     *\SOFTWARE\Classes\CLSID*
     阻止的注册表键—无

九、受保护的文件
默认行为:阻止
设  置:允许的文件文件夹—“QQ保存用户文件的文件夹”
     临时文件
     C:\Documents and Settings\Administrator\Application Data\Tencent\User*
     阻止的文件文件夹—无

十、本地环回网络
默认行为:阻止

十一、域名解析客户端服务
默认行为:允许

十二、内存
默认行为:阻止

十三、屏幕监视器
默认行为:允许(不用QQ截图的可以阻止)

十四、磁盘
默认行为:阻止

十五、键盘
默认行为:允许


这是卡饭的一个QQ权限,我是对着这个改的。把上面的权限设好,然后运行,运行不了或连接不上的,一个一个对着日志改,改了一个再运行,问题还一样说明没改对,删了这条权限再改,这个软件用了很久了,但还是只会套规则改规则

TOP

haijun110

驴民高工

Rank: 6Rank: 6
2# 发表于 2010-5-19 14:09  显示全部帖子

回复 7# 3100011564 的帖子

对,窗口消息要阻止。不太明白COM接口是什么,不过看此贴(http://www.kafan.cn/Comodo/10653.html)后也不太理解,好像允许的话你下面的阻止再多也没用 ,建议多去卡饭转转.

TOP

haijun110

驴民高工

Rank: 6Rank: 6
3# 发表于 2010-5-19 14:12  显示全部帖子
再转个卡饭的帖

1、运行一个可执行程序
   最简单的在资源管理器中双击一个程序,通过explorer.exe调用这个程序就运行了。如果在上网
时突然弹框运行某程序,一定要仔细看程序路径名称。一般先尝试阻止(不记录规则),如果正常使用没
有问题再提示可以选择阻止并记录。

2、进程间内存访问
      进程间内存访问可以修改进程内存并插入自身代码到进程,通过目标进程完成操作,一般正常软
件不会有此动作。

3、窗口或事件钩子
      利用api来提前拦截并处理windows消息的一种技术,钩子实际上是一个处理消息的程序段,通过
系统调用,把它挂入系统。每当特定的消息发出,在没有到达目的窗口前,钩子程序就先捕获该消息,
亦即钩子函数先得到控制权。

4、进程终止
      建议选询问,正常软件也会有此行为。对特定程序的终止行为可以直接阻止,如正常使用情况下
突然要求终止毛豆进程。

5、设备驱动程序安装
      要求加载驱动程序的正常程序很少,一般是杀软或者安全工具。注:安装并加载驱动后,程序将
获得和毛豆一样的底层权限。

6、窗口消息钩子
      为方便使用常用和已知程序的窗口消息钩子均可以允许,对于不清楚的建议先阻止,不影响使用
就可以阻止并记住。有些病毒会利用窗口消息钩子破坏你的安全软件和系统。

7、受保护的COM口
      COM可以理解为一些组件,对外提供公开的接口以供其他程序调用。有些组件是DLL,有些程序如
IE,也对外提供COM接口,只要遵循com规范就可以相互直接通信。毛豆COM口内容很多,一般对提升
权限、修改系统时间、服务管理重点防范。

8、受保护的注册表键
      主要防止修改注册表自启动、服务驱动和映像劫持等。

9、受保护的文件/目录
      FD内容,看具体程序而定,这个比较直观,主要保护系统重要文件及个人私有文件。

10、本地环回网络
      应用广泛的一种虚拟接口,主要用于路由器。当本机上不使用本地代理转发和接收类软件时,本
地环回网络访问的是本机;当使用本地代理时,某些程序不需要通过访问DNS就能实现与外部网络的通信
。一般情况下允许,交由毛豆防火墙控制。

11、域名解析客户端服务
      允许提供客户端域名解析服务。

12、内存
      在NT内核系统中,操作系统是利用虚拟内存管理来维护地址空间映像。应用层的程序一般不需要
直接访问物理内存地址,而是通过内核中的某些驱动程序将虚拟地址空间映射为物理地址空间,从而实
现对物理内存的访问。直接访问物理内存也可以获得很高的系统特权,一般选择阻止。

13、屏幕监视器
     这个不用解释了吧~

14、磁盘
      受保护的文件/目录仅仅只是在Windows层面上进行访问控制,如果程序通过直接对磁盘进行操作
的方法来可以绕过毛豆对其的FD控制,因此一般来说要阻止该底层操作。阻止之后一般软件的使用不会
受到影响。

15、键盘
      访问键盘、进行键盘输入监控是很多正常程序也有的行为,根据具体情况判断。

TOP

‹‹ 上一主题 | 下一主题 ››
发新话题