|
|
安全盾1.32更新:
可以完全取消黑名单了,目前仅在自定义监视中保留起作用,所以黑名单可以不必做得很多了。(个人住荐完全不使用黑名单,监视级别使用自定义设置,通过设定目录的规则来过滤)
不管哪种监视级别,对各盘根目录下的新建 autorun.inf 都会自动删除。
将原来暂停监视-->仅黑名单监视 更改为:不信任程序安装
*****************不信任程序安装的功能***********************
1:注册表监控依然有效,即不允许写入IE设置,不允许更改重要关联,不允许创建服务键,不允许修改Winsock设置.
2:当程序新增注册表启动项出现后,后弹出窗口供用户选择.同意安装,同意并不再询问,终止安装.
同意安装会允许本次注册表项写入,然后进入文件检测。
如果该安装程序在%windos%目录下写入.exe.com.sys.bat.cmd.vbs.pif.lnk及在根目录下写入autorun.inf则同样弹出上面的提示。
如果同意了N次后有一次终止安装,则程序恢复正常模式时会删除所有已安装的文件!(包含其它目录)
终止安装选择后在恢复正常模式前均不再询问,对所有的写入都禁止。
不再询问则一路完成安装,但注册表保护中除启动项外,其余保护依然有效,对文件不作检测。
可能的问题:
1:安装杀软,安装刻录软件,虚拟机等要写入服务键,所以只能选择信任程序安装而不能使用不信任程序安装。
如果出于个人爱好喜欢安装XX插件,请使用信任程序安装功能或退出安全盾后安装。
2:有些安装程序会在%windows%\Installer下生成可执行文件,以备文件损坏后的修复或老版本备份,
有些安装程序会在%windows%下生成unins000.exe等反安装程序。同样会有询问界面弹出,
对于上面的可疑安装如果不确定,个人认为可以先同意,然后在3中处理。
3:根据其安装程序的启动行为:写注册表启动项时来确定是否值得安装!凡是rundll32启动或程序是在windows下启动运行的,木马或插件的可能性较大,可以确定一下选择终止安装。
也许有人要问第2点只判断系统目录新增的可疑文件是否处理不完善,%Program Files%下也可能写入可疑程序。个人认为最终的木马及插件总是要运行的,所以在它们写注册表时阻止安装,同样可以达到目的。
注意:在安装程序中只要选择了终止安装,则恢复正常模式前会删除所安装的所有文件,不论其目录在何处。 |
|
IP卡
狗仔卡
发表于 2006-9-10 13:32:32
显身卡
楼主
