这是一个创建于 2813 天前的主题,其中的信息可能已经有所发展或是发生改变。
需求:超级小(常驻内存< 40M ),安静
① 组策略不行。第一不能禁其它进程,启动的子进程,第二会弹窗
② Hips 型杀软不行。知名如 ESET4.2 ,也占内存约 100M ,仍然太大
③ 没杂七杂八功能。内置规则?统统不要! 小而美,如 cow.exe(11M)、 Diito.exe(8M)……人小但鬼大
简单说,求 只有 AD 的小 Hips ( RD FD 都不要)
谢谢
① 组策略不行。第一不能禁其它进程,启动的子进程,第二会弹窗
② Hips 型杀软不行。知名如 ESET4.2 ,也占内存约 100M ,仍然太大
③ 没杂七杂八功能。内置规则?统统不要! 小而美,如 cow.exe(11M)、 Diito.exe(8M)……人小但鬼大
简单说,求 只有 AD 的小 Hips ( RD FD 都不要)
谢谢
 |
1
Izual_Yang 2017-02-21 20:46:46 +08:00 via Android
火绒
|
 |
2
langmoe 2017-02-21 21:01:56 +08:00  1
|
 |
3
phrack 2017-02-21 21:04:17 +08:00 via Android
哈哈,我自己倒是写了一个这样的工具,自动关掉各种软件的弹窗广告和后台进程,用 autoit 写的,才几十行。
|
 |
4
wevsty 2017-02-21 21:19:29 +08:00
如果只是想阻止特定程序运行,那么 NTFS 取消那个文件的执行权限即可,系统内置功能。
不要求强度的话,楼主可以自己写个驱动完成这个事情,用 PsSetCreateProcessNotifyRoutineEx 安装一个回调函数就行了。 |
 |
5
visonme 2017-02-21 21:30:01 +08:00 1
不是很流氓的可以在应用层 HOOK NtCreateSection , NtCreateProcess ,NtOpenProcess,通常 NtCreateSection 足矣,如果碰上流氓的可以考虑驱动,比如 HOOK SSDT 或者如 wevsty 说的设置回调。
此类的独立应用还真没见过,一般都是大类应用包含此类,但是这样的应用基本无意主动防御软件了~ |
 |
6
winterbells 2017-02-21 21:37:29 +08:00 via Android
@wevsty 不过这会弹窗,不符合楼主第一个条件=。=
|
|
7
wevsty 2017-02-21 21:52:18 +08:00 1
@winterbells 弹窗不弹窗是由调 CreateProcess 的进程决定的,想确保不弹窗提示那只能 HOOK 掉该进程对 MessageBox 的调用(当然,如果程序自己绘制的弹窗那还是拦不住的)。
@visonme 在驱动层面上,考虑目前主流的都是 X64 , SSDT HOOK 相对比较麻烦,一般来说设置回调就足够了,安全性并没有太大的问题,而且相对比较易用稳定。 |
 |
8
hugo775128583 2017-02-21 21:59:22 +08:00 via Android
autorun
|
 |
9
xiaopenyou OP 谢谢大家提供的,竟然有这么多方法
火绒,我在自定义防护中,设置了阻止运行,但不起作用。很奇怪 但火绒真小!三个进程总共才 47M ,棒! silent-terminator 这个工具很好! autoit/AutoHotkey 的方案也很棒!简单有效 另,也搜索到一款,只有 AD 的小 Hips : Smart Object Blocker 内存占用仅 10M : https://www.wilderssecurity.com/threads/smart-object-blocker-block-exe-dll-drivers.378369/ 但我测试了,有些奇怪的 bug |
 |
10
lslqtz 2017-02-22 09:48:38 +08:00 via iPhone
autoruns
|
|
11
lslqtz 2017-02-22 09:49:15 +08:00 via iPhone
我看成禁止开机启动… sry 我记得之前我用过个 hips
这个靠 uac 也不错 |
 |
12
Jasmine2016 2017-02-23 14:52:50 +08:00
火绒+1
|
|
13
xiaopenyou OP 火绒确实很棒。国产安全软件口碑,被 360 、 LBE 、腾讯百度……各种全家桶搞烂了
没想到还有这种出淤泥而不染的,宛如一股清流 |
 |
14
zungmou 2017-03-07 12:22:42 +08:00
什么软件都不用,直接给 everynone 权限加上禁止一切就可以了。
|
|
15
xiaopenyou OP @zungmou 禁权限会引发弹窗,不符合要求①
实际上,最后用 AutoHotkey 解决了。。 ``` trashProcess := ["DownloadSDKServer.exe", "SogouCloud.exe", "SpotifyWebHelper.exe"] Loop { For index, value in trashProcess { Process, Exist, %value% ;查找进程是否存在 if ( ErrorLevel != 0 ) { Process, Close, %ErrorLevel% ;终止进程 if ( ErrorLevel = 0 ) MsgBox, 检测到垃圾进程,但我没有成功的结束它! } Sleep, 10000 } } ``` 事后 kill 不够,要事前禁止执行的话,可以用 hips 比如火绒…… |
Select Language