如何防止软件修改系统的host文件?
本帖最后由 纯情小鸭鸭 于 2019-3-20 00:46 编辑win10安装了某软件,联网会弹窗,于是把它的服务器地址写进了host,开始还行,但打开那软件过一段时间后居然又弹窗了,排查了一轮后发现我写进host的那软件的服务器地址被注释掉了(host文件我已改为只读属性),那软件是怎样获得修改host的权限的?uac我已经拉最高了。后来百毒了一下,有说法是通过系统服务修改的,那么怎样防止呢?
百毒也告诉我修改host文件这种事大名鼎鼎的麻花藤qq也干过(或者那软件就学它的)。
补充一下,这货貌似连系统自带的防火墙也阻挡不了它联网,究竟是怎样做到的?
最后我是把host写进路由器解决的,世界清净了。百毒告诉我也可以用第三方的防火墙,反正不要用系统自带的东西就行。 win里没辙就在路由器上干它 能改host说明你给了那软件管理员权限吧 把所有账户对host的写权限都关掉? 你给管理员权限了呗,有管理员权限就能上系统服务。。。如果是通过系统服务改的,找到对应的系统服务把他干掉
—— 来自 vivo NEX S, Android 8.1.0上的 S1Next-鹅版 v2.0.4-play 很多安全软件都可以监视拦截hosts修改吧
—— 来自 Xiaomi Redmi Note 5, Android 9上的 S1Next-鹅版 v2.1.2 hosts要管理员权限才能修改,一个正常的软件在安装后还问你要管理员权限就是流氓 很久很久以前360会默认把hosts注释掉。所以未必是这个软件修改的。真有绕过权限直接修改hosts的方法那win10可以强制你安全更新了吧。 把host放路由器上,或者装火绒自定义文件访问规则 DazzleP 发表于 2019-3-16 14:14
你给管理员权限了呗,有管理员权限就能上系统服务。。。如果是通过系统服务改的,找到对应的系统服务把他干 ...
我也不知道有没有给它权限,安装的时候忘记了uac有没有弹窗,安装完后就没改过啥,host被修改时uac没弹窗。 天正cad
----发送自 Sony G8441,Android 9 本帖最后由 DazzleP 于 2019-3-16 22:31 编辑
纯情小鸭鸭 发表于 2019-3-16 18:22
我也不知道有没有给它权限,安装的时候忘记了uac有没有弹窗,安装完后就没改过啥,host被修改时uac没弹窗 ...
如果真的安装时给你上了个系统服务,他就已经有了系统权限,后续他想要做高权操作可以直接请求他自己的系统服务,是不需要经过你同意的,自然就不会有uac
有个东西叫procexp(似乎是叫这个)可以监视任何进程的行为,你用他去监视一下host文件看下有谁去改了,或者用下楼上提供的其他方法
=========
找到了,是叫procmon https://docs.microsoft.com/en-us/sysinternals/downloads/procmon
之前我干活的时候用的,可以按照文件路径过滤事件
—— 来自 vivo NEX S, Android 8.1.0上的 S1Next-鹅版 v2.0.4-play
UAC开最高啊...
试试直接hosts文件上右键属性安全里把用户的修改等权限禁掉 Microsoft 发表于 2019-3-17 13:39
UAC开最高啊...
已经最高了,没用 https://i.loli.net/2019/03/19/5c90ff690433f.png
火绒设置里的,不知道有没有用 本帖最后由 纯情小鸭鸭 于 2019-3-20 00:45 编辑
补充一下,这货貌似连系统自带的防火墙也 阻挡不了它联网,究竟是怎样做到的? 最后我是把host写进路由器解决的,世 界清净了。百毒告诉我也可以用第三方 的防火墙,反正不要用系统自带的东西就行。 纯情小鸭鸭 发表于 2019-3-20 00:42
补充一下,这货貌似连系统自带的防火墙也 阻挡不了它联网,究竟是怎样做到的? 最后我是把host写进路由器解 ...
能不能透露你说的这货究竟是什么货
页:
[1]