请问各位大佬有什么办法可以屏蔽特定进程的del指令？

水木社区手机版

主题:请问各位大佬有什么办法可以屏蔽特定进程的del指令？
楼主|BorryLee|2022-09-20 15:35:42|只看此ID
如题，有一个进程总发cmd的del指令删除各种日志信息，有没有什么办法能单独屏蔽掉这个进程的del，不让它执行？

- 来自水木社区APP v3.5.5
※ 修改:·BorryLee 于 Sep 20 15:36:19 2022 修改本文·[FROM: 124.204.76.*]
※ 来源:·https://exp.mysmth.net·[FROM: 124.204.76.*]

修改:BorryLee FROM 124.204.76.*
FROM 124.204.76.*
1楼|z16166|2022-09-20 18:51:04|只看此ID
1、改一下那个exe的二进制，把那个命令的字符串无害化
2、组策略禁止执行cmd.exe（会影响其他程序）
3、找个主动防御工具，设条拦截规则，禁止cmd.exe修改那个目录下的东西。
--
FROM 221.220.168.*
2楼|BorryLee|2022-09-21 08:23:19|只看此ID
感谢回复，我现在就是用的第二和第三种方法，第一种方法没试过，这个技术有什么关键字我可以百度吗？
- 来自水木社区APP v3.5.5
【在 z16166 的大作中提到: 】
: 1、改一下那个exe的二进制，把那个命令的字符串无害化
: 2、组策略禁止执行cmd.exe（会影响其他程序）
: 3、找个主动防御工具，设条拦截规则，禁止cmd.exe修改那个目录下的东西。
: --
:
--
FROM 124.64.22.*
3楼|z16166|2022-09-21 10:19:45|只看此ID
能搞定就行。每种方法都要试一遍？

第一种就是exe/dll里查找对应的unicode/ansi字符串，找不到的话，要稍微逆向一下了，就是反汇编。

【在 BorryLee 的大作中提到: 】
: 感谢回复，我现在就是用的第二和第三种方法，第一种方法没试过，这个技术有什么关键字我可以百度吗？
: - 来自水木社区APP v3.5.5
: :
--
FROM 221.220.168.*
4楼|RunningOn|2022-09-21 10:36:03|只看此ID
用二进制编辑器打开exe或dll，搜索del字符串，修改为rem。

【在 BorryLee 的大作中提到: 】
: 如题，有一个进程总发cmd的del指令删除各种日志信息，有没有什么办法能单独屏蔽掉这个进程的del，不让它执行？
: - 来自水木社区APP v3.5.5
: ※ 修改:·BorryLee 于 Sep 20 15:36:19 2022 修改本文·[FROM: 124.204.76.*]
: ...................
--
修改:BorryLee FROM 124.204.76.*
FROM 58.33.81.*
5楼|iwantfly|2022-09-21 12:08:56|只看此ID
hook吧，像360杀毒那样，拦截文件系统访问

【在 BorryLee 的大作中提到: 】
: 如题，有一个进程总发cmd的del指令删除各种日志信息，有没有什么办法能单独屏蔽掉这个进程的del，不让它执行？
: - 来自水木社区APP v3.5.5
: ※ 修改:·BorryLee 于 Sep 20 15:36:19 2022 修改本文·[FROM: 124.204.76.*]
: ...................
--
修改:BorryLee FROM 124.204.76.*
FROM 221.219.211.*
6楼|BorryLee|2022-09-21 22:29:18|只看此ID
感谢回复
- 来自水木社区APP v3.5.5
【在 RunningOn 的大作中提到: 】
: 用二进制编辑器打开exe或dll，搜索del字符串，修改为rem。
--
FROM 111.199.80.*
7楼|BorryLee|2022-09-21 22:29:43|只看此ID
感谢回复
- 来自水木社区APP v3.5.5
【在 iwantfly 的大作中提到: 】
: hook吧，像360杀毒那样，拦截文件系统访问
--
FROM 111.199.80.*