慎重更新新版微信

讨论分享
61

ESET和sandboxie能共存,现在我就这么用的,腾讯系IM都装沙盒里
ESET感觉兼容性相对比较好,卡巴兼容性差一点,以前有过不能兼容的时候,不过现在也能兼容了

62

@NullPointer 哈哈,这么说就好接受很多。还有个问题,任务扫描要不要关?涉及到写入量大的问题,也不知这个问题解决了没。

@yuukoamamiya 感谢告知,那就好,目前还是需要沙盘来对付一些程序。QQ你用的可是新版?老架构的有驱动。

63

扫描我没有关。ELG本身也能加快扫描效率,我平时看磁盘占用也很正常。
QQ我用的旧版。我直接在防火墙禁止QQ更新程序联网,他就没法自动更新了

64

我用的新版,直接在沙盒里安装。沙盒类型选浅蓝的“带有数据保护功能的应用隔间”
老版的话你可以去423down找个绿色版的

65

@NullPointer ELG加快扫描效率是好事,但是结合前一次的缩水就有点儿问题了。
QQ旧版是有驱动的,也就是说你的磁盘读写和联网传数据可能都拦不住,最多拦截了自动更新。

@yuukoamamiya 其实在我的宿主机上,没有安装鹅厂的产品,都在虚拟机中。
关于沙盘我倒想请教下,你是买的官方的吗?因为听说淘宝某店给的和官方直买的证书还不一样。
另外沙盘可否请教你?SBIE中文无文档,英文文档也比较简略,稍微深入点的功能用起来就费劲了。

66

驱动叫啥名称,我去看看。我看hips日志里对QQ后台的获取explorer.exe访问权,调用ipconfig.exe和arp.exe都成功了的

67

我以为说的是手机版,手机版本微信一直停留在7.0.21的路过,6.7.3被搞下线只能这个版本了

68

我这边装的是TIM,简单看了下没找到对应的驱动,但印象中TIM也是有驱动的。
QQ的驱动我找到了一篇文章《挫败 QQ.EXE 的内核模式保护机制(part I)》,你看下有没有。

69

大致看了下

  1. QQ启动后,后台的确会有一个“QQ辅助进程”,但网上说的“QQ安全进程(Q盾)”又对不上。根据描述,这个辅助进程是阻止登录相同账号的,我的规则也限制了其扫盘和启动其他程序,暂时还没有因为这个程序而触发规则的记录
  2. 没找到对应的两个驱动程序,但在注册表找到了其中一个,不过键值对不上。问了下ai,说是卸载残留的问题,我直接删除了条目,没有影响。名称上相关是有个目录叫"C:\Users<username>\AppData\Roaming\Tencent\QQ\QQProtect",里面有个空目录"QScan"和一个db文件"Registry.db",不知道干嘛的。随后我在"TX非相关调用中加入了阻止修改所有注册表条目"的规则,QQ和微信能正常启动,不过QQ会频繁触发修改众多注册表的日志。腾讯自身的注册表路径为"计算机\HKEY_USERS\xxxxxx\SOFTWARE\Tencent",我对注册表研究不深,不知道具体有啥影响。不过如果是安装之初就插入的条目,这也没什么作用

增加注册表条目规则后,出现的日志记录

70

现在的维护者david xanatos有一个泄露的key,这个key可以在老版本的sbie上用,我用的这个,相当于没买
淘宝分销商的证书和官方版是一样的似乎,不一样的是可能有版本上的区别,david维护的这个plus版有一堆奇奇怪怪的家庭版个人版加密版这个版那个版,据说淘宝分销商的问题是卖贵了,就功能是低级版本的功能,但是自己起名往高级版本起
证书反而不是问题,因为sbie plus也是开源的,花钱无非也就是配证书
以前卡饭还有沙盒区的,现在没了,我也没辙,也就选项都试过去。。。

71

@NullPointer

  1. 我装TIM搜到的也和你一样,有个QQProtect相关的注册表项(没找到相关文件或目录),删除好像没问题,当然其下也没什么东西。如果没有驱动,倒是可以尝试把它放到沙盘里去了。
  2. 我不太清楚鹅厂什么时候取消了驱动,网上讨论的也不多。但是对于联网的软件,扫盘上传数据太难防范了。
  3. HKEY_USERS\xxxxxx\SOFTWARE\Tencent建议放行,因为一般软件安装都会在HKEY_USERS\xxxxxx\SOFTWARE\下产生内容。但有点不解的是,你第一份日志截图显示的可能和输入法有关,你是用了微信输入法吗?另外这么记录会不会产生大量日志?磁盘写入也没有显著增加?
  4. 官网下载EIS应该就是ESET HOME Security Essential(下图)了吧?但我没找到下载地址。
    2025-04-26_150752.png

@yuukoamamiya

  1. 原来淘宝卖的问题在这里,之前也是这个坛子里讨论的,说是证书和官方给的不一样。
  2. 单独买证书太贵了,如果大家能够拼成应该还成。
  3. 这么说来,它付费证书的有效性不是看时间,而是看的版本号。
72

我都是直接关闭更新,新版本一点都不好用,之前找了好久找到了旧版本的

73
  1. EIS是eset internet security
  2. 对于QQ,微信以及允许启动的相关组件全部禁止直接访问磁盘安装全局挂钩加载驱动程序,禁止对所有应用程序的所有操作(需要放行的单独开规则,具体的规则比笼统的规则优先级更高)
  3. HKEY_USERS\xxxxxx\SOFTWARE\Tencent 目前没有需求安装腾讯其他关联软件,所以暂时不用放开,有需求时再临时放开;没用微信输入法,但是微信之前更新后有个微信输入法的安装文件,估计也在注册表里创建了数据项;除了每次开机后首次启用程序,这些软件会因为重试机制反复触发上百次规则,后续都是20分钟左右只触发个5~10次,每次对应一条日志写入。也可以设置规则的日志级别为,这样就不会记录日志
74

看我在 慎重更新新版微信 - #49,来自 Aquamarine 提到的第三点,国内外产品结构疑似有代差。

官网有类似信息:

引用自:

所以是只能从中国官网下载?国外网站即使下载了ESET HOME Security Essential也用不了?

75

翻墙出去订阅了应该能用吧

看了下的确不一样 :sweat_smile:

76

现在最新版本是不是18?
另一定要注册账号才能装?

77

试用了几天,发现ESET的HIPS的易用性确实有点缺。卡巴斯基有自定义的组,可修改,可加入;火绒有一堆的预定义(其FW有放行系统核心程序),这些功能都能提高易用性和效率。
ESET的学习且不说,自动就是规则外放行,智能就是自动加了一些内置规则,基于策略就是规则外阻止,交互前期用起来太麻烦了。
PS:这个翻译和官方文档也是让人看得一头雾水。

78

对的,这点不方便理解,让人摸不着头脑

79

这个不可能适配的,适配了什么第三方都能加钩子,有不少国内app用微信下发验证码的。