禁止任何程序读取、执行系统exe文件的规则

cocabean

jxfaiu 发表于 2013-1-4 20:06
C:\Windows\**.exe就是包含C:\Windows文件夹下的任意一层的exe文件，不信可以自己做个测试：就用一楼规 ...

哦，你的一楼已经修改过了啊，一开始不是C:\Windows\**.exe，而是C:\Windows\**\**\**.exe， C:\Windows\**\**\**.exe等同于C:\Windows\**.exe么？

jml521m

linjuncpu 发表于 2013-1-4 20:16
哦，你的一楼已经修改过了啊，一开始不是C:\Windows\**.exe，而是C:\Windows\**\**\**.exe， C:\Window ...

不等同，但因系统的不同，要禁止的文件操作不同，得到的结果不同，其得到的结果也是不相同的，关于此类的问题排除，请访问有专业测试的的“叶版文献”，如果有遇到什么问题可开贴提问。。。愿为你排忧解难。。

      

jxfaiu

linjuncpu 发表于 2013-1-4 20:16
哦，你的一楼已经修改过了啊，一开始不是C:\Windows\**.exe，而是C:\Windows\**\**\**.exe， C:\Window ...

C:\Windows\**\**\**.exe等同于C:\Windows\**.exe,是的我不是已说的很明白，不信自己测试。

cocabean

jxfaiu 发表于 2013-1-4 21:04
C:\Windows\**\**\**.exe等同于C:\Windows\**.exe,是的我不是已说的很明白，不信自己测试。

我已经试了，用C:\Windows\**\**\**.exe，包含进程：*，排除：无，禁止的五个全部选，
一会就有报告产生了：
将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        C:\Windows\Explorer.EXE        C:\Windows\explorer.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:01        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        C:\Windows\explorer.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:01        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\COMODO\COMODO Internet Security\cfp.exe        C:\Windows\explorer.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:06        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:06        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:06        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\COMODO\COMODO Internet Security\cfp.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:42        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:42        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:42        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\COMODO\COMODO Internet Security\cfp.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:16:18        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取

jml521m

linjuncpu 发表于 2013-1-4 21:19
我已经试了，用C:\Windows\**\**\**.exe，包含进程：*，排除：无，禁止的五个全部选，
一会就有报告产生 ...

有“读取”，“执行”失效。。。 看看是不是？

cocabean

jml521m 发表于 2013-1-4 21:25
有“读取”，“执行”失效。。。 看看是不是？

真心搞不懂，已经不是我等小白的事情了……

cocabean

我觉得应该是等同的

墨池

    咖啡规则早期都用C:\Windows\**\*.exe表示Windows文件夹内的所有exe文件，后来叶知版主发现C:\Windows\**.exe同样可以表示Windows文件夹内的所有exe文件，从此就固定下来了。
    要分层表示，理论上可以这样：C:\Windows\*.exe表示Windows文件夹内的exe文件，如C:\Windows\explorer.exe；C:\Windows\*\*.exe表示Windows文件夹内下一级目录下的exe文件，如C:\Windows\System32\regedt32.exe；C:\Windows\*\*\*.exe表示Windows文件夹内下二级目录下的exe文件，如C:\Windows\System32\com\MigRegDB.exe。以此类推。但是，实际上咖啡语法不支持多级目录。
    至于C:\Windows\**\**\**\*.exe一类，与C:\Windows\**\*.exe和C:\Windows\**.exe涵义一样。

马云波波波

shiyuelaohu 发表于 2013-1-4 20:01
在win7上禁读，也就禁止了其他所有操作了，叶知版主说过，读取好像是写入、执行、删除的先手行为。

的确是这样的。很多程序运行之前要先被explorer.exe读取，这个通过看墨大卧龙规则的拦截日志文件即可看出来。

jxfaiu

linjuncpu 发表于 2013-1-4 22:17
我觉得应该是等同的

坚持自己的实践，不要被某些自以为是高手的误导。C:\Windows\**.exe就是包含C:\Windows文件夹下的任意一层的exe文件