查看: 8893|回复: 45
收起左侧

[讨论] VSE P3在Win8下的几点实践

  [复制链接]
墨池
发表于 2013-1-13 20:49:05 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2013-1-15 07:40 编辑

环境:Win8企业版64位。
1、使用安装包中的SetupVSE_Win8.Exe安装才是P3,用SetupVSE.Exe安装的是P2,需要再用P3补丁安装一下。
2、与毛豆的兼容性好了一些,不用再禁用“Prevent hooking of McAfee processes”规则,但不知是否是BUG。
3、端口规则继续不支持System进程排除,“要包含的进程”只能继续用“*.*”。
4、如果用“?:\Program Files*\”偶尔会出现排除无效的情况,所以用“*\Program Files*\”最保险。
5、“禁止所有程序从 Temp 文件夹运行文件”和“禁止公用程序从 Temp 文件夹运行文件”两条规则的日志出现“C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE”,“IEXPLORE.EXE”全部大写属于显示错误,应该是“iexplore.exe”。而且这两条规则偶尔会出现排除无效现象。日志如下:

2013/1/13        9:46:55        已由访问保护规则禁止         MochoSony\MOchi        C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE        C:\Users\MOchi\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行

6、出现以下BUG:

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------
默认没有排除svchost.exe,但Win8开机、关机和打开IE连接网站都会出现多条以上日志。而P2在Win7中不存在这种现象。

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------
“防止终止 McAfee 进程”尽然管到毛豆进程头上,有点可笑。反过来看也是好事,帮毛豆防御一下。

7、以下规则必须排除\SystemRoot\System32\**.exe, \SystemRoot\SysWOW64\**.exe,否则无法关机。这在*.7i及以前版本是需要排除的,8.8在任何Windows系统下没有再出现过。不知是否是规则语法上有所调整,还是BUG。咖啡的注册表规则跟天书一样,从没有看懂过,具体无从得知。

规则名称:401 保护系统进程
要包含的进程:*
要排除的进程*\Program Files*\CCleaner\CCleaner.exe, *\Program Files*\CCleaner\CCleaner64.exe, *\Program Files*\Common Files\McAfee\**.exe, *\Program Files*\COMODO\COMODO Internet Security\cfp.exe, *\Program Files*\COMODO\COMODO Internet Security\cmdagent.exe, *\Program Files*\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe, *\Program Files*\McAfee\**.exe, *\Program Files*\Microsoft Office\Office??\*.exe, *\Program Files*\Mozilla Firefox\plugin-container.exe, *\SystemRoot\System32\**.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files*\Sony\VAIO Care\VCPerfService.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Defender\mpcmdrun.exe, C:\Windows\**.exe, \SystemRoot\System32\**.exe, \SystemRoot\SysWOW64\**.exe
要阻止的文件或文件夹名:**\Windows\**.exe
要禁止的文件操作:读 执行

8、虽然有些问题,但使用了几天,没有出现蓝屏、系统无法启动等不良情况。坛子里有人无法开机,描述不具体,原因不得而知。

看来P3下架可能真有BUG需要修补,而且问题应该比较严重,具体只有官方知道。
本人不打算卸载,因为规则已经设置调试完毕,等正式出来测试后再放出来共享。
时间短,没有经历做大的折腾,错误之处请大家指正!

评分

参与人数 3经验 +20 人气 +2 收起 理由
jxfaiu + 1 感谢解答: )
心跳回忆 + 20 版区有你更精彩: )
shiyuelaohu + 1 很给力!

查看全部评分

马云波波波
头像被屏蔽
发表于 2013-1-13 21:08:01 | 显示全部楼层
      前排支持!感谢分享!
      另,在我这里安装P3后,在没有设置任何规则的情况下,出现过一次蓝屏,而且麦咖啡图标有时会突然从任务栏消失。看来P3的确存在一些BUG。

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 版区有你更精彩: )

查看全部评分

墨池
 楼主| 发表于 2013-1-13 21:30:14 | 显示全部楼层
马云波波波 发表于 2013-1-13 21:08
前排支持!感谢分享!
      另,在我这里安装P3后,在没有设置任何规则的情况下,出现过一次蓝屏, ...

想起来了,麦咖啡图标在我设置规则中也消失过,以为是规则的原因呢,原来默认也有这种现象。
kis20xx
发表于 2013-1-13 22:05:23 | 显示全部楼层
再次放出时,就转mcafee了,期待墨大的规则
小仙仙
发表于 2013-1-13 23:04:09 | 显示全部楼层
2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------
默认没有排除svchost.exe,但Win8开机、关机和打开IE连接网站都会出现多条以上日志。而P2在Win7中不存在这种现象。

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------


这个当初在我的WIN7上也出现过,大概在去年11月份吧,咖啡和毛豆的墙

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 版区有你更精彩: )

查看全部评分

墨池
 楼主| 发表于 2013-1-13 23:40:38 | 显示全部楼层
小仙仙 发表于 2013-1-13 23:04
2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\s ...

Win7下我没遇见过。看来与环境有关?抑或是Svchost.exe被注入利用了?
看来得换个纯净系统试试。
jxfaiu
发表于 2013-1-14 08:18:45 | 显示全部楼层
墨池 发表于 2013-1-13 23:40
Win7下我没遇见过。看来与环境有关?抑或是Svchost.exe被注入利用了?
看来得换个纯净系统试试。

官方原版系统吧。
qpzmggg999
发表于 2013-1-14 08:24:33 | 显示全部楼层
墨池 发表于 2013-1-13 23:40
Win7下我没遇见过。看来与环境有关?抑或是Svchost.exe被注入利用了?
看来得换个纯净系统试试。

VSE从p2开始 在windows8上 只要开启禁止McAfee进程被禁止就总是报告 svchost.exe 企图结束McAfee进程 然后被规则禁止 然而关闭规则之后 等了一个小时 McAfee服务进程依然安然无恙  我倒是觉得官方写规则时候有问题  

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 版区有你更精彩: )

查看全部评分

qpzmggg999
发表于 2013-1-14 08:26:49 | 显示全部楼层
为8楼提供论据:
规则日志如下
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Windows\system32\mfevtps.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\naPrdMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\McTray.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Windows\system32\mfevtps.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\naPrdMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\McTray.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止

然后关闭咖啡规则 1个小时 咖啡进程依然没事  下载病毒依然干掉!

评分

参与人数 1经验 +5 收起 理由
心跳回忆 + 5 感谢解答: )

查看全部评分

lhx1984
发表于 2013-1-14 16:12:01 | 显示全部楼层
咖啡图标在我设置规则中也消失过,以为是规则的原因呢,原来默认也有这种现象。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:46 , Processed in 0.161098 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表