收藏本站 |切换到宽版 | 更换论坛皮肤
 找回密码  忘记邮箱  QQ快速登录  快速登录  快速注册

卡饭»论坛 安全区 卡巴斯基 “应用程序控制”疑似BUG?(已解决)
1234下一页
返回列表 发新帖
查看: 6544|回复: 30
收起左侧

[交流探讨] “应用程序控制”疑似BUG?(已解决)

[复制链接]
jone_jys
头像被屏蔽
发表于 2016-10-23 10:28:41 | 显示全部楼层 |阅读模式
本帖最后由 jone_jys 于 2016-11-1 22:05 编辑

图一:
无标题.png


图二:
无标题1.png

图三:
无标题2.png

制定规则:监控 *.exe文件
限制如下程序“新建”任何EXE文件(IE /Edge /explorer.exe /dllhost.exe)
除以上限制程序外,其余程序都允许新建EXE文件
但卡巴却阻止cleanmgr.exe新建Dismhost.exe


如上图一所示,dllhost.exe已经设置为“拒绝/记录事件” 详见图片上说明。


上图三:

手动进行磁盘清理时,却被阻止创建Dismhost.exe。点击“清理系统文件”后卡巴阻止新建Dismhost.exe,此程序实际由cleanmgr.exe创建。而cleanmgr.exe卡巴自动已加入信任组,且允许新建任何EXE文件。

图二:卡巴阻止的日志记录。可以看出来Dismhost.exe由cleanmgr.exe创建的。

经过反复折腾测试,似乎是“权限继承”导致的。默认cleanmgr.exe为“继承/允许”,我尝试手动设置为“允许”后还是被阻止了。

cleanmgr.exe继承了dllhost.exe拒绝?,但我手动设置允许(不继承)后还是被阻止啊!

此问题是卡巴的BUG吗?





PS:此问题已解决!方法见置顶楼层(28楼)。卡巴设计思路如此。。。





















回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2016-10-23 10:55:29 | 显示全部楼层
Wesly.Zhang 发表于 2016-10-23 10:44
Hello,

你把调用关系理清楚:

额,一楼已经很清楚说明了啊!

1 拒绝dllhost.exe新建EXE后,cleanmgr.exe也拒绝新建EXE了。
2 排除dllhost.exe后,cleanmgr.exe就可以正常创建Dismhost.exe。

帖子要表达的意思是:
cleanmgr.exe为何受到dllhost.exe的影响?是卡巴的BUG吗?还是权限继承逻辑上有问题?





回复

举报

Wesly.Zhang
发表于 2016-11-1 21:10:25 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2016-11-1 21:40 编辑

Hello,

这么配置 HIPS 规则,需要用到 排除 规则破解进程继承限制。如果默认 Explorer.exe(禁止),dllhost.exe(禁止,非继承),cleanmgr.exe(允许,非继承)。

运行序列比较复杂。

2016-11-01_210753.png

根据如下配置能够满足你的需求,任何允许记录生成在报告中。

2016-11-01_212202.png

在 HIPS 设置里面那个 绿箭头的继承 是仅仅继承父进程状态为允许时,如果父进程是 阻止 的状态,只能够在上图的位置排除 继承阻止限制。

评分

参与人数 1人气 +1 收起 理由
jone_jys + 1 感谢测试!不容易呀!

查看全部评分

回复

举报

Wesly.Zhang
发表于 2016-10-23 10:36:19 | 显示全部楼层
Hello,

没看懂你想表达的是什么意思......
回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2016-10-23 10:41:24 | 显示全部楼层
Wesly.Zhang 发表于 2016-10-23 10:36
Hello,

没看懂你想表达的是什么意思......

直接看引用里面的内容。

简单讲,就是卡巴阻止了手动磁盘整理(阻止了cleanmgr.exe创建Dismhost.exe)

回复

举报

Wesly.Zhang
发表于 2016-10-23 10:44:59 | 显示全部楼层
jone_jys 发表于 2016-10-23 10:41
直接看引用里面的内容。

简单讲,就是卡巴阻止了手动磁盘整理(阻止了cleanmgr.exe创建Dismhost.exe) ...

Hello,

你把调用关系理清楚:

dllhost 跟 cheanmgr 与 Dismhost 有什么关系?

dllhost->cheanmgr->dimhost 这种调用关系?
回复

举报

Wesly.Zhang
发表于 2016-10-23 11:08:12 | 显示全部楼层
本帖最后由 Wesly.Zhang 于 2016-10-23 11:09 编辑
jone_jys 发表于 2016-10-23 10:55
额,一楼已经很清楚说明了啊!

1 拒绝dllhost.exe新建EXE后,cleanmgr.exe也拒绝新建EXE了。


Hello,

用 交互模式 查看调用关系,把拒绝改成 提示 。一定是调用关系上的继承设置有错误的情况,这种逻辑错误的可能几乎为零。
回复

举报

ajax
发表于 2016-10-23 21:58:38 | 显示全部楼层
没看懂  等稳定版出来
回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2016-10-24 09:00:32 | 显示全部楼层
ajax 发表于 2016-10-23 21:58
没看懂  等稳定版出来

看来折腾应用程序控制的并不多。
撸主提到的这个问题,除了查看日志外很难被发现。。。
回复

举报

jone_jys
头像被屏蔽
 楼主| 发表于 2016-10-24 09:08:52 | 显示全部楼层
Wesly.Zhang 发表于 2016-10-23 11:08
Hello,

用 交互模式 查看调用关系,把拒绝改成 提示 。一定是调用关系上的继承设置有错误的情况, ...

一早用火绒自定义规则测试并没有问题。

用火绒自定义规则,禁止dllhost.exe  /explorer.exe新建任何.EXE文件,结果是不会阻止其他程序创建Dismhost.exe。而卡巴只要禁止dllhost.exe新建EXE文件,其他程序就无法新建Dismhost.exe了,不解。。

之前用McAfee制定过同样的规则也并没有问题。




回复

举报

Wesly.Zhang
发表于 2016-10-24 10:08:34 | 显示全部楼层
jone_jys 发表于 2016-10-24 09:08
一早用火绒自定义规则测试并没有问题。

用火绒自定义规则,禁止dllhost.exe  /explorer.exe新建任何.E ...


Hello,

我怎么说话跟你这么费劲,你使用交互模式,然后把 阻止 改成 提示,然后去触发规则弹窗,你点允许后问题会不会出现,你点 阻止 后问题会不会出现。我跟你说的真的是老费劲的……

另外,弹窗的窗口有个执行序列,看看执行序列是什么样的。
回复

举报

下一页 »
1234下一页
返回列表 发新帖
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2025-2-7 14:56 , Processed in 0.146353 second(s), 22 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表