有关Patch4端口访问保护规则的问题

显示全部楼层 · 发表于 2010-10-10 15:44:38

本帖最后由 sandyyangjie 于 2010-11-27 19:06 编辑

这几天，有一些朋友在论坛上发帖询问，他们的HTTP通讯的规则失效了。安装Patch4以后，以前排除的内容都被封锁了，这种情况出现在长文件名的文件上。相关询问贴见：http://bbs.kafan.cn/thread-809516-1-1.html 和 http://bbs.kafan.cn/thread-805140-1-1.html。
起初我将信将疑，后来做了一个实验，证明在文件和文件夹保护规则中，并不存在这种情况。但我又不放心，而且端口规则一直都是十分难以驾驭的部分，所以我又针对端口规则做了实验。

这里省略具体实验步骤，只写结论。结论就是：McAfee VirusScan Enterprise 8.7i Patch 4的访问保护中，端口访问保护存在bug，不支持10个字符以上的长文件名，且不支持文件夹结构。这个bug不仅存在于自定义规则中，也存在于默认保护规则中的端口规则中。文件/文件夹规则以及注册表规则不受影响。

以下举例说明：
假设你想禁止一个名为“123456789012345.exe”的程序访问网络，其他所有程序放行，假设这个程序在D:\Network Restricted\Test\目录下，我们通常的规则可以是：

1. 纯文件名法，即完整地写出包含进程的文件名，如

2. 绝对路径法，即写出包括文件夹结构的所有信息，如

3. 文件路径法，即写出文件目录，用通配符*表示任意字符的文件名，如

不过，当用户安装Patch4以后，前两种规则的写法就会失效，这是因为：McAfee的过滤引擎在识别联网程序时，只能看到这个程序的前10个字符，而看不到后面的字符。这就意味着，在这个例子中，McAfee看到的程序名字是：

1234567890

然后，它就拿这个名字和规则进行比对。我们可以发现：第一条规则，1234567890不等于123456789012345.exe，所以放行程序，规则失效，该程序可以继续联网。第二条规则同理。第三条规则，1234567890包含在*所表示的范围中，规则生效，程序不能联网。

但是，第三条规则一旦生效，则所有程序都不能联网。这是这个bug的第二个特征，即不识别文件夹路径。在McAfee眼中，D:\Network Restricted\Test\*=D:\*=C:\*=*，它只关注文件名，不关注路径，因此第三条规则实际上包含的是所有程序。这样设置规则，后果可想而知。

这个规则对于使用端口规则的人来说影响是巨大的。这个bug不仅出现在”包含的进程“里，也出现在”排除的进程“里，也就是说不管是白名单还是黑名单，都会出问题。用通配符的同学甚至会出现不能上网的情况，或者所有的程序都可以联网。

关于成因，我找了一下Patch4的release notes，发现里面并没有提到这个bug，倒是有一个patch 4 的以解决问题引起了我的关注：

Issue: If a custom Access Protection rule specified restrictions against a specific process, the driver might block network access to other processes. (Reference: 579228)
Resolution: The driver was updated to enforce rule restrictions only against the specific processes named in the rule.

这个改进是针对McAfee端口保护规则的引擎的，我想可能是在改的过程中造成了新的问题。

那么现在怎么办呢？

三种做法：

1. 卸载Patch 4，等待集成版出现，看是否会解决这一问题
2. 暂时禁用所有端口规则，利用防火墙进行保护
3. 暂时改变规则的排除项。比如：
要包含liveupdate.exe这个程序，让它不联网，以前是写liveupdate.exe（14字符），现在应写“liveupdate”（10字符），或者写“liveup*”（7字符）。

暂时就写到这里。如果大家发现我的测试和结论有什么不对的地方，欢迎指出。

显示全部楼层 · 发表于 2010-10-10 20:12:22

正准备安装呢，看来还是等等吧。但是之前的补丁都已经安装了，如果集成帮修补了这个bug，应该怎么安装呢？

显示全部楼层 · 发表于 2010-10-10 20:51:55

本帖最后由依然微笑于 2010.10.10 20:53 编辑

[:26:]支持下高手，学习了。

怀疑是不是改进了，为了能放进更多的程序？

显示全部楼层 · 发表于 2010-10-10 20:54:40

回复 2楼 dahuaren 的帖子

文件规则是不影响的，只是端口规则不支持长文件名而已。

显示全部楼层 · 发表于 2010-10-10 21:51:01

学习了，这个问题只能期待牛人解决了

显示全部楼层 · 发表于 2010-10-10 22:00:05

回复 5楼 lovexixi 的帖子

等官方修复吧。

显示全部楼层 · 发表于 2010-10-17 08:56:11

果然，防火墙是值得存在的

显示全部楼层 · 发表于 2010-10-17 09:51:07

汗。。。。我一直没有加入端口规则。。。。阻止某一程序联网，咖啡HIP可以做到嘛。
还有，邪版加强规则里没有关闭危险端口的规则吧？需要自己添加不？

显示全部楼层 · 发表于 2010-10-17 16:24:30

P4问题好像挺多的！没搞明白，推出补丁应该是解决好以前的问题和漏洞，但是怎么咖啡的补丁是反其道行之，打上后反而出问题了！好在我没有打上这个补丁。

显示全部楼层 · 发表于 2010-10-17 17:17:17

这个在自动升级的端口设置中就出现了BUG

[讨论] 有关Patch4端口访问保护规则的问题

评分