查看: 5045|回复: 18
收起左侧

[讨论] 有关Patch4端口访问保护规则的问题

[复制链接]
大猫熊
发表于 2010-10-10 15:44:38 | 显示全部楼层 |阅读模式
本帖最后由 sandyyangjie 于 2010-11-27 19:06 编辑

这几天,有一些朋友在论坛上发帖询问,他们的HTTP通讯的规则失效了。安装Patch4以后,以前排除的内容都被封锁了,这种情况出现在长文件名的文件上。相关询问贴见:http://bbs.kafan.cn/thread-809516-1-1.htmlhttp://bbs.kafan.cn/thread-805140-1-1.html
起初我将信将疑,后来做了一个实验,证明在文件和文件夹保护规则中,并不存在这种情况。但我又不放心,而且端口规则一直都是十分难以驾驭的部分,所以我又针对端口规则做了实验。

这里省略具体实验步骤,只写结论。结论就是:McAfee VirusScan Enterprise 8.7i Patch 4的访问保护中,端口访问保护存在bug,不支持10个字符以上的长文件名且不支持文件夹结构。这个bug不仅存在于自定义规则中,也存在于默认保护规则中的端口规则中。文件/文件夹规则以及注册表规则不受影响

以下举例说明:
假设你想禁止一个名为“123456789012345.exe”的程序访问网络,其他所有程序放行,假设这个程序在D:\Network Restricted\Test\目录下,我们通常的规则可以是:

1. 纯文件名法,即完整地写出包含进程的文件名,如



2. 绝对路径法,即写出包括文件夹结构的所有信息,如



3. 文件路径法,即写出文件目录,用通配符*表示任意字符的文件名,如



不过,当用户安装Patch4以后,前两种规则的写法就会失效,这是因为:McAfee的过滤引擎在识别联网程序时,只能看到这个程序的前10个字符,而看不到后面的字符。这就意味着,在这个例子中,McAfee看到的程序名字是:

1234567890

然后,它就拿这个名字和规则进行比对。我们可以发现:第一条规则,1234567890不等于123456789012345.exe,所以放行程序,规则失效,该程序可以继续联网。第二条规则同理。第三条规则,1234567890包含在*所表示的范围中,规则生效,程序不能联网。

但是,第三条规则一旦生效,则所有程序都不能联网。这是这个bug的第二个特征,即不识别文件夹路径。在McAfee眼中,D:\Network Restricted\Test\*=D:\*=C:\*=*,它只关注文件名,不关注路径,因此第三条规则实际上包含的是所有程序。这样设置规则,后果可想而知。

这个规则对于使用端口规则的人来说影响是巨大的。这个bug不仅出现在”包含的进程“里,也出现在”排除的进程“里,也就是说不管是白名单还是黑名单,都会出问题。用通配符的同学甚至会出现不能上网的情况,或者所有的程序都可以联网。

关于成因,我找了一下Patch4的release notes,发现里面并没有提到这个bug,倒是有一个patch 4 的以解决问题引起了我的关注:

Issue: If a custom Access Protection rule specified restrictions against a specific process, the driver might block network access to other processes. (Reference: 579228)
Resolution: The driver was updated to enforce rule restrictions only against the specific processes named in the rule.

这个改进是针对McAfee端口保护规则的引擎的,我想可能是在改的过程中造成了新的问题。

那么现在怎么办呢?

三种做法:

1. 卸载Patch 4,等待集成版出现,看是否会解决这一问题
2. 暂时禁用所有端口规则,利用防火墙进行保护
3. 暂时改变规则的排除项。比如:
要包含liveupdate.exe这个程序,让它不联网,以前是写liveupdate.exe(14字符),现在应写“liveupdate”(10字符),或者写“liveup*”(7字符)。

暂时就写到这里。如果大家发现我的测试和结论有什么不对的地方,欢迎指出。

评分

参与人数 2人气 +2 收起 理由
hansyu + 1 版区有你更精彩: )
猫大叔 + 1 这个必须支持,学习了。

查看全部评分

dahuaren
发表于 2010-10-10 20:12:22 | 显示全部楼层
正准备安装呢,看来还是等等吧。但是之前的补丁都已经安装了,如果集成帮修补了这个bug,应该怎么安装呢?
猫大叔
发表于 2010-10-10 20:51:55 | 显示全部楼层
本帖最后由 依然微笑 于 2010.10.10 20:53 编辑

[:26:]支持下高手,学习了。

怀疑是不是改进了,为了能放进更多的程序?
猫大叔
发表于 2010-10-10 20:54:40 | 显示全部楼层
回复 2楼 dahuaren 的帖子

文件规则是不影响的,只是端口规则不支持长文件名而已。
lovexixi
发表于 2010-10-10 21:51:01 | 显示全部楼层
学习了,这个问题只能期待牛人解决了
猫大叔
发表于 2010-10-10 22:00:05 | 显示全部楼层
回复 5楼 lovexixi 的帖子

等官方修复吧。
tetris
头像被屏蔽
发表于 2010-10-17 08:56:11 | 显示全部楼层
果然,防火墙是值得存在的
wsx520zdz
发表于 2010-10-17 09:51:07 | 显示全部楼层
汗。。。。我一直没有加入端口规则。。。。阻止某一程序联网,咖啡HIP可以做到嘛。
还有,邪版加强规则里没有关闭危险端口的规则吧?需要自己添加不?
zhriki
发表于 2010-10-17 16:24:30 | 显示全部楼层
P4问题好像挺多的!没搞明白,推出补丁应该是解决好以前的问题和漏洞,但是怎么咖啡的补丁是反其道行之,打上后反而出问题了!好在我没有打上这个补丁。
qjoyous
头像被屏蔽
发表于 2010-10-17 17:17:17 | 显示全部楼层
这个在自动升级的端口设置中就出现了BUG
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:30 , Processed in 0.136319 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表