5.8的d+日志好象少了东西？

显示全部楼层 · 发表于 2011-11-27 19:49:53

受保护的com组件，原来拦截任务计划的那个失效了，经autoruns的拦截实验得出另一个com组件代表着任务计划，但是日志里的几个排查都不是！
也就是说，有什么com组件的访问拦截了，但未显示

各位用win7的，试试用schtasks命令创建任务计划，看能不能拦！！！

显示全部楼层 · 发表于 2011-11-27 20:02:29

2011-11-27 19:56:06 C:\Users\Taoism\Desktop\schtasks.bat Sandboxed As Limited
2011-11-27 19:56:07 C:\Windows\system32\schtasks.exe Sandboxed As Partially Limited

Auto-Sandbox无任何压力。

显示全部楼层 · 发表于 2011-11-27 20:06:33

本帖最后由 swordfeng 于 2011-11-27 20:07 编辑

哎？有别的日志吗？我的进了沙盘没反映的说
能把你的规则发来看看么

不过话说，不是应该用管理员的么

显示全部楼层 · 发表于 2011-11-27 20:13:39

本帖最后由 a256886572008 于 2011-11-27 20:13 编辑

好像是這條 FD 規則

Windows Management
\Device\NamedPipe\atsvc

显示全部楼层 · 发表于 2011-11-27 20:21:31

本帖最后由 swordfeng 于 2011-11-27 20:25 编辑

别说，我所有的namedpipe全部拦截了……
刚才又测了下，这次用计算机管理，找到疑似\RPC Control\lsapolicylookup

确定是这个，不过要同时入沙才可以……
以前5.5的Schedule.Service.*怎么不能用了呢……

显示全部楼层 · 发表于 2011-11-27 20:24:34

swordfeng 发表于 2011-11-27 20:06
哎？有别的日志吗？我的进了沙盘没反映的说
能把你的规则发来看看么

当然是右键管理员身份运行啊。

我是标标准准的默认规则哦。（CPS配置）

确实没有其他日志。不过用疯狂模式看，是拦截了访问受保护的COM组件：Svchost.exe

显示全部楼层 · 发表于 2011-11-27 21:54:31

myzuzong 发表于 2011-11-27 20:24
当然是右键管理员身份运行啊。

我是标标准准的默认规则哦。（CPS配置）

那个貌似无关紧要的……
现在可以拦rpc control下的某些东西，但是我发现拦了IE这些的话就用不了……

[讨论] 5.8的d+日志好象少了东西？

本帖子中包含更多资源