本帖最后由 jone_jys 于 2012-1-17 20:00 编辑
最近在研究默认规则排除的一系列进程,想了解一下程序员是如何去考量这些进程的。
RT,这条默认规则很让我纠结,非常纠结。。。
为何纠结? explorer.exe,此进程,个人认为是极度危险分子。几乎所有动作都离不开她,正因如此,能不排除是最好不过了。
explorer.exe,触犯规则:‘禁止将程序注册为服务’非常之“诡异”,暂时还不确定是否为规则的BUG,还是其它原因?(windows 7旗舰版 SP1)
先看看这条默认规则到底有哪些排除列表,默认规则如下:
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
仔细看看,默认是没有排除explorer.exe进程的。大部分DIY规则的同志都用通配符排除了此进程。。。
其实,默认之所以没有排除一定有其道理的。在我这里的环境,此进程触犯这条规则的频率并不多,可以说只有一处地方会使其触犯
2012/1/17 18:54:56 已由访问保护规则禁止 lisa-PC\lisa C:\Windows\Explorer.EXE \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Shas 通用最大保护:禁止将程序注册为服务 已阻止的操作: 创建
2012/1/17 18:54:58 已由访问保护规则禁止 lisa-PC\lisa C:\Windows\Explorer.EXE \REGISTRY\MACHINE\System\CurrentControlSet\Services\NapAgent\Qecs 通用最大保护:禁止将程序注册为服务 已阻止的操作: 创建
上面是我实验时所出现的日志。而实际上,日志里的服务路径根本没有新建或删除(本身就有)。
实验步骤:系统进入桌面后,连接上网络;用鼠标点击右下角的网络图标进入‘打开网络和共享中心’。。。
或者打开资源管理器,点击左边的‘网络’。。。
或者有设置密码的系统在开机登录密码处稍作停留(大约过10秒左右),再输入密码进系统。。。
如果将此默认规则只勾选报告,不阻止,则不会触犯规则。但是全勾的话就一定触犯。。。
为何只报告却不会出现日志? 度娘也没能解决。。。
有兴趣的可以验证是否属实,还是针对我的系统环境才有此诡异。。。。。
如有不明白的请跟帖。。。 |
发表于 2012-1-17 19:32:25
楼主
