毛豆 想不通的一件事情

岁月遐想

你的为什么不可以？我的就可以啊？看图

巴山冷箭

你说的那两条规则在全局规则的上面是平级的，可以任意调换位置，只要在全局的上面
根本没任何影响。D+规则的优先级是说允许>询问>阻止！防火墙规则是越上越优先。
要明确的阻止ping命令，丢到我的拦截文件里

CMD是底层命令，如果能运行，就很难限制它的调用。直接放在拦截文件里才行。 comodo只是在WINDOWS内核的半路上拦截，这也是牛人们说的如果加驱了，毛豆即有可能随时倒下的原因。

我的理解可能有错误，楼下的大侠来纠正解答哈。。。

Tooya

感謝各位
剛剛我又試了於CMD和Windows規則都在排除裡加入禁止創建PING.EXE程序，發現了PING指令依然成功，在所有程序這條規則中，本來就加入了禁止創建Windows資料夾裡的程序，這應該初步可以排除了優先級的影響，但是如果是因為信任廠商或信任程序而令CMD能調用ping.exe的話，NVIDIA的程序是不會報被禁止的，因為我保留了NVIDIA的信任廠商，但在我印象中，日誌是出現過阻止NVIDIA的某些操作的，莫非能阻止的大大們都是因為使用瘋狂模式？但瘋狂模式不是分別只在於屏蔽了信任廠商嗎？還是其他的原因？思路很迷惘了，我做錯了什麼呢？想跟各位大大們繼續學習一下，謝謝。

accordion

Tooya 发表于 2012-5-5 01:48
感謝各位
剛剛我又試了於CMD和Windows規則都在排除裡加入禁止創建PING.EXE程序，發現了PING指令依然成功， ...

疯狂模式下试下，安全模式可能信任了签名

accordion

Shinyjp 发表于 2012-5-4 14:14
cmd不加载user32.dll模块所以AD部分不受毛豆控制

可以参考这个http://bbs.kafan.cn/thread-1258741-1-1. ...[/quote]

其实还是受控制的~

guard32.dll以前有人说过，那个东西的作用其实很少，好像是只是监控窗口什么的，真正的拦截时在驱动级cmdguard.sys里面

accordion

巴山冷箭 发表于 2012-5-5 00:15
你说的那两条规则在全局规则的上面是平级的，可以任意调换位置，只要在全局的上面
根本没任何影响。D+规 ...

那两条规则不是平级的，按照楼主的说话是CMD大于c:\WINDOWS，从上到下

优先级是允许大于阻止大于询问，询问是传递的

cmd不是底层，它也不能直接写底层

关键是它调用的程序有些要写到很重要的东西（注册表键值sevices,control sam等

accordion 发表于 2012-5-5 13:49
Shinyjp 发表于 2012-5-4 14:14
cmd不加载user32.dll模块所以AD部分不受毛豆控制

但是你不能通过接口访问秒杀cmd，只能通过阻止它被别的程序调用

accordion

Shinyjp 发表于 2012-5-5 19:38
但是你不能通过接口访问秒杀cmd，只能通过阻止它被别的程序调用

接口访问？aipport?

Tooya

經過了一輪的測試，得到答案了，問題是新版毛豆太智能了，普通的程序不論已經加入了信任廠商或信任程序，或是兩個都已經加入，只要使用者制訂了規則，也能夠對那些普通程序加以限制，但是原來新版毛豆預設如果是某些系統的重要程序，只要加入了信任廠商或信任程序的其中一個，即使你已經制訂了規則，而且瘋狂模式運行著，它的某些自身操作也不會受自訂規則所限制，所以對於某些系統的重要程序，如果想用規則限制它，必需刪除相關的信任廠商及信任程序，看來這個方法還可以運用在安全模式上。

另外還發現了某個普通程序在安全模式下不會阻止訪問svchost的com接口，但只要調到瘋狂模式就會彈出阻止svchost的com接口訪問，應該是5.9或5.10中新的情況，因為我還記得5.8的時候有該程序阻止訪問svchost的com接口的日誌，大前題是我的規則裡，全局的規則中已禁止所有程序訪問svchost的com接口，亦沒有該程序的信任廠商，看來毛豆的智能還有不同的層次，我只能希望毛豆不會變成360衛士了。