规则好像失效

462588842

今天偶然测试了“禁止更改所有文件扩展名的注册”这条则
要包含的进程*
要排除为，空。
我把.mp3打开方式改成Q影音(原mp3默认播放为千千)！怪事发生了规则触红，但打开方式被改为QQ影音。反过来，又改成千千了，规则依旧触红。
请问你们的呢？

oldgun123

触红是报告   你有没有选阻止那?

文件扩展名，有2个同时有效的注册表位置：

HKEY_CLASSES_ROOT\**
与
HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\**

其中任意一个，修改均有效（似乎是这样）

---

而咖啡规则：禁止更改所有文件扩展名的注册——仅仅保护了“HKEY_CLASSES_ROOT/**”，即：如果同时修改了另一处，那么仍然“被修改了”！

jone_jys

storyhare 发表于 2012-5-18 15:59
文件扩展名，有2个同时有效的注册表位置：

HKEY_CLASSES_ROOT\**

此默认规则是比较鸡肋的，从8.0i开始就一直是这样。不知官方是怎么考虑的。。。

jone_jys 发表于 2012-5-18 16:18
此默认规则是比较鸡肋的，从8.0i开始就一直是这样。不知官方是怎么考虑的。。。

恩，不仅仅是该规则.......其他默认规则，几乎从8.5开始，便几乎没有了任何变化，没有优化也没有增强～～

462588842

storyhare 发表于 2012-5-18 15:59
文件扩展名，有2个同时有效的注册表位置：

HKEY_CLASSES_ROOT\**

唉………这么说注册表规防御力真是“惊人”
你口中的另一处，我真不知道。是否可以理解为Mcafee不注重注册表防御？

462588842 发表于 2012-5-18 16:39
唉………这么说注册表规防御力真是“惊人”
你口中的另一处，我真不知道。是否可以理解为Mcafee不注重注 ...

可以这样理解：

1、默认规则的注册表规则，注重【定点防护】，并不是较为全面的保护（几乎每个注册表规则，都并没有给出规则名称上的“完整防护”）

2、以病毒攻防策略上讲：仅保护“HKEY_CLASSES_ROOT\**”便足以！（事实证明，病毒一般仅会破坏“HKEY_CLASSES_ROOT\**”，而非另一处位置）

3、呃........咖啡的确不注重规则（不仅仅是注册表规则）

462588842

storyhare 发表于 2012-5-18 16:46
可以这样理解：

1、默认规则的注册表规则，注重【定点防护】，并不是较为全面的保护（几乎每个注册表规 ...

也对，病毒没事去改什么扩展名。呵呵、谢谢指点

jone_jys

462588842 发表于 2012-5-18 16:39
唉………这么说注册表规防御力真是“惊人”
你口中的另一处，我真不知道。是否可以理解为Mcafee不注重注 ...

其实，从8.5开始才可以自定义添加注册表规则。之前只能自定义文件规则和端口规则的。。。

咖啡也不是完全不注重规则防御，只是想取得一个实用与防御的平衡。但凡大的跨国公司都是这样，每一步新的探索都会非常之谨慎。规则更新之缓慢，尤其突出。。。

从8.5到8.7也还是有少许默认规则的变化，比如增加虚拟机的规则，最新版本增加的自保。这些都可以看出还是有留意到规则的重要性。只是，更新太慢太慢了。。。。

墨池

官方要是能开放“要保护的注册表项或注册表值”、“要阻止的文件或文件夹名”、“要阻止的端口”的多项支持就好了。