关于访问保护里的“正在执行的文件”的定义

显示全部楼层 · 发表于 2012-5-27 11:19:36

一直有个疑惑，Mcafee访问保护规则中的“正在执行的文件”具体是指哪些后缀名的文件呀？是系统环境变量PATHEXT中定义的文件类型吗？众所周知exe，com，bat，cmd之类的肯定在这个范围里，但vbs，js这类的脚本文件呢？dll文件呢？还有一些少见的比如pif，scr之类的文件呢？这些文件都会被阻止执行吗？

显示全部楼层 · 发表于 2012-5-27 12:08:24

根据叶知大牛的可执行控制规则 http://bbs.kafan.cn/thread-1241733-1-1.html
*.cmd, *.com, *.dll, *.drv, *.exe, *.ocx, *.sys, *.vxd, *.386用“执行”来限制，*.bat, *.js, *.vbs用“读取”来限制。
根据我在自己xp系统上的实验，com exe dll cmd bat pif scr cpl均可被禁止执行的规则阻拦，至于其他文件是否真的可以用禁止“执行”来拦截呢？

显示全部楼层 · 发表于 2012-5-27 12:24:44

maimaitou 发表于 2012-5-27 12:08
根据叶知大牛的可执行控制规则 http://bbs.kafan.cn/thread-1241733-1-1.html
*.cmd, *.com, *.dll, *.drv ...

读要勾上，更直接

显示全部楼层 · 发表于 2012-5-27 15:55:40

462588842 发表于 2012-5-27 12:24
读要勾上，更直接

要是全都禁读的话岂不是复制粘贴之类的正常的文件管理操作都无法执行了？

显示全部楼层 · 发表于 2012-5-27 16:26:28

【正在执行的文件】，应该没有所谓的文件后缀名区分！ “执行”，是程序的一个文件操作，任何文件都有可能被“执行”（即使，无后缀文件，也可以！！）

而一般意义的规则中，可以使用“执行”控制的文件：指使用“执行”，便可以控制该文件，不被加载至内存中！

而部分文件则需要使用“读取”，才能够达到以上目的！

---

至于具体有哪些文件分别需要“执行”、“读取”，在该贴也有提及（但并不全面）：可执行控制规则 http://bbs.kafan.cn/thread-1241733-1-1.html

[讨论] 关于访问保护里的“正在执行的文件”的定义