v6 的CLT跑分在win7 x64里为什么只有230？(原因已经搞清楚，是v6机制的改变，无奈）

darkwolf_99

更新：
原因已经搞清楚，绝非规则问题；

原来是在v6里，clt的第一个弹窗是修改本目录里的html文件（正常行为，非测试项），如果选允许，后面的大多数测试项就全被过，除了几个创建进程和联网项，都没弹窗，只有230分；但那个弹窗里选阻止，所有测试就都能自动通过，满分，但无弹窗（底层磁盘操作测试能通过，有卡饭win8x64里这个没通过，原因不明）。

如果毛豆以后是准备一直以这个思路来搞，不用它的沙盘都不行，一旦陌生程序有其中一个行为是正常的，弹窗点了允许，后面如果有高危行为，大部分都会被自动放过（操作底层磁盘都会被放过，杯具）


▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲▲


vm win7sp1 x64

V6 beta，没装AV，其它虚拟桌面什么的都没装

hips规则里没有clt，hips为疯狂模式，关闭BB，甚至在信任厂商里把comodo的几个都删了（应该不删也没关系）

设置和日志如下

什么原因？哪里不对？


还有，为什么在疯狂模式下，测试一些样本，很多拦截也没弹窗，只有日志？因为云？（BB和沙盘都已经关闭）

175137038

无尽的beta版本会告诉你答案：bug！

mxf147

1、关掉Hips里为安全程序创建规则
2、文件、注册表、COM监控点填加*，弹窗选阻止

darkwolf_99

mxf147 发表于 2012-11-3 18:51
1、关掉Hips里为安全程序创建规则
2、文件、注册表、COM监控点填加*，弹窗选阻止

感谢回复

但是，1.在疯狂模式下，这个没有影响的；2.这些也拦不了那个“底层磁盘操作”

darkwolf_99

175137038 发表于 2012-11-3 18:14
无尽的beta版本会告诉你答案：bug！

这个——我信了

mxf147

darkwolf_99 发表于 2012-11-3 19:10
感谢回复

但是，1.在疯狂模式下，这个没有影响的；2.这些也拦不了那个“底层磁盘操作”

底层磁盘操作这一项在V6里有变化，如果直接选阻止了，会访问不了磁盘根目录

darkwolf_99

mxf147 发表于 2012-11-3 19:37
底层磁盘操作这一项在V6里有变化，如果直接选阻止了，会访问不了磁盘根目录

这只是其中一项，很多高危的都没拦，其中那个安装钩子的一项也没拦，和文件、注册表、com接口都“*”没有关系吧

mxf147

darkwolf_99 发表于 2012-11-3 19:43
这只是其中一项，很多高危的都没拦，其中那个安装钩子的一项也没拦，和文件、注册表、com接口都“*”没有 ...

默认规则的监控点差的多
钩子那一项开疯狂模式会弹窗，选拒绝

darkwolf_99

mxf147 发表于 2012-11-3 19:45
默认规则的监控点差的多
钩子那一项开疯狂模式会弹窗，选拒绝

主题贴里的设置里已经是疯狂模式了，不是疯狂模式，也不会有那些日志了

V4,V5里的默认规则+疯狂模式，完全秒杀这个测试

我比较相信是bug

mxf147

Win8 X64，关BB，安全模式