楼主: jxfaiu
收起左侧

[讨论] 禁止任何程序读取、执行系统exe文件的规则

[复制链接]
cocabean
发表于 2013-1-4 20:16:26 | 显示全部楼层
jxfaiu 发表于 2013-1-4 20:06
C:\Windows\**.exe就是包含C:\Windows文件夹下的任意一层的exe文件,不信可以自己做个测试:就用一楼规 ...


哦,你的一楼已经修改过了啊,一开始不是C:\Windows\**.exe,而是C:\Windows\**\**\**.exe, C:\Windows\**\**\**.exe等同于C:\Windows\**.exe么?
jml521m
发表于 2013-1-4 20:22:48 | 显示全部楼层
linjuncpu 发表于 2013-1-4 20:16
哦,你的一楼已经修改过了啊,一开始不是C:\Windows\**.exe,而是C:\Windows\**\**\**.exe, C:\Window ...

不等同,但因系统的不同,要禁止的文件操作不同,得到的结果不同,其得到的结果也是不相同的,关于此类的问题排除,请访问有专业测试的的“叶版文献”,如果有遇到什么问题可开贴提问。。。愿为你排忧解难。。

      
jxfaiu
 楼主| 发表于 2013-1-4 21:04:21 | 显示全部楼层
linjuncpu 发表于 2013-1-4 20:16
哦,你的一楼已经修改过了啊,一开始不是C:\Windows\**.exe,而是C:\Windows\**\**\**.exe, C:\Window ...

C:\Windows\**\**\**.exe等同于C:\Windows\**.exe,是的我不是已说的很明白,不信自己测试。
cocabean
发表于 2013-1-4 21:19:56 | 显示全部楼层
本帖最后由 linjuncpu 于 2013-1-4 21:37 编辑
jxfaiu 发表于 2013-1-4 21:04
C:\Windows\**\**\**.exe等同于C:\Windows\**.exe,是的我不是已说的很明白,不信自己测试。


我已经试了,用C:\Windows\**\**\**.exe,包含进程:*,排除:无,禁止的五个全部选,
一会就有报告产生了:
将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        C:\Windows\Explorer.EXE        C:\Windows\explorer.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:01        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        C:\Windows\explorer.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:01        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\COMODO\COMODO Internet Security\cfp.exe        C:\Windows\explorer.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:06        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:06        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:06        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\COMODO\COMODO Internet Security\cfp.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:42        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:42        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        D:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:14:42        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\COMODO\COMODO Internet Security\cfp.exe        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取
2013/1/4        21:16:18        将由访问保护规则 (当前不强制执行规则) 禁止         ???-PC\???        D:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE        C:\Windows\System32\notepad.exe        用户定义的规则:C:\Windows\**\**\**.exe测试        已阻止的操作: 读取

jml521m
发表于 2013-1-4 21:25:34 | 显示全部楼层
linjuncpu 发表于 2013-1-4 21:19
我已经试了,用C:\Windows\**\**\**.exe,包含进程:*,排除:无,禁止的五个全部选,
一会就有报告产生 ...

有“读取”,“执行”失效。。。 看看是不是?
cocabean
发表于 2013-1-4 21:29:00 | 显示全部楼层
本帖最后由 linjuncpu 于 2013-1-4 21:43 编辑
jml521m 发表于 2013-1-4 21:25
有“读取”,“执行”失效。。。 看看是不是?


真心搞不懂,已经不是我等小白的事情了……
cocabean
发表于 2013-1-4 22:17:54 | 显示全部楼层
本帖最后由 linjuncpu 于 2013-1-4 22:19 编辑

我觉得应该是等同的
墨池
发表于 2013-1-4 23:00:46 | 显示全部楼层
本帖最后由 墨池 于 2013-1-5 13:00 编辑

    咖啡规则早期都用C:\Windows\**\*.exe表示Windows文件夹内的所有exe文件,后来叶知版主发现C:\Windows\**.exe同样可以表示Windows文件夹内的所有exe文件,从此就固定下来了。
    要分层表示,理论上可以这样:C:\Windows\*.exe表示Windows文件夹内的exe文件,如C:\Windows\explorer.exe;C:\Windows\*\*.exe表示Windows文件夹内下一级目录下的exe文件,如C:\Windows\System32\regedt32.exe;C:\Windows\*\*\*.exe表示Windows文件夹内下二级目录下的exe文件,如C:\Windows\System32\com\MigRegDB.exe。以此类推。但是,实际上咖啡语法不支持多级目录。
    至于C:\Windows\**\**\**\*.exe一类,与C:\Windows\**\*.exe和C:\Windows\**.exe涵义一样。

评分

参与人数 1人气 +1 收起 理由
shiyuelaohu + 1 感谢解答: )

查看全部评分

马云波波波
头像被屏蔽
发表于 2013-1-5 01:14:13 | 显示全部楼层
本帖最后由 马云波波波 于 2013-1-5 01:16 编辑
shiyuelaohu 发表于 2013-1-4 20:01
在win7上禁读,也就禁止了其他所有操作了,叶知版主说过,读取好像是写入、执行、删除的先手行为。


的确是这样的。很多程序运行之前要先被explorer.exe读取,这个通过看墨大卧龙规则的拦截日志文件即可看出来。
jxfaiu
 楼主| 发表于 2013-1-5 09:08:46 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-1-5 09:09 编辑
linjuncpu 发表于 2013-1-4 22:17
我觉得应该是等同的


坚持自己的实践,不要被某些自以为是高手的误导。C:\Windows\**.exe就是包含C:\Windows文件夹下的任意一层的exe文件
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 21:13 , Processed in 0.090026 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表