查看: 2459|回复: 6
收起左侧

[讨论] 在Win8中粗略比较了一下,VSE P3规则有一条的排除与P2不同

[复制链接]
墨池
发表于 2013-1-16 20:59:29 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2013-1-16 23:00 编辑

如题,如下:

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:
P2:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp, System
---------------------------------------------------------------------------------------------------------
P3:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
---------------------------------------------------------------------------------------------------------
P3除掉了System。

2013/1/16        20:43:58        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        System        \Registry\Machine\System\CurrentControlSet\Services\VSS\Diag\VolSnap        通用最大保护:禁止将程序注册为服务        已阻止的操作: 创建
------------------------------------------------------------------------------------------------------------
建议不排除。还是那句话,系统进程,官方没有排除的,尽量不要排除

同时:

2013/1/16    20:14:11    已由访问保护规则禁止     NT AUTHORITY\SYSTEM    C:\Windows\system32\svchost.exe    C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe    通用标准保护:防止终止 McAfee 进程    已阻止的操作: 终止
----------------------------------------------------------------------------------------------------------
Svhost.exe默认没有排除,没变。试过了,不排除没有任何影响。

这说明,P3的下架主要不是规则的原因,如果与规则相关,应该是内部语法。具体原因只有官方知道。

评分

参与人数 3经验 +5 人气 +2 收起 理由
jxfaiu + 1 感谢解答: )
心跳回忆 + 5 感谢解答: )
小仙仙 + 1

查看全部评分

rlx
发表于 2013-1-16 22:27:15 | 显示全部楼层
win7 木有更新 win8啥也没装 裸奔的快感
墨池
 楼主| 发表于 2013-1-16 22:38:24 | 显示全部楼层
rlx 发表于 2013-1-16 22:27
win7 木有更新 win8啥也没装 裸奔的快感

参见http://bbs.kafan.cn/thread-1449352-1-1.html
jone_jys
头像被屏蔽
发表于 2013-1-18 22:31:41 | 显示全部楼层
呵呵,你还真细心啊。。。

有关EXE后缀的系统进程排除后,加入一条全局规则:防止新建,修改EXE文件可以有效的弥补排除带来的漏洞
wei007
发表于 2013-1-18 23:22:51 | 显示全部楼层
谢谢分享......................
马云波波波
头像被屏蔽
发表于 2013-2-2 16:32:01 | 显示全部楼层
请问,win8系统用CLT工具测试能得多少分?比win7系统的190分有没有提高?
dodgson
发表于 2013-2-9 08:37:43 | 显示全部楼层
感谢分享,感谢分享
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 22:45 , Processed in 0.119756 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表