查看: 7778|回复: 10
收起左侧

[讨论] 关于禁止在磁盘根目录下创建文件的规则

[复制链接]
shiyuelaohu
发表于 2013-6-12 20:59:14 | 显示全部楼层 |阅读模式
我记得在win7下,禁止在磁盘根目录创建文件的规则,不能禁止在根目录下创建文件夹,只能禁止创建文件。但是此规则在win8下却能禁止创建文件夹。难道是我记错了?
规则名称:禁止在C盘根目录下创建文件
要包含的进程:*.*
要排除的进程:
要阻止的文件或文件夹名:C:\*
贴上win8下的一条日志:
2013/6/12        15:45:02        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\windows\System32\svchost.exe        C:\PROGRAMDATA        用户定义的规则:3 protection of C disk root        已阻止的操作: 创建
jone_jys
头像被屏蔽
发表于 2013-6-12 21:22:46 | 显示全部楼层
阻止根目录创建换成  ?:\*  试试。。

win7下是没法阻止创建文件夹的,只有8.0的时候可以。。。
jason_jiang
发表于 2013-6-12 22:23:31 | 显示全部楼层
微软有些补丁(最常见的是.net framework的补丁)安装时会在可用空间最多的分区根目录下创建一个文件夹用来放临时文件,禁止根目录创建文件夹恐怕会有问题
shiyuelaohu
 楼主| 发表于 2013-6-12 22:35:46 | 显示全部楼层
jone_jys 发表于 2013-6-12 21:22
阻止根目录创建换成  ?:\*  试试。。

win7下是没法阻止创建文件夹的,只有8.0的时候可以。。。

看来我没记错,xp下大概也是不能禁止的。
shiyuelaohu
 楼主| 发表于 2013-6-12 22:37:20 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2013-6-12 22:43 编辑
jason_jiang 发表于 2013-6-12 22:23
微软有些补丁(最常见的是.net framework的补丁)安装时会在可用空间最多的分区根目录下创建一个文件夹用来 ...


根据日志来看,svchost.exe并没有创建任何文件,或许先创建了一个文件夹,然后再在里面创建一些临时文件把。主要是怕一些流氓软件和一些木马在C盘根目录动手脚,看来win8下不能使用这条规则了。
jone_jys
头像被屏蔽
发表于 2013-6-12 23:06:42 | 显示全部楼层
shiyuelaohu 发表于 2013-6-12 22:35
看来我没记错,xp下大概也是不能禁止的。

嗯,是滴。 8.5 的时候就不能禁止创建文件夹了,那会儿只有XP呢。。。
shiyuelaohu
 楼主| 发表于 2013-6-12 23:17:22 | 显示全部楼层
jone_jys 发表于 2013-6-12 23:06
嗯,是滴。 8.5 的时候就不能禁止创建文件夹了,那会儿只有XP呢。。。

我开始用的时候已经是8.8p1了,也不知道咖啡居然还有这段历史。p3或许对此改进了。
jxfaiu
发表于 2013-6-13 07:35:40 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-6-13 10:32 编辑

规则名称:入侵控制-根目录文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:\*
要禁止的文件操作:写入 执行 创建 删除
阻挡


任意盘符规则有效:
2013-6-13        7:34:26        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        C:\0.LOG        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 创建
2013-6-13        7:34:34        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        D:\0.LOG        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 创建
2013-6-13        7:34:40        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        E:\0.LOG        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 创建
2013-6-13        7:34:46        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        F:\0.LOG        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 创建


windows XP系统下规则可禁止创建任意文件;创建文件夹无效,删除文件夹有效

2013-6-13        10:27:21        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        C:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
2013-6-13        10:27:54        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        D:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
2013-6-13        10:27:59        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        D:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
2013-6-13        10:28:11        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        E:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
2013-6-13        10:28:16        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        E:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
2013-6-13        10:28:39        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        F:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
2013-6-13        10:28:44        已由访问保护规则禁止         SUZHOU-F34744A4\Administrator        C:\WINDOWS\Explorer.EXE        F:\新建文件夹        用户定义的规则:F-07The Virus-Access Control Of Executable Files入侵控制-根目录文件        已阻止的操作: 删除
大猫熊
发表于 2013-6-13 08:25:18 | 显示全部楼层
这个发现很有意思  建议手动验证  开启规则后资源管理器中新建文件夹  或者通过批处理新建文件夹  试试
shiyuelaohu
 楼主| 发表于 2013-6-13 16:39:29 | 显示全部楼层
jxfaiu 发表于 2013-6-13 07:35
规则名称:入侵控制-根目录文件
要包含的进程:*
要排除的进程:无

乃第一个是win7系统下的日志?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 22:09 , Processed in 0.142492 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表