纠正。。。微点的可信模式和白名单程序。。

wqcaokeyinwq

前几天和饭友门讨论了。。微点的监控模式之一的可信模式监控。。。。。里面有部分事实依据。。有的是个人猜测。。



基于对微点喜好。。。基于对官方上报和客服答复后。。。现做如下纠正。。。


1。。。可信程序是由用户自己认可的一切可信任的程序文件，可信程序由用户自己添加。对于添加到“可信程序”列表中的程序文件，微点主动防御软件对其以可信模式监控。


2。。。微点能识别的正常白名单程序无法加入到可信程序列表。。。。。。。。。。。。。


3。。。可信模式监控两类程序文件。。。即为：可信列表的可信程序和白名单程序。（其中白名单无法加入可信列表。。。）。。。

4。。。可信模式和普通模式和增强模式的行为规则判断不同。。。。。。其中增强模式下的规则最为严厉。。。但误报会有所增加。。。。。。可信模式下的规则最弱。。。。。。。。。。

5。。。白名单程序受到可信模式下的行为规则约束。。。。。。。。。。。。。

6。。。微点的系统分析会循环记录系统运行的日志。注册表等。。。。并在一定时间内进行自动更新日志。。。


7。。。更新的日志内容包括。。给主防拦截的未知病毒命名。。。更新程序判断识别。。。防火墙记录等。。。

所以。有时候拒绝一个程序的外联行为，同时选择记住后。。即便从微点的设置里程序联网策略里删除这条规则。。再次双击。。防火墙默认会拒绝。。。但此时却没有任何报警弹框。。。除非是删除当前的日志记录并重启计算机。才会对该程序再次报警。。。。


很多次。。想要探寻规则的秘密。。。都被技术细节不方便透露拒绝了。。。

/tiao眼镜鱼

搞明白就行了，

不过规则微点说了算，说不定下次更新又修改了呢……

wqcaokeyinwq

/tiao眼镜鱼 发表于 2013-7-24 11:30
搞明白就行了，

不过规则微点说了算，说不定下次更新又修改了呢……

嗯。。内侧版的规则有变化。。。。

最希望。。加强白加黑的规则。。

/tiao眼镜鱼

wqcaokeyinwq 发表于 2013-7-24 11:34
嗯。。内侧版的规则有变化。。。。

最希望。。加强白加黑的规则。。

针对白+黑其实也不难，不过微点的本质就要有点改变了

微点是智能型的，但是智能性的一般针对白+黑都无力，毛豆也算……

如果想拦截的话，相信加入部分手动功能，白名单调用黑的DLL文件，弹个窗就行了，我感觉这个问题就能解决了……

519874810

wqcaokeyinwq 发表于 2013-7-24 11:34
嗯。。内侧版的规则有变化。。。。

最希望。。加强白加黑的规则。。

什么内测版？   3.0？   2.1？

真小读者

搞明白也用处不大

小洪

你去做官人吧

张年

所以。有时候拒绝一个程序的外联行为，同时选择记住后。。即便从微点的设置里程序联网策略里删除这条规则。。再次双击。。防火墙默认会拒绝。。。但此时却没有任何报警弹框。。。除非是删除当前的日志记录并重启计算机。才会对该程序再次报警

不对吧！从程序联网策略里删除联网程序后，微点还是会弹出报警弹框的！不删除当前的日志！

wqcaokeyinwq

张年 发表于 2013-7-24 21:28
所以。有时候拒绝一个程序的外联行为，同时选择记住后。。即便从微点的设置里程序联网策略里删除这条规则。 ...

。。。。删除联网规则后。。。。不重启系统。。不删除日志。。。。微点默认还是以前的操作。。。

即。。之前若是允许。。。。删除后。。不弹框默认允许。。。若是拒绝。。。删除后。。。不弹框默认拒绝。。


请验证今天的15号样本。。。。。。。

张年

wqcaokeyinwq 发表于 2013-7-24 21:33
。。。。删除联网规则后。。。。不重启系统。。不删除日志。。。。微点默认还是以前的操作。。。

即。 ...

。。。。删除联网规则后。。。。不重启系统。。不删除日志。。。。微点默认还是以前的操作。。。这个是微点没有设置白名单！xxx.exe只要在  进程综合信息（其他软件里）联网的话微点都会拒绝的！

15号样本就不试了！我只要在程序访问策略中删除一个程序在试下就行了！你难道勾选智能防火墙了吗？