查看: 3818|回复: 17
收起左侧

[求助] 这么写规则会无效吗?

[复制链接]
依班娜
发表于 2015-6-23 16:11:28 | 显示全部楼层 |阅读模式
本帖最后由 依班娜 于 2015-6-23 16:44 编辑

包含进程:explorer.exe
排除进程:
文件对象:d:\1.txt
阻止操作:读取

这样一来文件还是能够被打开?
使用P5的时候是这样

现在发生了这么个状况
2015-6-23        16:40:00        已由访问保护规则禁止         xxxxxx\xxxxx        C:\WINDOWS\EXPLORER.EXE        D:\1.txt        用户定义的规则:基础1        已阻止的操作: 读取

可是explorer.exe对1.txt的操作丝毫不受影响
依班娜
 楼主| 发表于 2015-6-23 16:25:21 | 显示全部楼层
柯林
发表于 2015-6-23 16:57:53 | 显示全部楼层
规则是起效的,只是有漏。
打开txt的是记事本程序,系统文件关联里已经设定txt文件由记事本打开,explorer在读取txt被阻止的时候,可能已经报告系统这是一个txt文件,系统调用记事本去打开了。
防御网马的原理可能跟这个是一样的,我们以为IE在搞事,实际上可能是系统直接指挥调度的结果。
依班娜
 楼主| 发表于 2015-6-23 17:36:33 | 显示全部楼层
柯林 发表于 2015-6-23 16:57
规则是起效的,只是有漏。
打开txt的是记事本程序,系统文件关联里已经设定txt文件由记事本打开,explorer ...

这个我是知道的,我测试了**\notepad.exe,是可行的,但是根据防读本身来说应该要阻止对txt文件的访问
不知道p4的效果如何,如果p4可防,那么就是p5的问题
依班娜
 楼主| 发表于 2015-6-23 17:38:10 | 显示全部楼层
本帖最后由 依班娜 于 2015-6-23 18:05 编辑
柯林 发表于 2015-6-23 16:57
规则是起效的,只是有漏。
打开txt的是记事本程序,系统文件关联里已经设定txt文件由记事本打开,explorer ...


还有,如果说操作txt的是notepad,为何有explorer的日志
那么到底是谁操作的,我凌乱了……
-----------------------------------------------------
测试后发现
的确是以宿主进程为主,还是要以notepad.exe为包含进程才行,而explorer访问文件应该也是存在的,但是没有防御效力,没能真正和日志一致,就像你说的一样
柯林
发表于 2015-6-23 18:14:51 | 显示全部楼层
依班娜 发表于 2015-6-23 17:38
还有,如果说操作txt的是notepad,为何有explorer的日志
那么到底是谁操作的,我凌乱了……
-------- ...

有时候会忘了这个,特别是做严厉规则的时候,比如禁止任何程序访问D盘文件,对于D盘上的程序排除不净就是问题

P5要么是很多东西改了,要么就是BUG,以往的严厉规则“禁止任何程序读取、创建、写入、删除、执行任何文件”,放到P5上,就是死机没商量
依班娜
 楼主| 发表于 2015-6-23 18:45:41 | 显示全部楼层
柯林 发表于 2015-6-23 18:14
有时候会忘了这个,特别是做严厉规则的时候,比如禁止任何程序访问D盘文件,对于D盘上的程序排除不净就是 ...

语法重测还有没有必要?
暑假时间长,有必要的话可以搞一搞
柯林
发表于 2015-6-23 20:00:13 | 显示全部楼层
依班娜 发表于 2015-6-23 18:45
语法重测还有没有必要?
暑假时间长,有必要的话可以搞一搞

很有必要,有时间的搞下吧,看看新版究竟怎么说。据说P6到8月份又要推出了,如果都是这样,这问题不解决没法玩了。究竟是Bug,还是写法不对,这个在P5面前是个大问题。
依班娜
 楼主| 发表于 2015-6-23 20:11:53 | 显示全部楼层
柯林 发表于 2015-6-23 20:00
很有必要,有时间的搞下吧,看看新版究竟怎么说。据说P6到8月份又要推出了,如果都是这样,这问题不解决 ...

刚刚又想到这个
如果阻止了某个程序直接读取A.txt
但是没有阻止notepad.exe读取A.TXT
那么这个程序应该可以通过notepad来读取txt(进程间的操作和内存的读取?)
柯林
发表于 2015-6-23 21:57:51 | 显示全部楼层
依班娜 发表于 2015-6-23 20:11
刚刚又想到这个
如果阻止了某个程序直接读取A.txt
但是没有阻止notepad.exe读取A.TXT

应该是有这可能
一般病毒流氓啥的好像是直接读取
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 21:57 , Processed in 0.127526 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表