这么写规则会无效吗？

依班娜

包含进程：explorer.exe
排除进程：
文件对象：d:\1.txt
阻止操作：读取

这样一来文件还是能够被打开？
使用P5的时候是这样

现在发生了这么个状况
2015-6-23        16:40:00        已由访问保护规则禁止         xxxxxx\xxxxx        C:\WINDOWS\EXPLORER.EXE        D:\1.txt        用户定义的规则:基础1        已阻止的操作: 读取

可是explorer.exe对1.txt的操作丝毫不受影响

依班娜

@柯林

柯林

规则是起效的，只是有漏。
打开txt的是记事本程序，系统文件关联里已经设定txt文件由记事本打开，explorer在读取txt被阻止的时候，可能已经报告系统这是一个txt文件，系统调用记事本去打开了。
防御网马的原理可能跟这个是一样的，我们以为IE在搞事，实际上可能是系统直接指挥调度的结果。

依班娜

柯林 发表于 2015-6-23 16:57
规则是起效的，只是有漏。
打开txt的是记事本程序，系统文件关联里已经设定txt文件由记事本打开，explorer ...

这个我是知道的，我测试了**\notepad.exe，是可行的，但是根据防读本身来说应该要阻止对txt文件的访问
不知道p4的效果如何，如果p4可防，那么就是p5的问题

依班娜

柯林 发表于 2015-6-23 16:57
规则是起效的，只是有漏。
打开txt的是记事本程序，系统文件关联里已经设定txt文件由记事本打开，explorer ...

还有，如果说操作txt的是notepad，为何有explorer的日志
那么到底是谁操作的，我凌乱了……
-----------------------------------------------------
测试后发现
的确是以宿主进程为主，还是要以notepad.exe为包含进程才行，而explorer访问文件应该也是存在的，但是没有防御效力，没能真正和日志一致，就像你说的一样

柯林

依班娜 发表于 2015-6-23 17:38
还有，如果说操作txt的是notepad，为何有explorer的日志
那么到底是谁操作的，我凌乱了……
-------- ...

有时候会忘了这个，特别是做严厉规则的时候，比如禁止任何程序访问D盘文件，对于D盘上的程序排除不净就是问题

P5要么是很多东西改了，要么就是BUG，以往的严厉规则“禁止任何程序读取、创建、写入、删除、执行任何文件”，放到P5上，就是死机没商量

依班娜

柯林 发表于 2015-6-23 18:14
有时候会忘了这个，特别是做严厉规则的时候，比如禁止任何程序访问D盘文件，对于D盘上的程序排除不净就是 ...

语法重测还有没有必要？
暑假时间长，有必要的话可以搞一搞

柯林

依班娜 发表于 2015-6-23 18:45
语法重测还有没有必要？
暑假时间长，有必要的话可以搞一搞

很有必要，有时间的搞下吧，看看新版究竟怎么说。据说P6到8月份又要推出了，如果都是这样，这问题不解决没法玩了。究竟是Bug，还是写法不对，这个在P5面前是个大问题。

依班娜

柯林 发表于 2015-6-23 20:00
很有必要，有时间的搞下吧，看看新版究竟怎么说。据说P6到8月份又要推出了，如果都是这样，这问题不解决 ...

刚刚又想到这个
如果阻止了某个程序直接读取A.txt
但是没有阻止notepad.exe读取A.TXT
那么这个程序应该可以通过notepad来读取txt（进程间的操作和内存的读取？）

柯林

依班娜 发表于 2015-6-23 20:11
刚刚又想到这个
如果阻止了某个程序直接读取A.txt
但是没有阻止notepad.exe读取A.TXT

应该是有这可能
一般病毒流氓啥的好像是直接读取