请问规则里的System到底是指什么？

综合症初期患者

柯林 发表于 2015-9-4 09:26
一般的更新流程是：由wuauclt.exe联网检查是否有更新补丁，如有，则由svchost.exe下载到SoftwareDistribu ...

有的会解压到非系统盘上临时建立的一长串数字字母混合的文件夹里执行安装

这个太蛋疼了，请问要怎么排除呢？

柯林

综合症初期患者 发表于 2015-9-4 14:15
这个太蛋疼了，请问要怎么排除呢？

你要排除啥？默认设置不需要排除！如果勾选系统目录与用户程序目录的保护，安装补丁的时候，去勾乃至于禁用访问保护就行了。

综合症初期患者

柯林 发表于 2015-9-5 15:39
你要排除啥？默认设置不需要排除！如果勾选系统目录与用户程序目录的保护，安装补丁的时候，去勾乃至于 ...

我是想在通过排除来实现在不禁用防护的情况下完成系统更新
其实如果更新的临时文件不会跑到非系统盘上的话，其实做到这个并不难...
这个非系统盘的“数字字母混合”的文件夹就很麻烦了...

另外，可以看一下我的这个问题吗：
http://bbs.kafan.cn/thread-1851245-1-1.html

柯林

综合症初期患者 发表于 2015-9-5 15:47
我是想在通过排除来实现在不禁用防护的情况下完成系统更新
其实如果更新的临时文件不会跑到非系统盘上的 ...

最简单的，系统更新时候，关闭访问保护就行了，尽管保护访问关闭，咖啡的月神和扫毒模块还在工作，系统自动从微软下载的补丁绝不会下到病毒，有什么好担心的？

已经回答你说的问题了，你看下。

柯林

综合症初期患者 发表于 2015-9-5 15:47
我是想在通过排除来实现在不禁用防护的情况下完成系统更新
其实如果更新的临时文件不会跑到非系统盘上的 ...

说实话，我不知道你究竟想干什么。如果有兴趣，请自行搜索老帖子进行参考。
要在开启规则的情况下，自动更新系统，这样的规则我发过。
要在开启规则的情况下，任意安装、卸载软件、更新系统，这样的规则我也发过。
以上两种规则，win7 32位与win7 64位的都有

综合症初期患者

柯林 发表于 2015-9-5 15:56
说实话，我不知道你究竟想干什么。如果有兴趣，请自行搜索老帖子进行参考。
要在开启规则的情况下，自 ...

那个...我大概想干的就是禁运非信任区的一切东西
但是我又担心这会影响系统更新（我不考虑安装...也先不考虑第三方软件的更新）
也就是说，我担心的就是系统本身更新时，临时文件跑到非信任区去执行...

柯林

综合症初期患者 发表于 2015-9-5 16:44
那个...我大概想干的就是禁运非信任区的一切东西
但是我又担心这会影响系统更新（我不考虑安装...也先不 ...

那是不可能的
以默认自带规则，“禁止在windows目录里创建新的可执行文件”这条规则为例，一个一个进程的排除与windows更新有关的程序，怎么可能会导致临时文件里的东西跑到信任目录里？你要杞人忧天，最简单的办法，写个批处理——删除临时目录里的所有文件，更新前自己运行下。

当然，你要是在排除名单里直接写上C:\**之类的，那就无解了

qpzmggg999

综合症初期患者 发表于 2015-9-4 02:29
出问题了...
我在 包含* 排除C:\Windows\** 的情况下
SYSTEM还是触发了一大堆事件...

windows root 包括 windows PF users 中的部分目录 和 PD的目录

不同安全软件对system 有不同的domin 很多软件的system仅指代系统进程（ svc） 但是vse管的方面很多

综合症初期患者

柯林 发表于 2015-9-5 18:32
那是不可能的
以默认自带规则，“禁止在windows目录里创建新的可执行文件”这条规则为例，一个一个进程 ...

额...你误会了...
你看一下16楼...
我不是担心“非信任区”跑到“信任区”执行影响安全（这的确是太可能的）
而是担心“信任区的进程”在“非信任区”写入临时文件后执行
也就是你说的，windows在“非系统盘根目录下的数字字母混合目录”（非信任区）写入了临时文件，假如这些临时文件不需要执行，那没什么问题；假如说它会执行，那么执行就会被我的规则封锁掉，这就是我担心的......

综合症初期患者

qpzmggg999 发表于 2015-9-5 19:43
windows root 包括 windows PF users 中的部分目录 和 PD的目录

不同安全软件对system 有不同的domi ...

太复杂了看不懂...