关于“可执行文件”，storyhare的定义似乎有误？

综合症初期患者

@storyhare 的《访问保护原理》中提到：

对于【*.bat, *.cmd, *.com, *.cpl, *.dll, *.drv, *.exe, *.ocx, *.scr, *.sys, *.vxd, *.386】等可执行文件（主动可执行文件），使用“执行”便可控制（“读取”，也可以控制）

然而我自己的测试结果却不是这样
对于一个bat文件
假如仅禁止执行，那么就算是禁止*对它的执行，它仍然可以执行
要真正阻止它执行，必须要阻止cmd.exe对它的读取才行...

感觉这样要防脚本就很麻烦了...只能针对每一个扩展名分别写规则防写防创建了...对吗？

还有一个问题，@storyhare 是把dll文件也列为了“可执行文件”
的确也有一些规则是防止dll“执行”
问题是dll本身是无法直接运行的
所以，“禁止test.dll执行”是否是指“禁止rundll32.exe执行test.dll”？

柯林

你说的问题不存在！

对于P5来说，读取执行一体，禁止执行也就意味着禁止读取。
对于P6来说，如果已经改进了p5的BUG，禁止执行就是禁止执行，不可能被运行，除非是驱动级别的执行。

除非你把规则写错，任何标准的写法，都是禁止*去操作（譬如你说的执行）某东东，不添加例外根本就木有任何通过的可能

补充：并不是所有dll文件都由系统的dll解释执行器来操作，极大多数程序都会自带dll并加载，病毒也不例外

综合症初期患者

柯林 发表于 2015-9-5 15:44
你说的问题不存在！

对于P5来说，读取执行一体，禁止执行也就意味着禁止读取。

嗯...重新打开虚拟机试了一下以后又能成功禁止执行了...
抱歉刚才可能是我自己实验的时候把条件记乱了...
抱歉抱歉

不过还是有问题
假如我包含*，排除C:\Windows\**，禁止对一个目录**\test\**下的执行
那么这个目录下的exe显然是不能执行的
但是bat却还是可以执行...
这是否可以说明，bat文件是cmd.exe执行、而非其本身主动执行的呢？

另外，如果禁止执行一个目录下的dll的话，是否意味着任何程序都不能加载这个目录下的dll？

cocabean

bat应该是禁止读取
dll禁止运行
我的理解应该跟你3L的一样