查看: 3795|回复: 9
收起左侧

[讨论] 关于VSE默认规则关于temp的两条与解压软件的冲突

[复制链接]
T.Yoshiyuki
发表于 2015-10-24 12:05:23 | 显示全部楼层 |阅读模式
在VSE的默认规则中,有这么重要的两条,是追求安全性的同学们必定开启的:

《防间谍程序最大保护》
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe
-----------------------------
@墨池 大大的说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的 Temp 文件夹下,再运行。该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件。”而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。排除咖啡相关进程是为了正常升级和使用。

《通用标准保护》
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe, \:::
要排除的进程:无
-----------------------------
@墨池 大大的说明:官方默认

但是在实践过程中,很容易发现,开启两条中的任意一条都会使压缩软件无法正常解压——因为封锁了temp文件夹
后一条甚至“指名道姓”地针对winrar进行了设置

我疑惑的地方就在这里。
作为为办公环境设计的VSE默认规则,竟然影响了“解压”这一办公环境常用的操作,这一点是否有些“不可理喻”?
还是说,为了进一步安全,就要牺牲这个自由?
加之,论坛里诸多前辈照顾到易用性的规则里,也均未对这两条做修改和解释
这是否有些吊诡?

哪位大大能够就这两条与解压软件的冲突做个说明?如果在这两条中排除了解压软件,是否会让它们形同虚设?
另外,如果发现我对前辈写的规则有看漏的地方,也欢迎提出。
qftest
发表于 2015-10-24 14:05:29 | 显示全部楼层
通用标准保护中的规则为禁止公用程序而不是禁止所有程序,一个是包含,一个是排除,不同的
我个人在实践中尚未发现开启这两条规则后会导致winrar无法正常解压
该规则仅仅是限制直接双击压缩包(此时会临时解压至temp目录)后运行其中的执行文件,不会对解压缩产生影响,因为并未限制文件创建
T.Yoshiyuki
 楼主| 发表于 2015-10-24 14:35:47 | 显示全部楼层
本帖最后由 T.Yoshiyuki 于 2015-10-24 14:38 编辑
qftest 发表于 2015-10-24 14:05
通用标准保护中的规则为禁止公用程序而不是禁止所有程序,一个是包含,一个是排除,不同的
我个人在实践中 ...




又试了一下 的确不影响右键解压



开以上两条规则,鼠标“拖拽解压”一个xls文件,触红



2015/10/24        15:32:04        已由访问保护规则禁止         (此处省略)        C:\PROGRAM FILES\WINRAR\WINRAR.EXE        C:\Users\(此处省略)\AppData\Local\Temp\Rar$DRa0.666\        防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件        已阻止的操作: 执行

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
发表于 2015-10-24 14:46:32 | 显示全部楼层
本帖最后由 qftest 于 2015-10-24 14:51 编辑
T.Yoshiyuki 发表于 2015-10-24 14:35
又试了一下 的确不影响右键解压


你这是解压还是直接双击压缩包后再双击“打开”这个电子表格文件?

鼠标“拖拽解压”?。。。我从未用这种方法来“解压”文件,一般是右键解压居多
你“拖拽解压”的话就是对temp目录进行操作,而且是在winrar运行时(未排除)进行操作,理所当然会被阻止,这跟直接双击打开运行没有什么不同
T.Yoshiyuki
 楼主| 发表于 2015-10-24 14:50:38 | 显示全部楼层
qftest 发表于 2015-10-24 14:46
你这是解压还是直接双击压缩包后再双击“打开”这个电子表格文件?

双击压缩包然后“打开”文件当然是不行的
图中是将文件“拖拽”到桌面上 我原以为这样和右键解压是相同的 没想到还是跟双击一样经由了temp文件夹
qftest
发表于 2015-10-24 14:54:50 | 显示全部楼层
T.Yoshiyuki 发表于 2015-10-24 14:50
双击压缩包然后“打开”文件当然是不行的
图中是将文件“拖拽”到桌面上 我原以为这样和右键解压是相同 ...

鼠标“拖拽解压”明显跟右键解压不一样好吧?
无论压缩包里是什么文件,哪怕包内只有一个txt文件,双击打开压缩包后“鼠标拖拽”的这个动作必然会被视为winrar在temp目录内“运行”程序,此时的主执行程序就是winrar,尚未排除winrar进程时肯定会被阻止的
T.Yoshiyuki
 楼主| 发表于 2015-10-24 15:02:46 | 显示全部楼层
qftest 发表于 2015-10-24 14:54
鼠标“拖拽解压”明显跟右键解压不一样好吧?
无论压缩包里是什么文件,哪怕包内只有一个txt文件,双击 ...

明白了,是我缺乏常识……
不过,感觉缺乏这个常识的人应该不在少数吧。这样放着我的这个帖子,至少还有一定意义
qftest
发表于 2015-10-24 15:13:28 | 显示全部楼层
T.Yoshiyuki 发表于 2015-10-24 15:02
明白了,是我缺乏常识……
不过,感觉缺乏这个常识的人应该不在少数吧。这样放着我的这个帖子,至少还有 ...

其实你可以做个小试验,在第一条规则中排除winrar.exe之后再同样操作一次鼠标拖拽xls,此时触红的应该会变成第二条规则,“在temp目录被执行的程序”会被视为winrar.exe,尽管并没有用excel电子表程序双击打开xls然而winrar没有被排除所以仍然被vse阻止
这是vse规则的特点
cwl12315
发表于 2015-10-26 11:04:39 | 显示全部楼层
拖拽解压或者压缩包内双击运行都会临时将文件解压到Temp,特别是跨分区解压大文件的时候你就能感觉到这种方式费时费力,实在是不推荐。
最好右键解压或使用解压到功能
T.Yoshiyuki
 楼主| 发表于 2015-10-26 11:19:30 | 显示全部楼层
cwl12315 发表于 2015-10-26 11:04
拖拽解压或者压缩包内双击运行都会临时将文件解压到Temp,特别是跨分区解压大文件的时候你就能感觉到这种方 ...

没错……先到temp的话 解压时还要考虑temp所在分区的剩余空间……
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 17:22 , Processed in 0.118510 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表