VSE8.8p7 默认规则拦截创建执行文件的不同形态

qftest

形态1：
C:\Program Files\xxx.exe已存在，此时从别的地方拷一个xxx.exe过来，VSE拦截创建但却覆盖成功
已由访问保护规则禁止         PC\User         C:\WINDOWS\EXPLORER.EXE         C:\Program Files\xxx.exe         通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件        已阻止的操作: 创建


形态2：
C:\Program Files\yyy.exe不存在，此时从别的地方拷一个yyy.exe过来，VSE拦截创建成功
已由访问保护规则禁止         PC\User         C:\WINDOWS\EXPLORER.EXE         C:\Program Files\yyy.exe         通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件        已阻止的操作: 创建
已由访问保护规则禁止         PC\User         C:\WINDOWS\SYSTEM32\DLLHOST.EXE        C:\Program Files\yyy.exe         通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件        已阻止的操作: 创建

Why？

柯林

是不是还有些bug或支持不够，或者系统个体问题，不清楚

个人初步碰到的是，大多数东西，直接写禁止执行，就可以了，但是脚本，只写禁止执行没有效果，还要加上禁止读取，否则日志里显示已拦截读取，VBS文件还是正常执行，规则没起到效果。

记得以前有人说批处理也有类似问题

柯林

我这里测试了下，正常，32位win7系统：

qftest

柯林 发表于 2016-3-13 11:42
是不是还有些bug或支持不够，或者系统个体问题，不清楚

个人初步碰到的是，大多数东西，直接写禁止执行 ...

脚本调用解释器执行我倒是知道，不禁读解释器就拦不到，什么cmd什么?script.exe什么的
但主楼这个问题恐怕与系统无关，莫非VSE就是这么设计的？

qftest

柯林 发表于 2016-3-13 11:49
我这里测试了下，正常，32位win7系统：

你这个是形态2
试试形态1？

柯林

qftest 发表于 2016-3-13 11:49
脚本调用解释器执行我倒是知道，不禁读解释器就拦不到，什么cmd什么?script.exe什么的
但主楼这个问题恐 ...

刚才那个测试，只是测试了你说的第二个问题

再次测试下你说的问题1，还真是的，日志有显示拦截创建，同名文件已被复制和替换这个不知道是bug，还是属于我们理解有误日志记录是拦截创建，规则也是写禁止创建新的可执行文件，而这个复制替换，似乎属于写入，如果是这样的话，默认规则对于感染性病毒拦不住

qftest

柯林 发表于 2016-3-13 11:58
刚才那个测试，只是测试了你说的第二个问题

再次测试下你说的问题1，还真是的，日志有显示拦截创建， ...

就是啊，这可是个漏洞

柯林

qftest 发表于 2016-3-13 11:58
就是啊，这可是个漏洞

可能官方认为，感染性病毒可以特征码搞定，毕竟属于高危，也是少数；大量以盗号、窃密为目的的木马，一般不含感染动作，拦截它们创建、进入本机就可以了，有可能是这么想的吧

qftest

柯林 发表于 2016-3-13 12:02
可能官方认为，感染性病毒可以特征码搞定，毕竟属于高危，也是少数；大量以盗号、窃密为目的的木马，一般 ...

如果官方是这么认为的，那么无法解释主楼两种形态的差别对待，我猜官方可能设计时漏算了第一种情况
这个漏洞的存在使得N+1种规则的防御力大跌。。。规则制定放行时不用通配符而是指定路径也无用，因为无法确定此时放行的执行文件是否原版
智者千虑，必有一失？

柯林

qftest 发表于 2016-3-13 12:10
如果官方是这么认为的，那么无法解释主楼两种形态的差别对待，我猜官方可能设计时漏算了第一种情况
这个 ...

可能是设计时的疏漏。以咖啡默认规则来看，它只想保证自己不被病毒干掉，回头入库杀掉病毒、搞下清理收工，其它“都不是问题”，不知道上报了是否“不在乎”