VSE8.8p7 默认规则拦截创建执行文件的不同形态

qftest

柯林 发表于 2016-3-13 12:13
可能是设计时的疏漏。以咖啡默认规则来看，它只想保证自己不被病毒干掉，回头入库杀掉病毒、搞下清理收工 ...

这个如果确定是漏洞的话，按微软补丁的分级制度应该是“紧急”+“严重”吧
你去上报呀，到时官方奖励的授权码什么的分我一个呗

柯林

qftest 发表于 2016-3-13 12:18
这个如果确定是漏洞的话，按微软补丁的分级制度应该是“紧急”+“严重”吧
你去上报呀，到时官方 ...

我跟每家的官人都不熟，没有关系，只是一个草根，都不知道他们的上报邮箱什么的，只是随便用用电脑，偶尔折腾一下罢了，让论坛上有关系的人去做

测试下，写条禁止写入规则是有效果的，在乎这个的，只有自定义补上保护规则了;

qftest

柯林 发表于 2016-3-13 12:22
我跟每家的官人都不熟，没有关系，只是一个草根，都不知道他们的上报邮箱什么的，只是随便用用电脑，偶尔 ...

那是因为发现了默认规则的漏洞才有补漏措施，而且也是治标不治本，现在不知有多少人正沾沾自喜“我的规则很严密”呢，而且好象老外大多都只用默认规则而不知此规则漏洞的存在
如果我没记错的话program Files与windows这两个目录禁创执行文件的规则是默认启用的，program Files如此，windows目录呢？再补一个windows目录禁创执行文件的自定义规则？

柯林

qftest 发表于 2016-3-13 12:33
那是因为发现了默认规则的漏洞才有补漏措施，而且也是治标不治本，现在不知有多少人正沾沾自喜“我 ...

默认标准防护，这两条不开启。
Windows目录下是否还是这个问题，你测试下看看
这样子一补充规则，就麻烦了，如果写两个目录里的所有文件，排除量大了些，似乎还抓不到要点
如果像默认这样只针对可执行文件，一下子多出来很多条了，麻烦

qftest

柯林 发表于 2016-3-13 13:51
默认标准防护，这两条不开启。
Windows目录下是否还是这个问题，你测试下看看
这样子一补充规则，就麻 ...

windows的表现必须与主楼program files保持一致啊，所以说治标不治本
dll也是可执行文件，如果被修改替换windows系统的dll。。。。那就好玩了

柯林

qftest 发表于 2016-3-13 14:22
windows的表现必须与主楼program files保持一致啊，所以说治标不治本
dll也是可执行文件，如果被 ...

这个就回归本原——规则只是杀毒的辅助，主体是杀毒！杀毒杀不掉此种毒，一旦运行，悄悄地改旗易帜，没商量，不客气，黑你爽爽的

qftest

柯林 发表于 2016-3-13 14:26
这个就回归本原——规则只是杀毒的辅助，主体是杀毒！杀毒杀不掉此种毒，一旦运行，悄悄地改旗易帜，没商 ...

对的，不过本帖并没否定杀毒组件的主体地位，只是吐槽这辅助容易让人误以为禁止了哪知实际被放过，也忒坑了些

qftest

qftest 发表于 2016-3-13 14:46
对的，不过本帖并没否定杀毒组件的主体地位，只是吐槽这辅助容易让人误以为禁止了哪知实际被放过，也忒坑 ...

顺便召唤样本小达人过来
@墨家小子
墨家，以后如果发现有替换windows系统dll的样本请PM下，谢谢

ly910326

ly910326

可能我们对规则的理解和vse产品手册的说明注释有偏差。