VSE8.8p7 默认规则拦截创建执行文件的不同形态

柯林

qftest 发表于 2016-3-16 14:55
这个疑似规则漏洞，与WD何干？两者根本毫无关系
首先VSE安装后会自动接管WD，其次就算手动组策略关闭W ...

换64位win7，关闭WD测了下可以防止windows目录下的替换，重启测program files下的又不行了，日志确实只有创建的，没有写入的日志，不知道是哪里有点病

柯林

再次测了下批处理，还是不成
d盘上建个目录123，新建一个空白记事本，随便命名个exe文件，用批处理复制去覆盖
第一次，覆盖windows下的hh.exe，可能系统保护这个程序，拒绝
第二次，覆盖prigram files里的winrar.exe，成功，VSE都没反应的
windows下其它不重要的或者非系统程序能否覆盖，就不知道了

qftest

柯林 发表于 2016-3-16 19:51
再次测了下批处理，还是不成
d盘上建个目录123，新建一个空白记事本，随便命名个exe文件，用批处理复制去 ...

hh.exe是个很特殊的系统文件，admin管理员甚至SYSTEM都只能读取执行而无权修改，除非取得Trustedinstaller权限，这个与VSE无关
无论windows或program files，除了启用VSE禁改自身的默认规则和已载入运行的，只要管理员有权修改的exe/dll，都可以无视主楼涉及的那两条VSE默认规则保护进行替换
所以我才说这疑似规则漏洞，貌似拦截了实际上却拦截失败容易给用户造成误判

柯林

qftest 发表于 2016-3-16 21:07
hh.exe是个很特殊的系统文件，admin管理员甚至SYSTEM都只能读取执行而无权修改，除非取得Trustedinstal ...

日志就显示创建，创建应该可以，写就不行了