V3默认的规则逻辑有些奇怪

zoes

比如，默认如果My protected File里有C:\windows\system32\*，当某个程序里设置了Block modify　file时，会造成对System32目录下的所有类型的文件都禁止写入和修改，所以不应该把C:\windows\system32\*做为默认规则放在My protected file里。

理由很简单，Windows的系统文件会被恶意程序插入，然后再生成文件，那么要防止这种情况，就需要对Windows的系统文件设置Block修改文件的属性，但由于默认情况下My protected file里有C:\windows\system32\*，所以一旦设置了系统文件的禁止修改文件属性，这些系统文件就无法在system32下生成包括日志在内或者网络信息在内的一些文件，造成系统不正常。

以前的V3版本偶设置了禁止所有系统文件修改文件都正常，最近的版本依然使用这种方式时发现无线网卡总是找不到无线网络，查了日志才发现上述问题。

星之梦

我觉得还是程序规则的问题。
My protected File里有C:\windows\system32\*
不会造成所有程序都禁止写入，就算是*\*.*也只是提示并不是阻止。
可能是explorer或者rundll32等系统文件的规则里设置了阻止C:\windows\system32\*

zoes

原帖由 星之梦 于 2008-2-15 12:00 发表
我觉得还是程序规则的问题。
My protected File里有C:\windows\system32\*
不会造成所有程序都禁止写入，就算是*\*.*也只是提示并不是阻止。
可能是explorer或者rundll32等系统文件的规则里设置了阻止C:\windows\ ...

在程序规则里没有定义禁止写入的目录，只是在Protected file/folder里定义了Block。

我的实例是Svchost.exe，我定义了PProtected file/folder的Block。防止一些恶意软件插入Svchost.exe后再生成文件，此时发现Svchost连Log文件都不能写入到C:\windows\system32\wbem下，查找原因发现是My protected File里有C:\windows\system32\*造成的。而且按照CFP的说明，My protected File里有C:\windows\system32\*肯定会阻止对C:\windows\system32\下的各种修改（生成、删除各种文件）。

星之梦

哦，看明白啦。
My protected Files里的文件和目录，在Svchost.exe的程序规则里定义了PProtected file/folder的Block，当然全都阻止啦。
把Block改为ask，然后在modify里把规则设置好，比如连接一下无线网络。
设置好之后再设置为Block。
建议先看U版的打磨，里面有优先级的说明。

[ 本帖最后由 星之梦 于 2008-2-15 14:10 编辑 ]

星之梦

My protected Files是comodo保护的目录，
%windir%\system32\*
这个系统目录当然要加到My protected Files里。
否则comodo是不会保护的。

zoes

我的规则是所有的应用程序都禁止修改文件，所以全用Block。

前次Disable了D+，结果中了机器狗，在删除机器狗生成的文件时，发现机器狗插入了Windows系统的文件在不停地生成文件，所以将所有的应用程序都禁止写文件了，平安的很。

偶把C:\windows\system32\*从My protected file里删除了。

[ 本帖最后由 zoes 于 2008-2-15 14:58 编辑 ]