查看: 7909|回复: 11
收起左侧

[讨论] MES与VSE的规则拦截策略问题。。。

[复制链接]
jone_jys
头像被屏蔽
发表于 2016-5-31 17:46:36 | 显示全部楼层 |阅读模式

下面以实例来加以说明:

规则名称:全局禁止新建EXE
包含的进程:*
排除的进程:无
阻止的文件或文件夹:*.exe
操作:新建


规则如上,测试:比如用IE浏览器下载A.EXE ,此时MES拦截。

问题就在这个拦截时,MES会拦截100次,同时记录100条拦截日志(禁止新建A[1].EXE  禁止新建A[2].EXE 禁止新建A[3].EXE.................)

而之前的VSE就不会有这个问题,只会拦截1次,且记录1条拦截日志(禁止新建A[1].EXE  ),IE下载失败。

用VSE的朋友可以测试这条规则试试。这个策略才是正确的逻辑,因为IE下载的A.EXE,这个文件是没有变化的,用户点击1次下载,无论你IE想下载多少次,最终都是下载A.EXE,所以,规则只须拦截IE的第1次请求即可,后面无论多少次都直接拦截无需再记录。

同样,我用火绒也测试过。最新的火绒拦截策略跟VSE是一样的,即只拦截一次记录一次,IE下载失败。火绒之前的某个版本也是拦截N次,记录N次,后来改过来了。赞一个。。。

其实这个问题我早几年就发现过,用瑞星来测试的,瑞星就是跟现在的MES一样拦截N次且记录N次。坑爹是瑞星到现在都没改过来。

PS:以其说是策略问题,还不如说是MES的一个bug。我相信后面的某个版本肯定会改过来的。


最后贴一张火绒的拦截图:












本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
T.Yoshiyuki
发表于 2016-5-31 18:57:19 | 显示全部楼层
或许与ie下载机制有关?比如一次建立临时文件失败 就不停建立新的临时文件之类的
当然 既然VSE和火绒都只拦截一次 ……
jone_jys
头像被屏蔽
 楼主| 发表于 2016-5-31 19:08:46 | 显示全部楼层
T.Yoshiyuki 发表于 2016-5-31 18:57
或许与ie下载机制有关?比如一次建立临时文件失败 就不停建立新的临时文件之类的
当然 既然VSE和火绒都只 ...

IE ,Edge都有下载缓存,下载过程中会自动改成随机文件名。下载完成后再移动到目标下载文件夹同时改名为目标文件A.EXE。无论你中途改名多少次,其实都是同一个文件。所以只需拦截第一次且后面默认自动拦截且忽略即可。

因为用户本来只点击了1次下载动作,如果你拦截N多次且记录N多日志的话会给用户一种错觉。

另外,你提到的“WEB控制”无效,可以尝试修改一下HOSTS文件。我安装P1补丁后一直都是正常的,不确定是否跟我修改hosts文件有关。

23.198.135.136  secure.mcafee.com
184.26.195.54  www.mcafee.com


T.Yoshiyuki
发表于 2016-5-31 19:11:11 | 显示全部楼层
jone_jys 发表于 2016-5-31 19:08
IE ,Edge都有下载缓存,下载过程中会自动改成随机文件名。下载完成后再移动到目标下载文件夹同时改名为 ...

吼哇 我试试看
T.Yoshiyuki
发表于 2016-5-31 19:25:21 | 显示全部楼层
本帖最后由 T.Yoshiyuki 于 2016-5-31 19:26 编辑
jone_jys 发表于 2016-5-31 19:08
IE ,Edge都有下载缓存,下载过程中会自动改成随机文件名。下载完成后再移动到目标下载文件夹同时改名为 ...


失败

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
jone_jys
头像被屏蔽
 楼主| 发表于 2016-5-31 19:29:22 | 显示全部楼层

哎!没辙了,安慰你一下。   +1.。。

应该还是软件本身的问题,说不定哪天我这里也抽了额。。。。
liangxy
头像被屏蔽
发表于 2016-5-31 20:34:31 | 显示全部楼层
请问火绒和MES可以共存吗?
jone_jys
头像被屏蔽
 楼主| 发表于 2016-5-31 22:35:14 | 显示全部楼层
liangxy 发表于 2016-5-31 20:34
请问火绒和MES可以共存吗?

没有测试兼容性哦。。

安全软件我从来都是单奔的。。。。。。。
zjb0923
发表于 2016-6-1 09:07:56 | 显示全部楼层

2016/6/1        8:41:52        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe        用户定义的规则:❤1❤禁止QQ流氓X86安装目录        已阻止的操作: 读取
2016/6/1        8:41:52        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\Program Files (x86)\Tencent\QQ\Bin\QQ.exe        用户定义的规则:❤1❤禁止QQ流氓X86安装目录        已阻止的操作: 读取
2016/6/1        8:45:18        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\Program Files (x86)\Tencent\QQ\Bin\QQApp.exe        用户定义的规则:❤1❤禁止QQ流氓X86安装目录        已阻止的操作: 读取
2016/6/1        8:45:19        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\Program Files (x86)\Tencent\QQ\Bin\QQExternal.exe        用户定义的规则:❤1❤禁止QQ流氓X86安装目录        已阻止的操作: 读取
jone_jys
头像被屏蔽
 楼主| 发表于 2016-6-1 10:16:18 | 显示全部楼层
zjb0923 发表于 2016-6-1 09:07
2016/6/1        8:41:52        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        SYSTEM        C:\Program Files (x86)\Tencent\Q ...

SYSTEM 触犯你制定的规则了。。。

表示不清楚你想表达的意思。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 12:37 , Processed in 0.125324 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表