hips rd的疑问

xzykgc4mc3

我在里面这么设置。

操作，询问
源应用程序：所有
注册表操作：所有
注册表条目：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Modules\GlobalSettings\Sizer\*
我是想测试下，win10的隐藏导航窗格是否跟上面的注册表相关。是否跟这条注册表有关。
结果看操作。
结果应该是相关的。可是我明明选了阻止，可还是设置生效。

看日志，是这样的。
[mw_shl_code=css,true]时间;应用程序;操作;目标;操作;规则;其他信息
2016/10/8 14:02:13;C:\Windows\explorer.exe;修改注册表;HKEY_USERS\S-1-5-21-3295637141-2408727512-1951952665-1001\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Modules\GlobalSettings\Sizer\PageSpaceControlSizer;已阻止;测试;
[/mw_shl_code]

qftest

ESET hips目前不支持HKEY_CURRENT_USER这种写法
所以——

无效：HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Modules\GlobalSettings\Sizer\*
正确：HKEY_USERS\*\Software\Microsoft\Windows\CurrentVersion\Explorer\Modules\GlobalSettings\Sizer\*

xzykgc4mc3

qftest 发表于 2016-10-8 18:32
ESET hips目前不支持HKEY_CURRENT_USER这种写法
所以——

谢谢。那请问下能否通过查看日志，观察到某一行为具体对这个注册表键值作了什么样的改动吗

xzykgc4mc3

qftest 发表于 2016-10-8 18:32
ESET hips目前不支持HKEY_CURRENT_USER这种写法
所以——

我试了两条规则。貌似同样效果。
只要弹窗出来，我点阻止。然后资源管理器都会发生变化，出现导航窗格。
然后关闭资源管理器，再打开，发现资源管理器还是原来样子，没有出现导航窗格。
我用HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Modules\GlobalSettings\Sizer\*这条规则，点允许。成功出现导航窗格。好像是HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Modules\GlobalSettings\Sizer\*，这么写也生效了。

qftest

xzykgc4mc3 发表于 2016-10-8 23:11
我试了两条规则。貌似同样效果。
只要弹窗出来，我点阻止。然后资源管理器都会发生变化，出现导航窗格。 ...

重启后再试
单试，不要混合启用、或先启用HKEY_USERS写法再启用HKEY_CURRENT_USER的写法
你会发现HKEY_CURRENT_USER的写法仍然失效，这由ESET当前的语法限制决定的

qftest

xzykgc4mc3 发表于 2016-10-8 22:14
谢谢。那请问下能否通过查看日志，观察到某一行为具体对这个注册表键值作了什么样的改动吗

这需要建立特殊规则，目标所有、开启日志记录
但我觉得并不能监控到所有改动，因为ESET注册表规则无视新建的注册表项

ccboxes

xzykgc4mc3 发表于 2016-10-8 23:11
我试了两条规则。貌似同样效果。
只要弹窗出来，我点阻止。然后资源管理器都会发生变化，出现导航窗格。 ...

这个我觉得挺好解释的，

正常流程：启动资源管理器→读取注册表设置→显示窗口
你改变设置时：改变显示方式→保存设置到注册表

现在的情况是保存设置这一步被ESET阻止，这样显示方式虽然改变了，设置却没保存成功，所以下次打开时又是原来的显示方式。