“应用程序控制”疑似BUG？（已解决）

jone_jys

Wesly.Zhang 发表于 2016-10-24 10:08
Hello,

我怎么说话跟你这么费劲，你使用交互模式，然后把 阻止 改成 提示，然后去触发规则弹窗，你 ...

你好！
你终于觉得费劲了哈！

话说，一楼引用部分已经制定了规则，你何不自己制定一个规则来测试更实际呢？比你我这样沟通不是更效率吗？因为这个问题是必现的嘛！

制定规则：监控 *.exe文件
限制如下程序“新建”任何EXE文件（IE /Edge /explorer.exe /dllhost.exe）
除以上限制程序外，其余程序都允许新建EXE文件
右键C盘符手动进行磁盘清理，但卡巴却阻止cleanmgr.exe新建Dismhost.exe
查看一下日志就知道了

电脑发烧友

其实Wesly.Zhang的意思是， 开启卡巴的交互模式，把规则的处理方式改为询问，因为弹窗会显示出执行顺序，如果两个程序确实为子进程父进程关系，那么就不是，反之则是。截图示例

电脑发烧友

@Wesly.Zhang

二者确实是子父进程关系，不是BUG

火绒之所以没有这个现象是因为火绒的规则本身没有权限继承这类机制。

jone_jys

电脑发烧友 发表于 2016-10-29 13:11
@Wesly.Zhang

二者确实是子父进程关系，不是BUG

你好！

问题是，我已经设置cleanmgr.exe是允许呀！不是继承了啊！

如果dllhost.exe是禁止的话，子进程继承的话应该也是禁止；而我已经设置为“允许”还是被阻止了，而且日志记录的也是阻止“cleanmgr.exe创建Dimshost.exe”，怎么不是记录阻止dllhost.exe创建？出了问题用户通过日志也不易排查呀！

jone_jys

电脑发烧友 发表于 2016-10-29 13:06
其实Wesly.Zhang的意思是， 开启卡巴的交互模式，把规则的处理方式改为询问，因为弹窗会显示出执行顺序，如 ...

你好！
你制定1楼的规则测试就知道了，继承并不是你截图的规则那样的。。。

电脑发烧友

jone_jys 发表于 2016-10-30 12:09
你好！

问题是，我已经设置cleanmgr.exe是允许呀！不是继承了啊！

。。没看太懂，

请说一下针对dllhost.exe的规则内容
请说一下针对cleanmgr.exe的规则内容
dllhost.exe为父进程，cleanmgr.exe以及cleanmgr.exe创建的进程均为dllhost.exe的子进程，全部继承父进程的权限。

日志问题

怎么不是记录阻止dllhost.exe创建

没看懂，你是说实际是阻止了“cleanmgr.exe创建Dimshost.exe”，而日志应该记录“阻止dllhost.exe创建Dimshost.exe”么？

jone_jys

电脑发烧友 发表于 2016-10-30 12:28
。。没看太懂，

请说一下针对dllhost.exe的规则内容

没看懂，你是说实际是阻止了“cleanmgr.exe创建Dimshost.exe”，而日志应该记录“阻止dllhost.exe创建Dimshost.exe”么？

对呀！

你要是有空制定规则试一下？

规则：禁止新建EXE文件（*.exe）
限制：IE/ Edge/ explorer.exe/ dllhost.exe（阻止并记录）；其余程序放行。

如下两图所示：






@Wesly.Zhang

jone_jys

接17楼。。。



创建规则后，进行磁盘清理时，如上图备注说明，卡巴阻止cleanmgr.exe在临时目录(C:\Users\Jone\AppData\Local\Temp\)新建Dimshost.exe 。

目前应该是cleanmgr.exe继承了dllhost.exe的阻止规则，但是我手动将cleanmgr.exe改为“允许”后依然被阻止了。


是卡巴的权限继承有问题还是我理解错了权限继承逻辑？ @Wesly.Zhang @电脑发烧友 @pal家族 @root1605


补一张图磁盘清理规则图：

电脑发烧友

很简单，权限继承的优先级很高，优先于针对某个程序的规则。

jone_jys

电脑发烧友 发表于 2016-10-30 18:11
很简单，权限继承的优先级&#24 ...

dllhost.exe为父进程，cleanmgr.exe以及cleanmgr.exe创建的进程均为dllhost.exe的子进程，全部继承父进程的权限。

你好！
意思是子进程“必须继承”父进程了？那么卡巴“继承”后面的允许 拒绝... 等同于摆设了呀！

假如A为父进程，B是A的子进程。A设置为允许，那么B就不能拒绝了（或者说只能允许）？是这样的吧！