“应用程序控制”疑似BUG？（已解决）

显示全部楼层 · 发表于 2016-10-31 09:00:35

jone_jys 发表于 2016-10-30 18:18
你好！
意思是子进程“必须继承”父进程了？那么卡巴“继承”后面的允许拒绝... 等同于摆设了呀！

...

Hello,

把你期望的结果说明白点，还是没看懂你想表达啥……还是我语文水平是小学生水品……

A--》B---》C，如果A是父父进程，B是父进程，C是B子进程的话。

显示全部楼层 · 发表于 2016-10-31 21:16:58

Hello,

我尝试重演了一次你所说的案例。链接：http://share.weiyun.com/b257f0c5a63788baddec804986553dfa （密码：MgD5Lz）

cleanmgr.exe 在 %temp%创建了 Dismhost.exe 被预定设计的规则碰撞后弹窗提示，我这里使用交互保护模式并将阻止改成提示，这样可以看清所有的规则触发。

整个故事完全比较简单，cleanmgr.exe 在 %temp%企图创建了 Dismhost.exe，当弹窗发生时如果你选择允许的话，则 Dismhost.exe 继续执行运行，当弹窗发生时你选择拒绝的话，Dismhost.exe 将不会被创建更加不会被运行。

这个逻辑没有问题。我不知道哪里有问题？

PS. 2018 的 HIPS 弹窗运行序列写的比较简单了。

显示全部楼层 · 发表于 2016-10-31 22:04:28

Wesly.Zhang 发表于 2016-10-31 21:16
Hello,

我尝试重演了一次你所说的案例。链接：http://share.weiyun.com/b257f0c5a63788baddec804986553d ...

非常感谢测试，视频看过了。如果设置为“询问”就是你测试那样子的。

而我的目的：不希望有弹窗，所以设置为“拒绝”/“记录事件”。dllhost.exe设置的“拒绝”，cleanmgr.exe设置的“允许”，结果卡巴会直接给阻止了，给出的日志为：“cleanmgr.ex要创建Dimshost.exe，已被阻止”

为何cleanmgr.exe设置为允许的情况下，依然继承了dllhost.exe的阻止呢？

显示全部楼层 · 发表于 2016-11-1 09:24:42

本帖最后由 Wesly.Zhang 于 2016-11-1 09:26 编辑

jone_jys 发表于 2016-10-31 22:04
非常感谢测试，视频看过了。如果设置为“询问”就是你测试那样子的。

而我的目的：不希望有弹窗，所以 ...

Hello,

Explorer.exe 设成阻止还是允许的？这是关键！我这里测试没看到跟 dllhost.exe 有什么关系。我这里看到的关系仅仅是 Explorer --》Cleanmgr --》dimshost 。

显示全部楼层 · 发表于 2016-11-1 11:01:36

本帖最后由 jone_jys 于 2016-11-1 11:03 编辑

Wesly.Zhang 发表于 2016-11-1 09:24
Hello,

Explorer.exe 设成阻止还是允许的？这是关键！我这里测试没看到跟 dllhost.exe 有什么 ...

你好！explorer.exe设置为“拒绝/记录事件”，跟这个没关系的。cleanmgr.exe继承了dllhost.exe的“拒绝”。

经测试，只要取消dllhost.exe规则后，就成功创建Dimshost.exe，且没有日志记录。

（测试时，explorer.exe， dllhost.exe设置为“拒绝/记录事件”，其他所有程序没做更改，默认的允许）

而我的目的：不希望有弹窗，所以设置为“拒绝”/“记录事件”。dllhost.exe设置的“拒绝”，cleanmgr.exe设置的“允许”，结果卡巴会直接给阻止了，给出的日志为：“cleanmgr.ex要创建Dimshost.exe，已被阻止”

为何cleanmgr.exe设置为允许的情况下，依然继承了dllhost.exe的阻止呢？

显示全部楼层 · 发表于 2016-11-1 12:09:33

本帖最后由 pal家族于 2016-11-1 12:23 编辑

请按照蚊子的设置方法（提示运行还是拒绝）检验程序运行和继承的顺序到底是什么，别到时候一开始就弄错了父程序、

QQ截图20161101121517.png

看起来这是一个很复杂的启动顺序
另外卡巴斯基的HIPS对某些系统程序可不可以限制（有的设置之后无效的）也是个问题。
dllhost的父进程可是svchost
实在有些复杂

显示全部楼层 · 发表于 2016-11-1 15:42:49

pal家族发表于 2016-11-1 12:09
请按照蚊子的设置方法（提示运行还是拒绝）检验程序运行和继承的顺序到底是什么，别到时候一开始就弄错了父 ...

Hello，

晕死……是从磁盘属性去启动 cleanmgr.exe 的呀……

怪不得怎么也没看到与 dllhost.exe 发生关系，我是直接启动 cleanmgr.exe 的……

显示全部楼层 · 发表于 2016-11-1 21:10:25

本帖最后由 Wesly.Zhang 于 2016-11-1 21:40 编辑

Hello,

这么配置 HIPS 规则，需要用到排除规则破解进程继承限制。如果默认 Explorer.exe（禁止），dllhost.exe（禁止，非继承），cleanmgr.exe（允许，非继承）。

运行序列比较复杂。

根据如下配置能够满足你的需求，任何允许记录生成在报告中。

在 HIPS 设置里面那个绿箭头的继承是仅仅继承父进程状态为允许时，如果父进程是阻止的状态，只能够在上图的位置排除继承阻止限制。

显示全部楼层 · 发表于 2016-11-1 21:48:06

Wesly.Zhang 发表于 2016-11-1 21:10
Hello,

这么配置 HIPS 规则，需要用到排除规则破解进程继承限制。如果默认 Explorer.exe（禁止），dll ...

感谢测试！你总算是明白我的意思了，不容易呀！

我为何纠结了这么久？请仔细看下图上的备注说明。

无标题.png

原来还要单独去排除啊！既然卡巴给了上图的设置界面，还是希望能够在那里直接“允许”就好！

显示全部楼层 · 发表于 2016-11-1 21:50:31

pal家族发表于 2016-11-1 12:09
请按照蚊子的设置方法（提示运行还是拒绝）检验程序运行和继承的顺序到底是什么，别到时候一开始就弄错了父 ...

感谢热心测试！已明白。。。

今日人妻已完，改天奉上。。。

[交流探讨] “应用程序控制”疑似BUG？（已解决）

评分

评分