关于Windows Operating System刷日志的问题【11月27日更新-问题已解决】

revolutionstorm

一、前言

刚安装好COMODO，并且开启学习模式后，日志中并没有出现Windows Operating System的日志记录，也就是说，使用COMODO的默认规则是不会触发Windows Operating System日志的。

二、起因分析

我分析，Windows Operating System刷日志是出现在更改COMODO防火墙的默认规则后产生的。重点就是下图圈出的那条规则，我猜测应该就是这条规则造成Windows Operating System刷日志：

三、Windows Operating System是什么

看来一些帖子，综合搜索引擎的结果，我推测，Windows Operating System就是我们熟悉的windows系统中的【系统空闲进程】，并不是部分帖子提到的【COMODO自己创建的进程】，至于为什么使用英文，我猜测应该是编写简体中文的翻译过程中，把这个名词给忘了
为什么我会认为它是【系统空闲进程】呢？看下图





四、其他猜测

如果不是【系统空闲进程】，那或许是COMODO自己创造的一个类【windows [ 系统空闲进程 ]】的概念进程~~~

五、解决过程

【为什么是解决过程，而不是解决办法呢？其实，到底怎么解决的我并不清楚.......... 但是，解决问题的过程还是很清晰的，我把这个过程发出来，供大家参考分析，兴许能给各位以启发】

WOS刷日志已经好几个小时没发作了。。。。。相信问题已经得到彻底解决，这期间我一共干了四件大事，事情是酱的：

2016年11月27日凌晨4点左右，我正用regedit快速的删除360残留的注册表项目，因为在某个文件夹里连着有十多个到二十多个360项目，所以我使用Delete和Enter键以单身20年的手速的连着按，大概删的起兴，竟然删过油了，而且误删了能有十个左右，此时再打开COMODO，里面的部分规则名称变成空白，其他的系统错误想必正也会接踵而至，我镇定了一下，想起来windows优化大师里应该备份过注册表，打开发现竟然是20号的，备份那会儿还没卸载360，没办法，恢复之后慢慢删吧，这是我干的第一件大事。

第二件大事，就是偶然发现了COMODO的日志文件夹，发现里面记录了不少关于【"由于下列错误，WoptiHWDetect_x64 服务启动失败: 系统找不到指定的文件。"】的事件，于是进入注册表删除了相关的服务项目。

第三件大事，误删注册表，并且恢复安装COMODO之前的注册表之后，虽然COMODO大体上正常， 但是担心会有错误发生，于是重新安装了一下COMODO

第四件大事，删除了一个莫名其妙被安装上的谷歌浏览器的扩展【百度相册收藏工具】，我并不记得主动安装过这个扩展


至此，惊讶的发现不管开启迅雷开始谷歌浏览器还是IE，而且，打开当时WOS刷日志时的那些网页，再也没有WOS的日志记录了。

由此，我猜测WOS刷日志的根本原因无外乎以下几点：

1.由于残留的360注册表以及C盘残留的360文件等造成COMODO的某种错误
2.失效的系统服务项目引起COMODO的某种错误
3.COMODO在当前操作系统首次安装时有BUG，恢复注册表到安装COMODO之前的状态，并且重新安装得到解决
4.我觉得恢复注册表至安装COMODO之前这是一个关键步骤

最后，套用X档案的一句话【真相尚待水落石出！】

qftest

所有触发防火墙全局规则并被记录的操作都会被统计到Windows Operating System日志，如果象楼主那样有全局阻止且记录的规则、WOS日志出现过多说明防火墙规则做得不够细致——因此解决方案是“适当的记录规则+适当的过滤规则（阻止/放行，不记录）”

revolutionstorm

qftest 发表于 2016-11-26 18:18
所有触发防火墙全局规则并被记录的操作都会被统计到Windows Operating System日志，如果象楼主那样有 ...

恩，我也发现了，谷歌进程和Windows Operating System有一定的关联，应该是浏览器规则不完善造成的~

qftest

revolutionstorm 发表于 2016-11-26 19:41
恩，我也发现了，谷歌进程和Windows Operating System有一定的关联，应该是浏览器规则不完善造成的~

听不太明白
你是指chrome.exe进程吗？该进程是否有套用专门的浏览器规则？浏览器规则里是否有类似全局规则的那最后一条？

revolutionstorm

qftest 发表于 2016-11-26 20:15
听不太明白
你是指chrome.exe进程吗？该进程是否有套用专门的浏览器规则？浏览器规则里是否有类似全局规 ...

开新的标签页之后，Windows Operating System日志也会跟着突然刷的多起来，持续一点时间之后刷日志频率下降，开迅雷更明显，反正我觉得是全局规则最后那条造成的

qftest

revolutionstorm 发表于 2016-11-26 20:54
开新的标签页之后，Windows Operating System日志也会跟着突然刷的多起来，持续一点时间之后刷日志频率下 ...

不清楚你的系统情况，也没看到你有发相关截图，所以不能判断事因
我的规则完全根据我的网络定制，用了好几年，一整天也没几条WOS日志

revolutionstorm

qftest 发表于 2016-11-26 21:00
不清楚你的系统情况，也没看到你有发相关截图，所以不能判断事因
我的规则完全根据我的网络定制，用了好 ...

也许跟谷歌浏览器有关系吧，毕竟它老自己跟谷歌服务器连接，虽然说，已经被墙

revolutionstorm

qftest 发表于 2016-11-26 21:00
不清楚你的系统情况，也没看到你有发相关截图，所以不能判断事因
我的规则完全根据我的网络定制，用了好 ...

谷歌浏览器我用的是COMODO自带的默认【浏览器规则】












谷歌浏览器被拦截之后，接着就是那个进程被拦，像不像对应的那种关系，比较有规律

qftest

revolutionstorm 发表于 2016-11-26 22:19
谷歌浏览器我用的是COMODO自带的默认【浏览器规则】

chrome为什么会发送SSDP请求？那个地址是不是239.255.255.250？这种事情不是应该让svchost或p2p去做吗，你是不是装了某些p2p应用的插件或扩展？

revolutionstorm

qftest 发表于 2016-11-26 22:40
chrome为什么会发送SSDP请求？那个地址是不是239.255.255.250？这种事情不是应该让svchost或p2p去做吗 ...

没有呀，哦，谷歌调用迅雷下载算吗？现在下载都是自动调用迅雷的，即使迅雷没开启