关于Windows Operating System刷日志的问题【11月29日突破性发现】

qftest

revolutionstorm 发表于 2016-11-30 13:57
我想放行743和443端口可以不，这两个是谷歌的扩展更新和账号同步相关的端口

443是HTTPS加密通信端口，我的规则里是作为DNS加密通信端口来写的，因为我使用TCP OpenDNS，这个出站可以放行，全局也应该同时修改
但我看你的是843？放行出站没事的

revolutionstorm

qftest 发表于 2016-11-30 14:22
443是HTTPS加密通信端口，我的规则里是作为DNS加密通信端口来写的，因为我使用TCP OpenDNS，这个出站可 ...

谢谢

猪头无双

WOS是COMODO的一个虚拟的概念进程

呵呵，这点绝对不认同，你再研究研究吧，这玩意即使你不装comodo也是在的

qftest

猪头无双 发表于 2016-11-30 15:57
呵呵，这点绝对不认同，你再研究研究吧，这玩意即使你不装comodo也是在的

我觉得楼主说对了一半（WOS是一个虚拟的概念进程），你也说对了一半（即使你不装comodo也是在的），综合起来就对了
在D+里打开活动进程列表可以看到WOS的PID=0，而打开windows进程管理器看到PID=0的进程名为System Idle Process，这就很清楚了，这个“挨斗”就是特指系统闲置的资源，无论名字叫“Windows Operating System”或“System Idle Process“
我们知道所有进程的CPU时间数越大说明系统当前资源消耗越多、系统越繁忙，唯一的例外就是这个挨斗，挨斗CPU时间数越大说明系统当前资源消耗越少、系统状态越空闲；同样的，在BUG豆规则产生的日志中所有日志都说明有某个行为触发了某个具体规则——顺便吐槽下BUG豆防火墙日志不象SEP日志那样可以看到被触发的具体规则名称——唯一的例外就是WOS日志，WOS日志记录的其实是“某个行为没有触发某个具体规则只好交给全局全封规则（阻止一切IP通信进出）处理”即“无人理会的行为”，所以WOS只会被全局全封规则触发，WOS日志越多说明全局规则越不完善，所以也不应该简单归为垃圾数据

revolutionstorm

qftest 发表于 2016-11-30 20:37
我觉得楼主说对了一半（WOS是一个虚拟的概念进程），你也说对了一半（即使你不装comodo也是在的） ...

迅雷一开启下载，WOS刷屏了又，全局规则是不是不完善啊


下面几条规则要改吗？把迅雷加入例外？

qftest

revolutionstorm 发表于 2016-11-30 21:25
迅雷一开启下载，WOS刷屏了又，全局规则是不是不完善啊

目标不可达。。。具体是什么不可达？网络不可达？端口不可达？还是协议不可达？这些都没有说清楚嘛，我怎么知道该放行或阻止？BUG豆退化到这种地方了吗，日志详情里没有说？

revolutionstorm

qftest 发表于 2016-11-30 21:36
目标不可达。。。具体是什么不可达？网络不可达？端口不可达？还是协议不可达？这些都没有说清楚嘛 ...

大概，也许.........是超时吧，详情？没有详情啊，日志没法进一步展开或者操作了.......我这个DNS服务器地址设置不对？第一个是设置哪个地址应该？第二和第三我看教程设置的是我的网络运营商的DNS

C:\Program Files (x86)\Thunder Network\Thunder\Program\XLLiveUD.exe  迅雷更新程序

qftest

revolutionstorm 发表于 2016-11-30 22:44
大概，也许.........是超时吧，详情？没有详情啊，日志没法进一步展开或者操作了.......我这个DNS服务 ...

和谐