VSE的FD防止读取功能是不是有点“悬”？

柯林

用VSE无非是冲着FD功能强大，特别是防读。然而，好像也不是那么令人放心，请大家复测下。
----------------------------------------------------------------------------
个人环境：64位win7专业版 SP1    安防组合：VSE+windows防火墙
---------------------------------------------------------------------------
FD---读、写、删除测试

D盘上建个文件夹，命名为123，放上一些图片、文档、压缩包。写条规则，禁止cmd.exe对D:\123\**的所有操作
打开命令窗口，输入dir D:\123\**   所有文件名可见，这个防读功能也太呵呵----如果有心，拍个照，不就知道有些什么文件了？
继续，命令窗口里输入删除命令，拒绝访问，日志有拦截；输入copy命令 ：copy D:\123\** E:  无效，被拦截
然而，输入xcopy D:\123\** E:   居然，成功了如果人家远程拷贝，那还不完蛋？

--------------------------------------------------------------------------
驱动级对抗测试：（写条规则，禁止任何程序读写删除D:\123\**，排除window文档阅读器，微软的word程序）

运行PowerTool64.exe，打开文件，跟cmd一样，文件名字一览无余，呵呵-----挑中一个txt文档，打开，显示空白，拒绝访问；打开一个docx文件，呵呵，内容一览无遗貌似这个逻辑上也说得通，毕竟word程序被授权了，PowerTool64.exe调用word程序打开之，合情合理，没毛病！-------看来，缺少对授权程序的管制，保护规则再漂亮也是花架子，自己做不了事，指示得到授权的去干就行了。。。。。。

------------------------------------------------------------------------------
有兴趣的请复测下，看看是不是哪里错了，还是就有“暗口”？

柯林

违规自沙一个：测试火绒，一样的，禁读，还是能打开目录，看到文件名称，只不过无法读取文件内容，搞破坏删除、修改之类，与咖啡一致。强一点是，火绒用xcopy也无法读取。看来麦咖啡VSE的架构什么的真的老了

还是豆子强，拦截---谁都读不了

batsom

又不发豆子规则1

柯林

batsom 发表于 2017-8-4 22:09
又不发豆子规则1

现在用的win7系统，发了个小钢豆---我自己在用的简单强化规则

Iesous

你光拦cmd当然没用 cmd要执行xcopy 你这命令读取是靠xcopy .exe

你把xcopy拦了  你能copy成功？

qpzmggg999

vse一直不能防止被注入，，尤其是系统进程被注入以后病毒基本上可以干自己任何想干的事。

Glouze

柯林 发表于 2017-8-4 08:30
违规自沙一个：测试火绒，一样的，禁读，还是能打开目录，看到文件名称，只不过无法读取文件内容，搞破坏删 ...

豆子？毛豆？毛豆好像不能防读吧

另外建议楼主把禁止 cmd.exe 改成禁止  * 试试

怀念 MD

bbszy

柯林 发表于 2017-8-4 08:30
违规自沙一个：测试火绒，一样的，禁读，还是能打开目录，看到文件名称，只不过无法读取文件内容，搞破坏删 ...

卡巴的禁止读取也是这样的。。。