还在用Malware Defender的同学请帮我试一下

kfk

想用Malware Defender监视这个注册表值：PendingFileRenameOperations
其实默认规则中已有，
但无论默认还是自添，我这儿都无效（值已变了，MD不报）。
尚未发现其他值有此现象。

左手

呃。不会吧。我WIN7的没有问题。
看不到你的规则。可否建议你先这样做？排除一下。
有可能是应用程序的某条直接允许了。
如果还是不行的话。可以 求助sanhu35 或 yjwfdc 或 九尾 或 柯林。（其实这几个人已经不玩MD好久了。）
其他的高手，好久也没有冒泡了。

kfk

左手 发表于 2018-8-23 16:59
呃。不会吧。我WIN7的没有问题。
看不到你的规则。可否建议你先这样做？排除一下。
有可能是应用程序的某 ...

我这里的情况是这样：

对比：Process Monitor (SysInternals)

测试：
1▲ 某个 uninstall.exe 读/写（相当于你图中的情况）
2▲ 浏览器 Vivaldi.exe 读/写（在Vivaldi的书签管理器中拖放项目时）
3▲ (SysInternals) pendmoves.exe 读
4▲ (SysInternals) movefile.exe 写（命令行如：movefile zzz "" ）
5▲ reg.exe 读（命令行：reg query "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations ）
6▲ reg.exe 删（命令行：reg delete "HKLM\SYSTEM\CurrentControlSet\Control\Session Manager" /v PendingFileRenameOperations /f ）
7▲ RegEdit.exe 删/改/导入reg文件

结果：
Process Monitor 全部记录。
Malware Defender 只报最后两项(6/7)。（无论是自添规则 还是全套恢复默认，结果都一样，所以不是规则的问题。）

规律似乎是：
▲以增量方式写入数据(1/2/4)，MD浑然不知。（从无到有 也符合“增量”。）
▲对已存在的数据(以整份方式)改动/删除(6/7)，MD才知。

你图中那条规则，你已检验过有效？
我不太相信这只是我这里才有的现象。
所以请再试一下（请勾上“记录日志”，或改用“询问”或“阻止”），谢了。

风之咩~

XP下试试？

左手

kfk 发表于 2018-8-24 20:57
我这里的情况是这样：

对比：Process Monitor (SysInternals)

是的，这条规则在安装时，如果触发，是会报的。
XP当时会，WIN7 32也会报。
具体的你可以PM sanhu35 https://bbs.kafan.cn/thread-1514499-44-1.html 432L就是珊瑚哥 或 飘 https://bbs.kafan.cn/thread-1514499-1-1.html
我刚才还看见他们。
你如果方便发一个安装软件。我来试一下。看一下，我这会不会报。
行吗？

kfk

左手 发表于 2018-8-24 21:51
是的，这条规则在安装时，如果触发，是会报的。
XP当时会，WIN7 32也会报。
具体的你可以PM sanhu35 ht ...

其实用movefile试 就行了：（见上文4▲）
https://docs.microsoft.com/en-us/sysinternals/downloads/movefile

那程序也给你一个吧。
运行报错也没关系，一运行就已写入了。

左手

kfk 发表于 2018-8-24 23:43
其实用movefile试 就行了：（见上文4▲）
https://docs.microsoft.com/en-us/sysinternals/downloads/mo ...

看来是真的了。和你的情况一样。