文件评级关不掉吗？

kfunname

HEMM 发表于 2018-10-27 23:22
组规则，集体派对~
分个50组，分类把程序往组里一扔，规则行为限制死。想直接入沙的入沙，想直接运行的 ...

所以你是华丽的HEMM吗。。。砍了还有近1M（话说规则是这样算的吗）吓得我看了看自己的，还好，几百K全靠禁运

随便注册

kfunname 发表于 2018-10-27 23:38
嗯，CIS关掉反病毒基本就像卸载了反病毒模块一样了，但是问题是，文件信誉在现在的HIPS类来说，处于比较 ...

可能“运行”是个特殊流程，Comodo在这里监控，并不看后缀。
而AHK不管什么类型都和exe一样处理，扔给系统“运行”去吧，Comodo就按“运行”拦截了。
至于调用播放器，是系统发现不对，分析后调用的。
如果是explorer中点击，则直接分析，调用关联程序。

tao8023yy

我也来学习下。

kfk

比如这个：
Run, "C:\123.mp4"
▲这个mp4只扫首次，之后就不卡了是吧？
然后再稍改一下脚本，加个空格，会怎样？

记得Comodo好像有针对脚本的设置项，
也许记错了。


你不如试试CIS，可以排除 通配符/文件夹。


%1且不得有引号
▲这是哪种情况？举个例子

zgj_lz

学习学习

随便注册

kfk 发表于 2018-10-28 16:48
比如这个：
Run, "C:\123.mp4"
▲这个mp4只扫首次，之后就不卡了是吧？

空格加哪儿？

每次都扫，除非设为信任

就是CIS，但按此帖操作没装反病毒模块
https://bbs.kafan.cn/thread-2070175-1-1.html

如果你是说HIPS的排除，一直就是通配符排除
如果是文件评级的排除文件夹，相当于预先校验所有文件，这不是事啊。而且前面说了，卡还卡两次。

引号问题发现自Image Viewer for Windows 7，一个在Win7上用XP版看图软件的小程序，其注册表中的键值为

1. "C:\Program Files\Image Viewer for Windows 7\rundll32.exe" shimgvw.dll,ImageView_Fullscreen %1

复制代码

不过可以举别的例子，这个问题主要是接收参数的程序是否处理引号

1. run, "C:\Windows\System32\rundll32.exe" C:\Windows\System32\shell32.dll`,OpenAs_RunDLL "1.txt"

复制代码

＝＝＝＝＝＝＝＝＝＝＝
你试试吧，Win7之后没试过
rundll32.exe需右键属性－－设兼容性为XP
可能需要注册dll
修改关联方式后，找个jpg试试，然后到注册表里加引号再试试

kfunname

随便注册 发表于 2018-10-28 03:51
可能“运行”是个特殊流程，Comodo在这里监控，并不看后缀。
而AHK不管什么类型都和exe一样处理，扔给系 ...

HIPS那里有进程间内存访问的设置，或许是这种细节的设置的效果？然后因为这种启动方式，Comodo认为视频文件也有可疑，怕它是假装成视频文件，但是里面会有恶意代码。。之类的
当然，上面是我瞎猜的

随便注册

kfunname 发表于 2018-10-28 22:47
HIPS那里有进程间内存访问的设置，或许是这种细节的设置的效果？然后因为这种启动方式，Comodo认为视频文 ...

差不多吧，AHK偷懒，全都是“运行”，Comodo自然要查。

kfk

随便注册 发表于 2018-10-28 17:08
空格加哪儿？

每次都扫，除非设为信任

空格可以随便加，AutoHotkey脚本应该也不例外吧。
是想试试：信任之后，改动脚本，会怎样？

在[反病毒]里排除（通配符/文件夹），就不评级了。
关掉[反病毒]中其他不需要的选项，这样就跟你现在差不多，但是[排除]可用。

实测Win7原生rundll32，还真是不能加引号！
难道之前摆弄时我都忽略了？失忆中……

随便注册

kfk 发表于 2018-10-29 01:35
空格可以随便加，AutoHotkey脚本应该也不例外吧。
是想试试：信任之后，改动脚本，会怎样？

脚本怎么了？

改动脚本没什么影响，文件名、路径测试时能不动吗？

我用的是exe+ahk的方式，此时类似批处理，干活的是AHK的exe，早已信任，而脚本本身是个纯文本，Comodo不管

反病毒相关选项现在没法测