查看: 6264|回复: 8
收起左侧

[分享] 火绒规则十步测试,结果让人无语。

[复制链接]
yjwfdc
头像被屏蔽
发表于 2018-11-25 10:55:05 | 显示全部楼层 |阅读模式
本帖最后由 yjwfdc 于 2018-11-25 13:09 编辑

火绒规则十步测试,结果让人无语。

在 “自定义规则”加一条 * 询问 *.txt 创建,写入,删除,执行,不加这条规则,后面在"自动处理"加的三条规则是无效的。

在“自动处理”加一条规则,
c:\windows\system32\cmd.exe              阻止 *.txt文件
再加一条规则
c:\windows\*\cmd.exe                     允许 *.txt文件

再加一条规则
c:\windows\s*\cmd.exe                    允许 *.txt文件
1=================================================================
c:\windows\system32\cmd.exe              阻止 *.txt文件
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件

运行cmd
执行 dir >c:\1.txt          结果是 拒绝访问。
2=================================================================
c:\windows\system32\cmd.exe              阻止*.txt文件   改为允许
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件

执行 dir >c:\1.txt           结果是 允许。
3==================================================================
c:\windows\system32\cmd.exe              阻止*.txt文件   把这条删除
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件

执行 dir >c:\1.txt           结果是 允许。

4===================================================================
c:\windows\*\cmd.exe                     允许 *.txt文件 改为阻止
c:\windows\s*\cmd.exe                    允许 *.txt文件

执行 dir >c:\1.txt          结果是 拒绝访问。
5==================================================================
c:\windows\*\cmd.exe                     阻止 *.txt文件 改回为允许
c:\windows\s*\cmd.exe                    允许 *.txt文件 改为阻止

执行 dir >c:\1.txt          结果是 拒绝访问。
6==================================================================
c:\windows\*\cmd.exe                     允许 *.txt文件 不变
c:\windows\s*\cmd.exe                    阻止 *.txt文件 改为允许

执行 dir >c:\1.txt          结果是 拒绝访问。

7===================================================================
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件
c:\windows\system32\cmd.exe              允许 *.txt文件   加回这条


执行 dir >c:\1.txt          结果是 允许。

8===================================================================
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件
c:\windows\system32\cmd.exe              允许 *.txt文件  改为阻止

执行 dir >c:\1.txt          结果是 拒绝访问。

9===================================================================
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件
c:\windows\system32\cmd.exe              阻止 *.txt文件   改为允许

执行 dir >c:\1.txt          结果是 允许。

10===================================================================
c:\windows\*\cmd.exe                     允许 *.txt文件
c:\windows\s*\cmd.exe                    允许 *.txt文件
c:\windows\system32\cmd.exe              允许 *.txt文件   把这条删除

执行 dir >c:\1.txt          结果是 拒绝访问。

================================================================
系统win7 sp1 32位 双硬盘。无其它安全软件。

随便下的结论:
1.火绒规则要在“自定义规则”有规则时,“自动处理”才有效。
2.全路径规则优先于通配符规则。
3.全路径规则每次都起效。
4。通配符规则 "阻止" 每次都起效,"允许"在改几次规则后就不会起效了.

5。之前说的规则从上到下,从下到上,只是当时结果,所以是不正确的。
6。还有,同名规则会自动合并。

==
再最后的总结,是火绒规则无法预知执行结果,变化无穷。

天道酬善
发表于 2018-11-25 11:32:24 | 显示全部楼层
yjwfdc
头像被屏蔽
 楼主| 发表于 2018-11-25 12:10:40 | 显示全部楼层
本帖最后由 yjwfdc 于 2018-11-25 12:21 编辑

上面测试还未最清楚,再测试一次。

在 “自定义规则”加一条 * 询问 *.txt 创建,写入,删除,执行,不加这条规则,后面在"自动处理"加的三条规则是无效的。

在“自动处理”加一条规则,
c:\windows\system32\cmd.exe             允许 *.txt文件
再加一条规则
c:\windows\*\cmd.exe                     阻止 *.txt文件

再加一条规则
c:\windows\s*\cmd.exe                    阻止 *.txt文件
11========================================
c:\windows\system32\cmd.exe             允许 *.txt文件
c:\windows\*\cmd.exe                     阻止 *.txt文件
c:\windows\s*\cmd.exe                    阻止 *.txt文件

运行cmd
执行 dir >c:\1.txt          结果是 允许。
12=============================
c:\windows\system32\cmd.exe             允许 *.txt文件 改为阻止
c:\windows\*\cmd.exe                     阻止 *.txt文件
c:\windows\s*\cmd.exe                    阻止 *.txt文件

运行cmd
执行 dir >c:\1.txt          结果是 阻止。
==============================
这次测试,证明上面说的,全路径规则优于通配符规则。
火绒工程师
发表于 2018-11-25 13:01:40 | 显示全部楼层
您好,您的问题已收到,工作日我们这边会进行测试,然后给您答复,感谢反馈
火绒工程师
发表于 2018-11-26 14:41:27 | 显示全部楼层
您好,麻烦您加QQ:2087707659,我们工程师和您详细沟通一下您的测试,麻烦您了~
火绒工程师
发表于 2018-11-27 10:03:20 | 显示全部楼层
您好,您的问题已确认,相关工程师正在跟进处理了哦,非常感谢您的反馈~


【问题 ID:4805】

评分

参与人数 1人气 +1 收起 理由
欧阳宣 + 1

查看全部评分

wowocock
发表于 2018-11-27 11:22:20 | 显示全部楼层
程序BUG。修改了即可。
sanhu35
发表于 2018-11-28 22:43:03 | 显示全部楼层
还有问题多的去了。
比如:
1. 3个不同的规则,匹配到一个文件时,3个规则全部弹窗。
2.安装一个程序时,询问框没有直接信任,或者允许当前进程所有操作的选项。 要不停的点允许,或者点允许并记录规则,这样允许的范围太大了。火绒是匹配1.txt 直接允许*.txt这样去建立规则的。
3.自动处理不能当父进程规则来用。前提是前面的规则里面有对应的才能生效。

还有很多很多。   感觉4.0的自定义官方是放弃的状态。不多说了,等5.0出来 再找他麻烦

评分

参与人数 2人气 +2 收起 理由
HEMM + 1 (^U^)ノ~YO!珊瑚姐好
yjwfdc + 1 感谢解答: )

查看全部评分

www-tekeze
发表于 2018-11-28 23:20:20 | 显示全部楼层

曾跟楼主说:“如果到火绒论坛搜索“规则”,会发现帖子很多。。。当中逻辑也经过多次调整。。。所以我不想加复杂的规则,够用就行。。。”
你另外那个帖子还是别报太大希望,不说了。。

评分

参与人数 1人气 +1 收起 理由
yjwfdc + 1 根据版规,加1分以示鼓励

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 18:32 , Processed in 0.121432 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表