火绒5.0的自定义防护，在使用短文件名操作时防护完全无效果（未解决）

显示全部楼层 · 发表于 2020-8-14 14:41:31

本帖最后由落华无痕于 2020-8-24 13:34 编辑

关于标题，录了个Gif：https://www.lanzoux.com/iCwKgfm8vfg

火绒开启自定义防护禁止删除桌面test目录的两个dll文件，文件名分别为：
test.dll
Y-Q]+].dll

直接右键删除两个文件都是拒绝访问，而使用del命令删除时，test.dll拒绝访问，另一个成功删除。

PS：看过Gif录像的不要纠结双引号，跟这个无关，即使del "test.dll"一样拒绝访问。5.0有这个问题，4.0无。

才发现火绒自定义防护没有拦截重命名的。任何自定义防护项目在重命名后都失效，4.0和5.0都是。。。

显示全部楼层 · 发表于 2020-8-14 14:46:42

@火绒工程师

测试环境：
vmware虚拟机+win7 x64 sp1

显示全部楼层 · 发表于 2020-8-14 17:28:10

@火绒工程师

显示全部楼层 · 发表于 2020-8-15 10:47:25

您好，问题收到了，我们这边测试下，感谢反馈

显示全部楼层 · 发表于 2020-8-18 13:23:39

您好，问题已经确认了，工程师正在跟进处理，感谢反馈

【问题id：27602】

显示全部楼层 · 发表于 2020-8-20 14:42:04

您好，系统行为所致，根据火绒剑的监控日志加规则即可，感谢反馈

显示全部楼层 · 发表于 2020-8-23 22:54:22

本帖最后由落华无痕于 2020-8-23 23:00 编辑

火绒工程师发表于 2020-8-20 14:42
您好，系统行为所致，根据火绒剑的监控日志加规则即可，感谢反馈

意思是火绒其实阻止了cmd.exe删除原文件名，但是因为文件名包含特殊符号，cmd.exe又转而按短文件名删除文件，这样火绒就放过了？
那么为什么4.0的版本又能防住呢？

火绒剑跟火绒共用sysdiag.sys，4.0的火绒剑可以看出火绒把删除短文件名的操作解析回删除原文件，而5.0的火绒剑把删除短文件名当成删除不同的文件。

那么火绒5.0的自定义规则对所有包含特殊字符或文件夹长度超过8（中文长度等于2）的文件夹或文件没有保护作用了？

长度超过8会有短文件名。测试过使用短文件名删除时，火绒自定义规则无效。。。

PS:刚测试了官网最新版火绒，sysdiag-all-5.0.51.0-20200823这个。

发现用短文件名操作时，执行、创建、读取、修改、删除等操作自定义规则完全无效。
而用原文件名时正常拦截。

显示全部楼层 · 发表于 2020-8-24 10:12:35

本帖最后由落华无痕于 2020-8-24 14:13 编辑

火绒工程师发表于 2020-8-18 13:23
您好，问题已经确认了，工程师正在跟进处理，感谢反馈

【问题id：27602】

如果说自定义防护时需要用户将短文件名路径一起考虑进去，但这也是完全没用。

即使对文件夹或文件按原文件名和短文件名都加了各种防护，火绒并不阻止重新定义短文件名的。短文件名变了后，自定义规则又失效了。

不止这个，自带的防御也有点天真啊。。。如阻止命令修改用户密码这个。
正常情况下阻止：

那么特殊情况呢：

还有很多可以利用的地方，举了两个例子，可以下载附件的批处理测试看看。

[BUG反馈] 火绒5.0的自定义防护，在使用短文件名操作时防护完全无效果（未解决）

本帖子中包含更多资源