查看: 2287|回复: 7
收起左侧

[BUG反馈] 火绒5.0的自定义防护,在使用短文件名操作时防护完全无效果(未解决)

[复制链接]
落华无痕
发表于 2020-8-14 14:41:31 | 显示全部楼层 |阅读模式
本帖最后由 落华无痕 于 2020-8-24 13:34 编辑

关于标题,录了个Gif:https://www.lanzoux.com/iCwKgfm8vfg


火绒开启自定义防护禁止删除桌面test目录的两个dll文件,文件名分别为:
test.dll
Y-Q]+].dll


直接右键删除两个文件都是拒绝访问,而使用del命令删除时,test.dll拒绝访问,另一个成功删除。



PS:看过Gif录像的不要纠结双引号,跟这个无关,即使del "test.dll"一样拒绝访问。5.0有这个问题,4.0无。

才发现火绒自定义防护没有拦截重命名的。任何自定义防护项目在重命名后都失效,4.0和5.0都是。。。
落华无痕
 楼主| 发表于 2020-8-14 14:46:42 | 显示全部楼层
@火绒工程师

测试环境:
vmware虚拟机+win7 x64 sp1
初中生一枚
发表于 2020-8-14 17:28:10 | 显示全部楼层
火绒工程师
发表于 2020-8-15 10:47:25 | 显示全部楼层
您好,问题收到了,我们这边测试下,感谢反馈
火绒工程师
发表于 2020-8-18 13:23:39 | 显示全部楼层
您好,问题已经确认了,工程师正在跟进处理,感谢反馈

【问题id:27602】
火绒工程师
发表于 2020-8-20 14:42:04 | 显示全部楼层
您好,系统行为所致,根据火绒剑的监控日志加规则即可,感谢反馈
落华无痕
 楼主| 发表于 2020-8-23 22:54:22 | 显示全部楼层
本帖最后由 落华无痕 于 2020-8-23 23:00 编辑
火绒工程师 发表于 2020-8-20 14:42
您好,系统行为所致,根据火绒剑的监控日志加规则即可,感谢反馈

意思是火绒其实阻止了cmd.exe删除原文件名,但是因为文件名包含特殊符号,cmd.exe又转而按短文件名删除文件,这样火绒就放过了?
那么为什么4.0的版本又能防住呢?

火绒剑跟火绒共用sysdiag.sys,4.0的火绒剑可以看出火绒把删除短文件名的操作解析回删除原文件,而5.0的火绒剑把删除短文件名当成删除不同的文件。

那么火绒5.0的自定义规则对所有包含特殊字符或文件夹长度超过8(中文长度等于2)的文件夹或文件没有保护作用了?

长度超过8会有短文件名。测试过使用短文件名删除时,火绒自定义规则无效。。。

PS:刚测试了官网最新版火绒,sysdiag-all-5.0.51.0-20200823这个。

发现用短文件名操作时,执行、创建、读取、修改、删除等操作自定义规则完全无效。
而用原文件名时正常拦截。
落华无痕
 楼主| 发表于 2020-8-24 10:12:35 | 显示全部楼层
本帖最后由 落华无痕 于 2020-8-24 14:13 编辑
火绒工程师 发表于 2020-8-18 13:23
您好,问题已经确认了,工程师正在跟进处理,感谢反馈

【问题id:27602】

如果说自定义防护时需要用户将短文件名路径一起考虑进去,但这也是完全没用。

即使对文件夹或文件按原文件名和短文件名都加了各种防护,火绒并不阻止重新定义短文件名的。短文件名变了后,自定义规则又失效了。

不止这个,自带的防御也有点天真啊。。。如阻止命令修改用户密码这个。
正常情况下阻止:



那么特殊情况呢:


还有很多可以利用的地方,举了两个例子,可以下载附件的批处理测试看看。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-23 20:09 , Processed in 0.131229 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表