请问预防性保护可以允许svchost.exe访问已启动应用程序的完整性吗？

星云劫

问题已解决，我换诺顿了。在2019和2020用了两年左右的archlinux，当时买了大蜘蛛的三年授权。最近因工作原因换回win10，想着授权还剩一年左右，不能浪费，又给装上了。但体验不如此前在linux上的表现，现已入诺顿，问题解决。云备份真好用


大蜘蛛每分钟弹窗提醒一次已阻止访问受保护对象，经查看日志发现是C:\Windows\System32\svchost.exe在尝试访问已启动应用程序的完整性。
于是我在预防性保护里面手动为该程序创建一条放行规则，其他保持默认。

现在大蜘蛛已不再弹窗，不知道这样做对不对，过来请教一下大家。我用的是win10，版本号为win10专业版20H2，以下是我电脑上安装的大蜘蛛的版本号：

· Dr.Web Security Space
Dr.Web Security Space (12.0)

· Dr.Web Virus-Finding Engine
drweb32.dll (12.00.8.01220)

· Vade Retro Antispam Filter
vrcpp.dll (01.419.00)

· Dr.Web Scanning Engine
dwengine.exe (12.6.2.11180)

· Dr.Web Anti-Rootkit Server
dwarkdaemon.exe (12.6.2.11180)

· Dr.Web Anti-rootkit API
dwarkapi.dll (12.6.0.202012140)

· Dr.Web Thunderstorm Cloud Client SDK
ccsdk.dll (12.0.13.10230)

· Dr.Web Scanning Watcher
dwwatcher.exe (12.6.2.11180)

· Dr.Web Anti-Spam
dwantispam.exe (12.6.2.11180)

· Dr.Web Control Service
dwservice.exe (12.10.2.11100)

· Dr.Web Action Center Control
dwsewsc.exe (12.10.2.11100)

· Dr.Web Updater
drwupsrv.exe (12.0.30.12240)

· Dr.Web antimalware boot driver
dwelam.sys (12.5.0.11120)

· SpIDer Agent for Windows
spideragent.exe (12.10.2.01282)

· SpIDer Agent admin-mode module for Windows
spideragent_adm.exe (12.10.2.01282)

· Dr.Web Scanner SE
dwscanner.exe (12.10.2.07300)

· Dr.Web Console Scanner
dwscancl.exe (12.6.2.11180)

· Dr.Web File System Monitor
spiderg3.sys (12.5.4.10160)

· Dr.Web Protection for Windows
dwprot.sys (12.5.11.01220)

· Dr.Web Shellguard anti-exploit module
dwsguard32.dll (12.6.0.12200)

· Dr.Web Shellguard anti-exploit module
dwsguard64.dll (12.6.0.12200)

· Dr.Web device Guard for Windows
dwdg.sys (12.5.3.10160)

· Dr.Web Net filtering service
dwnetfilter.exe (12.6.0.12210)

· Dr.Web Firewall for Windows service
frwl_svc.exe (12.5.3.12180)

· Dr.Web Firewall for Windows driver
drweblwf.sys (12.6.1.01250)

· Dr.Web Shell Extension
drwsxtn.dll (12.10.0.06040)

· Dr.Web Shell Extension
drwsxtn64.dll (12.10.0.06040)

· Dr.Web SysInfo
dwsysinfo.exe (12.5.1.20202170)

· Dr.Web SysInfo library
dwsysinfo.dll (12.5.1.20202170)

· Dr.Web AMSI
drwamsi32.dll (12.5.5.060050)

· Dr.Web AMSI
drwamsi64.dll (12.5.5.060050)

· Dr.Web Security Space setup
win-space-setup.exe (12.10.4.01281)

· Dr.Web Upgrade Tool
upgrade.exe (12.0.0.10090)

希望能够得到帮助，谢谢大家。

神龟Turmi

这个具体的问题我不清楚,但我之前卸载大蜘蛛也是和svchost有关

微软有几个xbox live的游戏使用teredo通信
teredo for windows的连接使用svchost.exe建立
teredo对nat类型有要求
大蜘蛛拿WFP过滤svchost直接把nat给废了,成了Symmetric
导致无法进入线上...

星云劫

神龟Turmi 发表于 2021-2-4 15:51
这个具体的问题我不清楚,但我之前卸载大蜘蛛也是和svchost有关

微软有几个xbox live的游戏使用teredo通 ...

好的，感谢回复。弹窗实在太猛了，一分钟一个，我就先保持这样的设置吧。

巴山冷箭

不清楚具体情况也没有使用过大蜘蛛,但是个人认为单纯的禁止系统svchost.exe进程似乎总感觉有些不妥,以前用带主机防御系统的软件设置规则时是禁止其它第三方程序访问svchost.exe内存,消息钩子等等而限制其它软件加载等svchost.exe办坏事,而对svchost.exe本身并没有作什么规则限制,只是用防火墙允许其固定联网:DHCP,DNS和系统升级专用

星云劫

巴山冷箭 发表于 2021-2-5 13:28
不清楚具体情况也没有使用过大蜘蛛,但是个人认为单纯的禁止系统svchost.exe进程似乎总感觉有些不妥,以前用 ...

收到，谢谢。目前已单独为该程序创建放行规则。

巴山冷箭

星云劫 发表于 2021-2-6 12:38
收到，谢谢。目前已单独为该程序创建放行规则。

单放行还是不大妥当,恕我直言.这个防护要分两部分设置:
1:允许系统自身及安全软件访问它,加载它;
2:禁止其它第三方访问及加载它,若有特需的单独排除.

星云劫

巴山冷箭 发表于 2021-2-7 11:41
单放行还是不大妥当,恕我直言.这个防护要分两部分设置:
1:允许系统自身及安全软件访问它,加载它;
2:禁 ...

感谢你的热心回复。这样的话，可能需要更完善的hips功能和相应的规则。加上最近蜘蛛在我这里又出现了bug（已保存的摄像头和麦克风的防护会丢失规则），我已购买诺顿，问题从另一个角度解决了。

蓝泽祈

以前用哪个企业杀毒的，默认规则是信任svchost.exe的。
当然要是微软作恶，我们没法

柯林

蓝泽祈 发表于 2021-2-11 10:54
以前用哪个企业杀毒的，默认规则是信任svchost.exe的。
当然要是微软作恶，我们没法

这是微软埋的雷，不知道哪个版本能够改进
最起码，应该一分为二，系统专用的svchost，只能加载系统程序，不接受非系统程序的访问请求
用户程序启动的svchost，专门标记与提示（能提供非用户程序启动的可疑svchost，用UAC弹窗提请用户裁决，就更好了.......）

现在，一锅乱炖，哪分得清哪个好，哪个坏，哪个是病毒挖空内存伪造的？一个误拦，系统可能就趴窝，只能“无脑放行”.....真是太坑人了

什么时候windows改进内存管理，它的安全性就立马提高一大截，应该不会错的

蓝泽祈

柯林 发表于 2021-2-11 11:12
这是微软埋的雷，不知道哪个版本能够改进
最起码，应该一分为二，系统专用的svchost，只能加载系统程序 ...

在虚拟机找到了，原来是瑞星云安全终端。要是这些组件被恶意利用，岂不是直接完蛋？