（关于vse）一点简单的测试及粗浅的认识

柯林

1、禁止powershell联网，能否阻止它下载文件？
【方法】用powershell常见的下载命令，把“我的图片里的一个html文件”，下载到D盘保存
（未加规则）：执行成功
（加规则）：执行失败   【证明】：powershell命令下载文件，确实是powershell执行的（并不是powershell调用浏览器下载（如果写powershell调动浏览器另当别论，但常规就是它执行，与浏览器无关）

2、禁运规则的有效性 对于设置禁运的规则，如果不加上“禁止读取”，只对当前用户（explorer）有效，提权“以管理员身份运行”（执行者svchost）就过了；如果加上“禁止读取”，则提权也没用）。一般的规则设置，启用“禁止执行”就可以了（对于脚本vbs、js，单是禁止wscript.exe去执行指定路径下的文件，没用的，因为wscript是系统组件，拥有系统权限，要彻底禁止，必须加上“禁止读取”）（powershell，cmd，wscript，script，mshta，基本上如此，要狠，就“读取”与“执行”一起勾）

读取，创建，写入，删除的关系，可以看作是“独立的功能”，禁止读取，一样可以删除；已经存在的文件，禁止读取可能就无法创建与写入；尚不存在的文件，禁止读取，一样可以创建与删除，只是写入会受影响。一般设置规则，如无特殊考虑，需要保护资料的完整性，应该全部勾选；仅仅是出于“防盗窃”，可以只勾选“禁读”；防止破坏（比如勒索病毒），写入、删除都不能少（单写禁止写入或禁止删除，都是漏洞）

简单的小测试说明，“系统正常”很重要，重大补丁还是要尽快打上，不能一味“指望规则”，遇上重大漏洞，获取system权限，可能就“干瞪眼”了——当然也不要走向反面极端，一般来说，vse还是很可靠的，并不会一下子就穿掉，然而漏洞确实是很有影响的，必须重视。

大年初一，祝大家新春快乐，万事如意！

qjoyous

请问大佬，那个规则怎么导出，好久忘记了，请教，谢谢

柯林

qjoyous 发表于 2021-2-20 10:28
请问大佬，那个规则怎么导出，好久忘记了，请教，谢谢

64位在KEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking

32位可能是KEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking

xyzjzlf

老大，求教一下，我安装在win7和win10上添加排除文件夹依然照样杀掉了，请问是方法不对吗？求指点！安装的是VSE。之前安装了MES，上次经您解惑后换成了VSE。谢谢！

qjoyous

柯林 发表于 2021-2-20 11:31
64位在KEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourB ...

感谢感谢

柯林

xyzjzlf 发表于 2021-2-21 14:02
老大，求教一下，我安装在win7和win10上添加排除文件夹依然照样杀掉了，请问是方法不对吗？求指点！安装的 ...

不知道你说啥
如果是“恶意文件”，咖啡认定是“有害的”，怎么排除都无用
如果是规则，那就是没弄对呗

xyzjzlf

柯林 发表于 2021-2-21 16:58
不知道你说啥
如果是“恶意文件”，咖啡认定是“有害的”，怎么排除都无用
如果是规则，那就是没弄对呗

多谢指点！我明天再试试！