查看: 2168|回复: 12
收起左侧

[智量] 智量编辑问题

[复制链接]
Denver钟
发表于 2021-8-5 18:40:34 | 显示全部楼层 |阅读模式
智量的规则编辑起来真的好麻烦,一些类似的项目防护可以改成像火绒一样(就仅仅选读取,修改,删除,创建这样,如果还要细分,可以像目录树一样,在下面细分),还有一个就是防火墙的规则和HIPS真的得分开,混在一起很不友好(搜索功能也得加上,不然后期修改麻烦),其他似乎没什么问题
PS:谁写好了规则借我玩玩呗
智量官方
发表于 2021-8-5 22:00:39 | 显示全部楼层
规则需要分组的建议其它用户也有提出,我们已经纪录。
你大概需要什么样的规则呢?也许以后我们会官方提供
Denver钟
 楼主| 发表于 2021-8-6 09:54:27 | 显示全部楼层
智量官方 发表于 2021-8-5 22:00
规则需要分组的建议其它用户也有提出,我们已经纪录。
你大概需要什么样的规则呢?也许以后我们会官方提供

创建,删除注册表项这一类,个人觉得光一个写入注册表不太够,自动判断也不一定会完全判对的,动静小一点可能就会误判(这里是从hips方面考虑,没有考虑文件监控识别出这是病毒一类),这一部分还是人工判断的好。因为会去搞规则的应该都知道一些关键注册表,比如很多恶意软件就很喜欢在“run”这一目录里乱搞,如果被恶意删除系统关键值就麻烦了。智量总体看是没问题的,希望智量越做越好
智量官方
发表于 2021-8-6 19:48:05 | 显示全部楼层
Denver钟 发表于 2021-8-6 09:54
创建,删除注册表项这一类,个人觉得光一个写入注册表不太够,自动判断也不一定会完全判对的,动静小一点 ...

你说的run目录指的是注册表自动启动项目,智量在自动模式下都已经处理得较好了,无需自己编写规则。
即使想自己编写规则,也无需写注册表规则,新建规则的时候在事件里选择"创建启动项"即可。
Denver钟
 楼主| 发表于 2021-8-6 21:16:11 | 显示全部楼层
本帖最后由 Denver钟 于 2021-8-7 10:50 编辑
智量官方 发表于 2021-8-6 19:48
你说的run目录指的是注册表自动启动项目,智量在自动模式下都已经处理得较好了,无需自己编写规则。
即 ...

好的,刚才我又发现一个问题,可以算上大问题了,这个还劳烦你们仔细查看(这个问题是偶然发生的我也不能肯定就是智量的问题,但是还请官人查看一下)。
智量V3.01B,火绒 5.0.62.4,win10 21h1
智量hips自动,火绒hips自定义(这里互相加白,应该没有冲突),开机explorer不能正常启动,(即黑屏有鼠标,且ctrl+alt+del可以呼出任务管理器,任务管理器下可打开“运行”,但仍然不能用“运行”打开“explorer.exe”,尝试打开就显示系统资源不足,无法完成请求的服务)然后呼出“注册表编辑器”可打开资源管理器,接着我使用火绒剑(cmd的taskkill命令也可以)杀掉智量主进程即可卸载,卸载完重启又恢复正常(若要更详细的过程还烦请跟帖说明,图片的话因为比较急,没倒腾当时怎么截图,就用手机拍了一下大概情况,如需要亦可)
yexo
发表于 2021-8-7 00:46:03 | 显示全部楼层
智量V3.01B +火绒 5.0.62.4 也用了一段时日了,暂时未发现你所描述的问题,估计是你火绒自定义规则里有些规则的问题?你看看火绒的安全日志里有没有关于explorer的拦截记录。
Denver钟
 楼主| 发表于 2021-8-7 06:05:52 | 显示全部楼层
yexo 发表于 2021-8-7 00:46
智量V3.01B +火绒 5.0.62.4 也用了一段时日了,暂时未发现你所描述的问题,估计是你火绒自定义规则里有些规 ...

我记得是没有的,下午我再仔细看一下,并附上日志
Denver钟
 楼主| 发表于 2021-8-7 09:19:06 | 显示全部楼层
yexo 发表于 2021-8-7 00:46
智量V3.01B +火绒 5.0.62.4 也用了一段时日了,暂时未发现你所描述的问题,估计是你火绒自定义规则里有些规 ...

火绒日志,没有阻止资源管理器的动作

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
yexo
发表于 2021-8-8 00:00:33 | 显示全部楼层
你的规则中有限制读取explorer.exe的操作,那你把任务管理器Taskmgr.exe加入自动允许了吗?

注册表编辑器可打开资源管理器?请教一下你是怎么操作的。

可能的解决方案:
1. 看看这两个注册表项有没有异常:
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下的 Shell 是否只有 explorer.exe

HKEY_CURRENT_USER\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Winlogon 下是否有 Shell 项,如果有且非explorer.exe,删除它

2. 禁用火绒HIPS里关于读取explorer.exe的规则,重启看看问题是否解决

Denver钟
 楼主| 发表于 2021-8-8 09:46:39 | 显示全部楼层
本帖最后由 Denver钟 于 2021-8-8 09:51 编辑
yexo 发表于 2021-8-8 00:00
你的规则中有限制读取explorer.exe的操作,那你把任务管理器Taskmgr.exe加入自动允许了吗?

注册表编辑器 ...

注册表的导入功能,然后把读取的文件类型改成“所有”(其实这个不能算资源管理器),然后您所说的注册表问题都没有,taskmgr允许了,当时我也考虑过火绒hips里explorer,并且自动放行,但是重启后并没有什么用

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 13:50 , Processed in 0.156376 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表