卡巴斯基无法禁止环境变量的更改

落华无痕

itow 发表于 2022-2-17 09:52
调用WMIC不应该继承父程序的设置吗，总不能因为有个调用，限制组变成了信任组了。
在规则组中，加入了WM ...

刚才看了下，虽然是wmic.exe执行的命令，但是修改注册表的是wmiprvse.exe

itow

neil_aug 发表于 2022-2-17 09:56
把那个bat文件禁止启动或修改它的写权限呢

这个软件每次开启都会更新这个批处理，如果无法更新的话，会默认一遍全量更新，那时间就花费的多了。

itow

落华无痕 发表于 2022-2-17 10:01
刚才看了下，虽然是wmic.exe执行的命令，但是修改注册表的是wmiprvse.exe

都加了，没用，感觉不是这方面的问题。父进程都没的权限，子进程不应该有的。

落华无痕

看图：

itow

落华无痕 发表于 2022-2-17 15:56
看图：

依照你的，把wmiprvse.exe给拒绝了，但还是没用。是我规则弄的不对？
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\*
HKLM\SYSTEM\CurrentControlSet\Control\Session Manager\Environment\UGII_LOCAL_USER_DEFAULTS
以及键值保护我都试过了。

落华无痕

itow 发表于 2022-2-18 08:41
依照你的，把wmiprvse.exe给拒绝了，但还是没用。是我规则弄的不对？
HKLM\SYSTEM\CurrentControlSet\Co ...

哦，我忘记了我用的是HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001路径，不是CurrentControlSet。

Wesly.Zhang

Hello，

把受信任组整个规则都设定成你期望的样子在看下。你现在是在设定某个程序，在 受信任组 文件夹上双击或者选中后选择编辑。

然后看看官方写的规则是怎么样的形式，不要以你自己的理解去创建注册表规则。

itow

Wesly.Zhang 发表于 2022-2-18 09:21
Hello，

把受信任组整个规则都设定成你期望的样子在看下。你现在是在设定某个程序，在 受信任组 文件夹 ...

我就是把所有组都不给权限的，因为我不需要更改这个，更加不希望别的东西来改。

官方规则的写法也挺明白的，就那么几种，保护注册表键，键值。
基本上我每种写法都试过了，均没有作用，包括在我的电脑直接进行更改。
这个批处理是通过调用wmic来删除和新建注册表的，请问您知道相关的规则应该怎么写吗？

1. wmic ENVIRONMENT where name="UGII_LOCAL_USER_DEFAULTS" delete
   
2. wmic ENVIRONMENT create name="UGII_LOCAL_USER_DEFAULTS",username="<system>",VariableValue="D:\OTW91\rac\NX85_user.dpv"

复制代码

itow

落华无痕 发表于 2022-2-18 09:18
哦，我忘记了我用的是HKEY_LOCAL_MACHINE\SYSTEM\ControlSet001路径，不是CurrentControlSet。

总不能是换了CurrentControlSet就拦截不了吧。

落华无痕

itow 发表于 2022-2-18 10:11
总不能是换了CurrentControlSet就拦截不了吧。

是的，虚拟机里测试过了，改成CurrentControlSet就不拦截。