卡巴斯基无法禁止环境变量的更改

显示全部楼层 · 发表于 2022-2-18 11:06:46

落华无痕发表于 2022-2-18 10:40
是的，虚拟机里测试过了，改成CurrentControlSet就不拦截。

这有什么说法吗，为什么换了CurrentControlSet就不拦截了。

显示全部楼层 · 发表于 2022-2-18 11:38:40

CurrentControlSet不是注册表项，只是一个符号链接，指向controlset001或002等。

显示全部楼层 · 发表于 2022-2-18 11:55:57

落华无痕发表于 2022-2-18 11:38
CurrentControlSet不是注册表项，只是一个符号链接，指向controlset001或002等。

请问这个规则应该怎么写？
我把CurrentControlSet改成ControlSet???了也没用。

HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Control\Session Manager\Environment\UGII_LOCAL_USER_DEFAULTS
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet???\Control\Session Manager\Environment\*

复制代码

显示全部楼层 · 发表于 2022-2-18 12:52:04

本帖最后由落华无痕于 2022-2-18 12:53 编辑

itow 发表于 2022-2-18 11:55
请问这个规则应该怎么写？
我把CurrentControlSet改成ControlSet???了也没用。

不用卡巴斯基，不清楚，虚拟机还原了懒得装。你先把???改成001、002这些测试下行不行。忘了说我是直接选择注册表里浏览选中的，不是输入路径。

显示全部楼层 · 发表于 2022-2-18 13:47:15

落华无痕发表于 2022-2-18 12:52
不用卡巴斯基，不清楚，虚拟机还原了懒得装。你先把???改成001、002这些测试下行不行。忘了说我是直接选 ...

谢谢！
终于可以了，不能用CurrentControlSet，而要用ControlSet001，也学习到了这两者的作用和区别。
不过还是得禁止wmiprvse，光是禁止批处理没用，不知道有没有卡巴的大佬来解释下。

通过这一件事，也明显感觉到卡巴与咖啡的区别了。
在VSE上，直接填上目标注册表键就行了（CurrentControlSet），然后来个*号禁用所有程序，这样不论用什么方式都不能改了，需要改必需关闭访问保护。
也是因为VSE上的简单，导致在卡巴上栽了不少跟头，不能简单使用，需要一定的电脑知识，知道背后真正起作用的进程以及靶点位置。

显示全部楼层 · 发表于 2022-2-18 13:52:37

用procmon，设置过滤器，路径包含xxx，之后执行命令就知道是谁改xxx路径了。

显示全部楼层 · 发表于 2022-2-18 14:06:40

落华无痕发表于 2022-2-18 13:52
用procmon，设置过滤器，路径包含xxx，之后执行命令就知道是谁改xxx路径了。

正常不应该继承父进程的权限吗?
一个高限制的程序可以调用高信任的程序来执行危险操作，这种情况肯定不能发生的。

显示全部楼层 · 发表于 2022-2-18 15:33:46

本帖最后由落华无痕于 2022-2-18 15:36 编辑

itow 发表于 2022-2-18 14:06
正常不应该继承父进程的权限吗?
一个高限制的程序可以调用高信任的程序来执行危险操作，这种情况肯定不 ...

wmic.exe并不会启动wmiprvse.exe，不是父进程。两者通过某种方式互相通信。

显示全部楼层 · 发表于 2022-2-18 16:09:40

落华无痕发表于 2022-2-18 15:33
wmic.exe并不会启动wmiprvse.exe，不是父进程。两者通过某种方式互相通信。

那批处理呢，卡巴的程序控制中已经自动添加了这个批处理，然后批处理使用wmic命令，这个应该是父子进程关系吧。
有些绿色软件的批处理中就有修改浏览器、注册表之类的代码，这都不能防了吗？

显示全部楼层 · 发表于 2022-2-18 18:22:23

itow 发表于 2022-2-18 16:09
那批处理呢，卡巴的程序控制中已经自动添加了这个批处理，然后批处理使用wmic命令，这个应该是父子进程关 ...

批处理是能防的建议换个其他的批处理试试

[问题求助] 卡巴斯基无法禁止环境变量的更改