毛豆规则里的这个System是指什么？

柯林

chncwk 发表于 2023-11-2 11:47
看不懂你说的，我直接说这里的症状：
1、很多程序在关闭退出的时候，系统会陷入假死，大概持续5分钟左右 ...

国产软件出名的小动作多，滥用权限，既然要用，就选择随它，反正又不是病毒，没必要太紧张。以前常有人说“用HIPS防流氓”，其实真流氓了你啥也防不住——不让我流氓就罢工，你咋办？
最好的防流氓招数，软选择是放虚拟机，硬选择是单独弄一台机子，全部流氓软件装一处，爱流氓随便。

阿三的系统bug满天，补丁改来改去，问题成堆，毛豆又是小厂，人手有限，有时跟不上形势，打了新补丁出问题很正常。

syatem的文件指向是一个系统dll，不要太纠结。

chncwk

柯林 发表于 2023-11-2 12:17
国产软件出名的小动作多，滥用权限，既然要用，就选择随它，反正又不是病毒，没必要太紧张。以前常有人说 ...

我要的就是最后这句话。
Win8.1下这个现象比较多，Win10下少一些，看最新版毛豆是否有改进吧。

asfrm

chncwk 发表于 2023-11-2 11:47
看不懂你说的，我直接说这里的症状：
1、很多程序在关闭退出的时候，系统会陷入假死，大概持续5分钟左右 ...

没错啊，你说的和我理解的没有任何偏差，方法也给到你了，最最简单的方法是不用去管什么System不System，直接把引起问题的程序的内存访问打开，这样做的坏处是有一定的中木马风险，最正确的答案是9楼里我说的给System添加例外，这样做的坏处是比较麻烦，对Comodo规则的理解要求高，既简单不麻烦又安全的方法不是打开内存访问的权限，而是阻止，是的你没听错，对所有试图申请内存访问的程序给予阻止，这样做对99%的程序是不会出什么问题的，包括常见的各种系统程序，其实他们只是在不停的申请进程间的互相内存访问，但不访问也没关系的

asfrm

柯林 发表于 2023-11-2 12:17
国产软件出名的小动作多，滥用权限，既然要用，就选择随它，反正又不是病毒，没必要太紧张。以前常有人说 ...

System应该是对Ntk开头的那个文件的符号连接，虽然运行的时候实际运行的是那个文件，但是写规则的时候直接写那个exe文件应该是没有效果的，最简单的方法还是就写个System就好这个肯定有效果

chncwk

asfrm 发表于 2023-12-18 17:26
没错啊，你说的和我理解的没有任何偏差，方法也给到你了，最最简单的方法是不用去管什么System不System， ...

问题是，我无法预料哪个程序会访问System，如果给已经触发过弹窗的程序设定禁止访问Stytem的操作，肯定会引起长时间的假死。
你的意思是，编一条规则，一律禁止所有程序访问System内存？

chncwk

asfrm 发表于 2023-12-18 17:29
System应该是对Ntk开头的那个文件的符号连接，虽然运行的时候实际运行的是那个文件，但是写规则的时候直 ...

System是指向NTosKrnl.exe这个程序的符号吗？
https://answers.microsoft.com/zh ... 4-a90a-cef2d934ae59

还是指System进程？

asfrm

chncwk 发表于 2023-12-18 21:05
问题是，我无法预料哪个程序会访问System，如果给已经触发过弹窗的程序设定禁止访问Stytem的操作，肯定会 ...

首先，你要学会看日志的习惯，很多背后的操作但看弹窗是看不出来的，然后所谓的假死一般情况不是拦截造成的，而是弹窗造成的，程序运行的本质是一环扣一环的，每一个步骤都是瞬时完成的，拦截的本质是把其中某一环节扣下来，不让它运行了，后面跟着的环节也不让它运行了，这个拦截的操作也是瞬时完成的，所以它不会造成假死但弹窗就不一样了，他需要收集很多的信息，还要建造一个窗体框架，还有等你来作出选择，在这个过程中Comodo既没有跟后续的环节说啊，你们不用等了都回去吧，这个程序不工作了，也没有让前面的环节直接中止，而是他们都再等等，让你作出选择后再决定干不干活，这程序等不了就蓝屏了，所以兼容性最好但最危险的操作就是放行所有的内存访问类操作，不单单是针对System的，最安全但兼容性最差的方法（虽然兼容性差但也比弹窗造成假死蓝屏好多了）就是拦截所有的内存访问操作，最细致最有针对性的就是按需分配，把需要访问System的加入到运行例外，至于你说的不知道哪个程序申请访问了System看日志就清楚了

asfrm

chncwk 发表于 2023-12-18 21:21
System是指向NTosKrnl.exe这个程序的符号吗？
https://answers.microsoft.com/zh ... 4-a90a-cef2d934ae ...

就是System进程，你把映像路径打开就看到他指向的文件了

顺便说下这边关于内存访问用的规则是禁止所有程序访问所有程序的内存，还不单单指System这个程序，更加严格，偶尔用这样严格的规则也会出问题，但添加过几次例外后就好了

chncwk

asfrm 发表于 2023-12-19 13:33
首先，你要学会看日志的习惯，很多背后的操作但看弹窗是看不出来的，然后所谓的假死一般情况不是拦截造成 ...

你是说，只要规则在前面，就能堵住后续一系列导致卡死的步骤了？
好吧，那我就把规则来个180度的大转弯，看看效果如何。

asfrm

chncwk 发表于 2023-12-19 16:16
你是说，只要规则在前面，就能堵住后续一系列导致卡死的步骤了？
好吧，那我就把规则来个180度的大转弯 ...

我说的是我自己电脑关于内存访问用的规则是禁止所有程序访问所有程序的内存，你想怎么样随便你，前面说的三种方案，允许所有的程序访问System、阻止所有的程序访问System、精准定位让需要的程序访问System，这三种方案理论上都是可行的，只要尽量避免触发弹窗就可以避免蓝屏