卡巴hips防御问题，附图

显示全部楼层 · 发表于 2008-9-14 18:23:59

第一张图：应该是%windir%\*.exe
第二张图：我在低限制组禁止写、删除、创建exe文件，但为什么在windows系统目录创建、删除exe文件都可以？

第二我自己设置一个禁止高危文件规则 C\*.exe,在低限制组设置禁止读取、删除、写、创建，但在c盘读取、创建、删除exe文件都可以，这不等于没设一样吗？

显示全部楼层 · 发表于 2008-9-14 18:28:24

楼主首先应该搞清楚操作的主体和客体是谁

你创建、删除exe文件的操作主体是Shell(Windows默认的shell就是explorer.exe)
explorer.exe在信任组啊，当然是做什么都可以了

你试试用一个在低受限组的程序执行创建、删除exe文件等操作，这样就可以看到效果了

显示全部楼层 · 发表于 2008-9-14 18:39:58

如果是这样的话，那上图系统文件的一些规则都失去作用了。都可以创建删除了。即使禁止也不行了

显示全部楼层 · 发表于 2008-9-14 18:41:11

二楼的正解。

显示全部楼层 · 发表于 2008-9-14 19:09:45

原帖由 rappar 于 2008-9-14 18:28 发表
楼主首先应该搞清楚操作的主体和客体是谁

你创建、删除exe文件的操作主体是Shell(Windows默认的shell就是explorer.exe)
explorer.exe在信任组啊，当然是做什么都可以了

你试试用一个在低受限组的程序执 ...

气流组策略这方面确实很厉害的！

显示全部楼层 · 发表于 2008-9-14 19:09:57

谁说没效了
关键是病毒不会被分到信任组，所以这时禁止是生效的

要是你想限制自己的话可以把Explorer的规则也改改，那保证能立即看到效果

显示全部楼层 · 发表于 2008-9-14 19:25:48

感谢，明白了。如果一个c盘文件被分入低限制组，如果执行禁止规则，那么删除、修改、写入都是被禁止的。

显示全部楼层 · 发表于 2008-9-14 20:03:51

LZ把explorer.exe放入低限制组就能看到规则的效果了

显示全部楼层 · 发表于 2008-9-14 22:55:58

原来这样，学习了

显示全部楼层 · 发表于 2008-9-16 09:46:04

感谢气流的解说，偶对K8得认识是越来越深入了

卡巴hips防御问题，附图

评分

回复 3楼 zhaokang0564 的帖子