CISv3.5 :: D+ 无法记忆规则

SmallFlag

先是TM2008的例子，如图所示 开头首字母都被用uXX代替了。。。莫非是Unicode/ASCII混合路径名

但是在规则配置对话框里显示的却是正常的路径
\Device\HarddiskVolume2\Program Files\Tencent\TM2008\Bin\"C:\Users\Administrator\AppData\Roaming\Tencent\QQHummer\59B848686BA6270269CE15953350482D\qqdoctor\selfupdate.exe"
（TM2008的QQ医生自我更新？行为比木马还像木马，这里有一个奇怪"结尾）

这样的Ask窗口让人辨识路径困难（虽然能猜到它显示的大致位置，目前只有TM会显示这种奇怪的路径）
并且最关键的是使用remember answer生成的Allow/Block规则无效，下次启动仍然弹出询问窗口，再次记忆就会生成2套一样的Allow/Block列表。


再来一个例子，IE7浏览器：

即使把cscui.dll放入允许列表也会继续Ask，结果再次允许就出来两个一样的Allow项
导入秘书包后，Files2Check偷懒直接添加了可执行文件组，发现dll事件后，删除该组，重启D+，然而问题依旧。
我还尝试过在TM和IE的文件规则里修正为允许windir下system32内所有：*.dll，问题依然没解决，只有全局通配*.dll才不会反复Ask。

Windows Vista SP1 , D+ Paranoid Mode
对导入的规则做过一定的修改[添加些Vista的系统程序和笔记本的实用程序]
Administer但是作为SHELL的Explorer降权到基本用户，IE7用软件限制策略限制在基本用户。
也有考虑过权限问题，于是把CFP提升至管理员权限，问题依旧。


个人觉得记忆问题有以下几种可能：

记忆/回忆功能受损：D+靠注册表记忆规则，然后我这里的注册表权限对它的记忆/回忆造成的干扰。[但是偶没有调整过这里的权限，基本排除]

辨识再现功能受损：Vista系统里有些文件的变化使D+把它们认为是不同的文件（不过貌似D+的判断是基于路径而不是Hash签名…不过Dll文件在内存里好像是写时复制的，具体内部的处理也许会导致这个问题也说不定…猜测…）

最后的可能么…只能理解为v3.5设计问题了……原来还以为是更新……难道要偶回归v3.0怀抱……汗(- -b)

谁来为我指点迷津……

[ 本帖最后由 SmallFlag 于 2008-11-4 14:15 编辑 ]

yitiaoxiaohe

我也出现过，同样的问题。羊子qq。
很迷惑。

491866227

楼主的规则真的很严格。
感觉是太严格了所以有些正常的东西被阻止了，当然只是猜测。

至于这个"，以前有人说是正常的。你自己搜索一下吧。

秘书

没有发现此问题
请问楼主用的规则是自己的还是其他人的
或者可以发上日志来

SmallFlag

今天是换上论坛里的CIS那套规则包不假。。。不过TM08的问题之前就已经存在（奇怪的路径+不能记忆）
小弟刚用COMODO不到一个礼拜，从CFPv3换成CISv3.5后初次发现该问题（当时没有开始手动制定规则）。。。

我个人感觉。。。嗯。。。。和规则定义应该。。。没多大关系。。。。

严格的规则导致问题被发现（引起弹ASK窗，发现无法记忆），但应该不是导致D+不能记忆规则问题的原因。。。猜测。。

[ 本帖最后由 SmallFlag 于 2008-11-3 23:35 编辑 ]

woai3838338

我也遇到同样的问题。

现在只有用*.dll
才能不弹出提示窗口

想要具体控制哪一个dll文件，不可能。
不知道为什么，也许是bug吧！

huai168an

多为bug吧

SmallFlag

恩。。dll文件。。。好像给了我一点启示。。

貌似普遍上都是中招在dll上，可能和OS对待dll的处理方式有关系。。
（暂且用*.dll好了。。。要是遇到DLL注入该怎么防啊。。哎呀哎呀。。。。）

但是刚才那个selfupdate.exe....恩。。。NTFS数据流。。。貌似也不是什么正常的exe啊。。。


有什么办法可以在规则里开全局例外？。。。。

比如我想要捕捉所有HKCU/LM里的SOFTWARE键支下的操作
但以software\microsoft里的操作为例外（里面的用更加细分的规则来监视）

[ 本帖最后由 SmallFlag 于 2008-11-4 00:11 编辑 ]

liuxudan

原因如下图

用NORMAL模式 不要调到最高

没有发现CIS不记规则的问题！一直很稳定


[ 本帖最后由 liuxudan 于 2008-11-4 00:30 编辑 ]

huai168an

楼主不会动这里了吧

最高模式会死人的