关于my protected files的疑问

fang520hui

在本版块精华贴的
《和我一起磕毛豆吧！---ComodoV3安装使用一条龙介绍及讲解》中有一段话这样描述my protected files的功能
”My Protected Files受保护文件

这个功能可以防止你要保护的特殊文件和文件夹被未授权程序非法修改。这个可以防止各种病毒修改受保护文件，也可以防止非常有价值的文件被偶然或蓄意的破坏。当一个文件是受保护文件时它依然可以被访问阅读，但是不能修改。例如host文件(c:\windows\system32\drivers\etc\hosts).这种系统重要文件就应该加入到受保护文件中。这样一来就可以只允许程序读取，但不能修改，一旦尝试修改就会被comodo挂起并报警。“

但是今天做了这么一个测试:  在E:/tmp/下创建一个test.txt和init.bat文件
test.txt为空文件,  init.bat中内容如下
@echo off
echo "aaaaaaaaaaaaaaaaaaa">> E:/tmp/test.txt

然后在comodo中将test.txt加入my protected files,见附件
未作其他特殊设置
然后运行init.bat,结果发现test.txt被修改，内容为aaaaaaaaaaaaaaaaaaa
这么说，即使test.txt加入my protected files中，也可以被其他程序修改了？
那如果init.bat中含有恶意代码呢？

夏春秋

My protected files的优先级比Computer Security Policy低，Computer Security Policy的优先级又比My Blocked Files低
这个和EQ类似
放入My protected files里的文件，可以被Computer Security Policy里所设置的程序修改，
如果把测试txt文件放入My Blocked Files就不怕修改了，关了Comodo都可以

[ 本帖最后由 rushmore 于 2008-11-5 22:45 编辑 ]

fang520hui

Computer Security Policy  中没有定义test.txt的访问权限，那么test.txt应遵循all applicatons的限制条件，即对所有的操作，action 均为ask
但是实际上运行init.bat时，没有任何提示！

fang520hui

加入到my block files后，已证实可以防止修改
但my protect files的功能岂不是无用了？

Elcondorposa

C:\WINDOWS\SYSTEM32\cmd.exe Modify File E:/tmp/test.txt?

夏春秋

是cmd的访问权限

cgzn

cmd的保护文件访问权限，test.txt是不是已经成了例外规则了？

cgzn

估计你开的clean pc mode，cmd默认是可以学习规则的。
如果开了safe mode，就会弹出询问框了

Magis

Rushmore大大的意思是cmd修改文件的权限要限制，lz的规则可能设置的不是ask

fang520hui

不好意思，各位，已找到原因了：  原来在rules中有两个cmd.exe,一个路径为%SystemRoot%\system32\cmd.exe,  另一个路径为C：\windows\system32\cmd.exe,两个的rules设置不一样，所以不生效。把其他一个删去， 另一个的protecd files 中block applications中加入test.txt，则运行init.bat就会失败了！谢谢!