关于程序的文件拦截和My Protected Files的关系

cgzn

很奇怪，如果是别的文件，my Protected 里面没有，仅仅在policy里面设置block似乎是没有保护效果的。

但是命名管道却有效果，至少在日志里面是这样显示的！这是为何？

大家有空闲的也做下试验，看看是不是这样？

ps：我用的是最新的beta版。

kain_will

你试试把fd namedpipe 从my protected block里面去掉看看还有没有这个日志？
如果没有了，说明确实是这条规则挡了

[ 本帖最后由 kain_will 于 2009-1-20 19:42 编辑 ]

airforce9527

规则起作用了，我的my protected block里没有命名管道

kain_will

原帖由 airforce9527 于 2009-1-20 20:03 发表
规则起作用了，我的my protected block里没有命名管道

你的没有 namedpipe？ 那么就是说是其他规则挡了？
给张图吧。或者谁教下怎么触发命名管道的规则（本人菜鸟这个管道不太懂）。

[ 本帖最后由 kain_will 于 2009-1-20 20:31 编辑 ]

cgzn

my protected 里面没有命名管道，仅仅在d+保护策略的所有程序block里面有命名管道，保护日志依然有显示

kain_will

个人感觉很有可能是其他的规则挡住了所以会有日志
我刚才自己试了（好容易找到winrar原来会触发\Device\namedPiped\wkssvc）
只是将\Device\namedPiped\wkssvc加入all app block 而my protected files 里面不加（为了实验我全清空）





然后打开winrar




日志里面什么都没有




然后把\Device\namedPiped\wkssvc加入到 my protected 里面




然后在开rar 图就不show了
看日志



综上，秘书的规则有可能是其他规则挡住的
（试验仅供参考，拒绝火药，欢迎拍砖）
饿不会图文混排。。。这个。。。

[ 本帖最后由 ubuntu 于 2009-1-21 13:40 编辑 ]

cgzn

我的winrar不拦截wkssvc，但是lsarpc还是拦截的（保护文件里没有，但是程序block里面有）

周勃

到底是怎么回事呀？
也没个权威出来讲讲。

秘书

简单的说是一个保护的逻辑关系

在保护文件组里添加是保护命名管道

在自定义规则组里blcok是针对全局或者个别规则 阻止

是保护与被保护的逻辑关系

周勃

这样呀？终于明白了。
那看起来，还是秘书的合理些哦。