系统文件夹路径的环境变量

cgzn

昨天测试一个程序，D+有拦截创建文件的弹窗，但是我发现弹窗中写的路径是\systemroot\system32\ XX.sys。本来system32下面的文件我直接block的，不应该出现拦截弹窗的。而我的保护文件中写的 %windir%\system32\* ，但是没有起作用。出现弹窗是因为*.sys的保护起了作用。

所以各位如果想保护系统目录下的文件，最好再加上一条*systemroot\*，要不然很有可能就拦截不到了。



大家用这个程序试一下就知道了。PS:不是所有的程序都是如此，似乎大多数系统程序才有这样的拦截路径。比如cmd，explorer等
是不是大家都没有感觉到explorer在修改系统目录的文档时都没有提示？估计都是这么漏掉了！

[ 本帖最后由 cgzn 于 2009-2-4 16:16 编辑 ]

梦思缘

好像和规则优先级有关的吧 或者那条.SYS比其他规则的优先级要高
再说一下吧 我没有用毛豆只是用EQ的 你的规则具体的没出来 所以不好下结论的

[ 本帖最后由 梦思缘 于 2009-2-4 12:39 编辑 ]

cgzn

不带这样随便猜测的啊，要试过才有发言权的，呵呵

*.sys是询问，system32是拦截，拦截的优先级要高于询问的

所以不存在楼上说的问题

[ 本帖最后由 cgzn 于 2009-2-4 10:13 编辑 ]

Magis

原帖由 cgzn 于 2009-2-4 10:07 发表
不带这样随便猜测的啊，要试过才有发言权的，呵呵

*.sys是询问，system32是拦截，拦截的优先级要高于询问的

所以不存在楼上说的问题

lz my protected files里保护的是什么？一直以为只有添加“*”才会提示“/systemroot”。我觉得这个情况有理由好好分析下，lz能不能上点图，如果属实，d+通配符识别的优先级未免复杂了点....甚至混乱
BTW:第一句话说话风格很亲切reminds me of~~~~

小静电

具体看图吧。

小静电

用的是抓抓那个测试程序。

小静电

又测了一下，保护文件中去除c:\* 结果一样，图就不上了。

zhyun1117

原帖由 cgzn 于 2009-2-4 09:52 发表
昨天测试一个程序，D+有拦截创建文件的弹窗，但是我发现弹窗中写的路径是\systemroot\system32\ XX.sys。本来system32下面的文件我直接blcok的，不应该出现拦截弹窗的。而我的保护文件中写的 %windir%\system32\* ， ...

用comodo的测试工具时 跟你一样
block中写成*.sys不提示了 奇怪的家伙

jony327

在系统启动过程中我遇到过同一路径的不同表示法不能互认的问题。现在看来可能不仅如此，在软件运行时也可能有此情况。想积累一些问题后上报，也建议大家积极上报。

cgzn

不是每个程序都是拦截这样的路径

ls的ls提供的clt.zip 就是这种情况。