services.exe死活都要自己学习规则，没人遇见过这种情况吗

chiseng

原帖由 slm513 于 2009-5-27 09:33 发表
还是不太明白你的意思的具体做法

你看下COMODO启动过程就明白了........

COMODO是在电脑正常进人桌面后才启动的,电脑正常启动的情况下,SERVERS是很多系统进程的父进程,因此,你限制SERVERS,在COMODO启动前是不生效的,
启动顺序是SERVERS ------RPC服务----cmdagent.exe进程等,

你设置的SERVERS策略要在COMODO启动后才失效,因为COMODO没SERVERS启动的早,所以,SERVERS在启动时候COMODO是限制不到,他的策略是COMODO启动后才生效的.

因此设置SERVERS要先允许一些系统必须的程序运行和必须的目录访问等等,

现在或许你试下老套的processguard 设置下SERVERS.EXE的权限试下,直接封死系统,设置EXPLORER不运行,直接不进SHELL壳,可见processguard 虽然老,但是防护的确实的强悍,因此不管好人坏人都喜好processguard .

SSM的弱点就是,COMODO好像也是,进壳前不防护,但是老套的PROCESSGUARD就可以防..........

不说了.菜鸟发点菜论不要见笑............

小静电

上图你看一下吧。不知是否能适合你的机器。

1、规则全貌



2、驱动全貌



3、fd全貌



我这里启动后基本不会学习了，如果有阻止的内容，请自己添加一下吧。

运行程序那个不用贴了吧。

[ 本帖最后由 小静电 于 2009-5-27 10:40 编辑 ]

slm513

非常感谢，这么多，看得我头都大了。还有一点疑问，你的全局规则里面驱动安装也是询问吗？
还有貌似没有RD的全貌啊

slm513

原帖由 chiseng 于 2009-5-27 10:31 发表


因此设置SERVERS要先允许一些系统必须的程序运行和必须的目录访问等等, ...

问题的关键是我根本就不清楚哪些是系统必须的程序和必须的目录

小静电

注册表那里我是用他自动学习出来的。


就两条
*\System\ControlSet???\Services\Eventlog\*

*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\*



我全局规则都是询问规则，然后阻止了命名管道，要不提示太多了。

其实这个你可以直接套用秘书那个分组，就不会那么辛苦了。还有命名管道并不需要全部，自己懒得改了，就全允许了。

[ 本帖最后由 小静电 于 2009-5-27 12:57 编辑 ]

slm513

我对命名管道不是很了解，我现在的全局规则中安装驱动是禁止，这样一来想在services.exe中设为询问似乎是不太可能了。
还有，如果你全局规则都是询问的话，其他程序的规则都要制定的很细才成，要不弹窗会很多的，为什么阻止了命名管道提示就不会太多了呢？

小静电

为什么阻止了命名管道提示就不会太多了呢？
这个你要懂得毛豆的优先级与弹窗之间的对应关系，你看看liudianshui的那个优先级的帖子就明白了。


如果你全局规则都是询问的话，其他程序的规则都要制定的很细才成，要不弹窗会很多的
我的电脑上软件比较少，而且无qq等联系软件，所以比较容易一些。