查看: 4030|回复: 25
收起左侧

[讨论] 惭愧~~现在还没弄懂~~企业咖啡的fd规则是怎么匹配的?~~

[复制链接]
zxc789
发表于 2007-2-13 17:34:54 | 显示全部楼层 |阅读模式
虽然用过企业咖啡好一阵了~~但是因为最近试了其他的hips~~发现很多hips的fd规则匹配都是有优先级的~~从高往低匹配~~一旦匹配成功就按该规则执行~~

但是以前也发现了咖啡的fd规则很乱~~没有分组~~后面制定的规则也会跑到前面去~(是按字母排列的吗?)~~经过hips的使用~~发现了以前都没想过的问题(似乎在咖啡区也没见人说过~)~~就是:

咖啡的fd规则到底是怎么匹配的~~是按顺序匹配还是其他?~~

举个具体的例子~~有一个规则“允许explorer.exe在c盘创建文件”~~另外有一个规则“禁止explorer.exe在c盘创建文件”~~那explorer.exe到底是允许呢还是禁止创建文件?~~



这个好像应该是很基础的一个问题~~汗~~
Loneliness
发表于 2007-2-13 18:24:03 | 显示全部楼层
规则排序貌似是比较乱,但是点击下RULES后不久可以按照文件保护。端口保护和注册表保护归类了。同时每类也会按照字母排列。。。。对话框要是能最大化就好了
“允许explorer.exe在c盘创建文件”这条规则貌似做不出来吧。
如果说一条规则中允许某程序访问,另一条规则确禁止它的话,规则重叠的部分应该是拦截的,要不漏洞可就大了
胡诌几句,呵呵
blueskyy
发表于 2007-2-13 19:06:07 | 显示全部楼层
好像就是按照里面排序的
sxingbai
发表于 2007-2-13 19:07:44 | 显示全部楼层
允许explorer.exe在c盘创建文件 不能直接做出,但可以间接做啊,呵呵
楼主试下就知道了冲突了会出现什么情况了
允许
把explorer.exe放入白名单
禁止
把explorer.exe放入黑名单
咖啡不方便之处就在于无法直接建立允许规则,但理解,所以不苛求了
sxingbai
发表于 2007-2-13 19:09:24 | 显示全部楼层
原帖由 blueskyy 于 2007-2-13 19:06 发表
好像就是按照里面排序的

无序
正因无序,规则做起来要求才低
Loneliness
发表于 2007-2-13 19:13:22 | 显示全部楼层

回复 #4 sxingbai 的帖子

要是允许建立允许规则,那就太没安全感了
zxc789
 楼主| 发表于 2007-2-13 19:41:25 | 显示全部楼层
我说得不清楚~~

如果是一个规则里面“允许(也就是不禁止)explorer.exe在c盘创建文件,不允许修改”~~
另一个规则里面“不允许explorer.exe在c盘创建文件,但是允许修改”~~

那explorer.exe对文件的操作是匹配哪条规则?~~


[ 本帖最后由 zxc789 于 2007-2-13 19:43 编辑 ]
zxc789
 楼主| 发表于 2007-2-13 19:46:07 | 显示全部楼层
好像还是没人说到咖啡的规则怎么匹配~~

我觉得像咖啡规则这样乱排的~~应该也不是从上往下匹配吧?~~不知道它具体怎么来的~~
小邪邪
发表于 2007-2-13 22:03:43 | 显示全部楼层
呵呵,当然不是按照顺序匹配的了,是按照保护范围匹配的
zxc789
 楼主| 发表于 2007-2-13 22:07:59 | 显示全部楼层

回复 #9 小邪邪 的帖子

能具体说说吗?~~或者根据那个explorer.exe来说说?~~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 08:32 , Processed in 0.151413 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表