难道是规则问题..？

zxzy

无聊没事做 就用（系统目录）最基本最简单的写入检测.vbs测试下    用的是月光规则 ....结果发现system32目录下居然被成功写入了... 由于自己改过规则.所以我就重新导入了一回规则...再次测试...结果system32目录下依然被写入...怎么也搞不懂...com接口自己还从柯大那里添加了些危险的com接口..... 用的是comodov4   

abin202

wscript.exe权限问题
看名称，这是自己设置的预定义安全规则，如果这个组都给的这样的权限，那问题就大了,CMD.EXE也在system32下
看一下“预定义安全规则”里，“系统程序”的权限，我没用过大师的规则，不知道“系统程序”给了多大权限

会不会你导入规则的操作过程有问题？
另外，把system32下的程序和explorer.exe分在同一组，不是一个好主意

月夜寄相思

不知所云

zxzy

回复 2楼 abin202  的帖子


    系统程序的规则是全部允许的 ..导入规则没问题  我还试过好几回..这些分组都是月光MM分好的   搞不清楚到底该怎么办

柯林

没看清楚你的问题究竟是指：创建VBS文件没有被拦截还是运行VBS文件没有被拦截？

zxzy

回复 5楼 柯林  的帖子


    都没有被拦截，运行VBS时comodo没反应，然后我就在system32目录下看到了被写入的文件，不只是vbs，cmd，exe等文件全部被写入  

柯林

回复 6楼 zxzy  的帖子
你的意思是exe文件都被感染了？无法想象。
运行vbs，首先，你的com接口写得好的话，会提示无法运行；如果放过这一关，你还有一个关口可以补救——RD和FD规则中添加cscript.exe和wscript.exe的规则——设为阻止则自动拦截，设为监控则自己选择。

   

zxzy

回复 7楼 柯林  的帖子


    不是被感染了 是被写入了，我运行vbs没有提示什么，连个无法运行都没有，估计是因为所以system32 目录下的全权允许的问题吧。RD和FD规则中添加cscript.exe和wscript.exe的规则——设为阻止则自动拦截，设为监控则自己选择。要怎么弄？是在那条规则中加入？

zxzy

回复 7楼 柯林  的帖子


    刚刚没事做，就把explorer从系统程序组弄了出来移到了应用程序过滤下面，explorer还是全权允许，结果...没想到的是双击那个vbs居然直接弹错误..这回我晕了..如果把explorer放回到应用程序过滤上面就会不安全，放下面又不知道会不会有什么问题..

abin202

如果原规则就是这样写的，那原因就是规则问题，system32下的程序权限太大，这么设的话，wscript.exe、cmd.exe等危险的动作就是不设防
运行vbs、bat等，个人习惯不要堵死，有时会用到，让它弹窗询问就好，不要一味禁运