关于企业版的规则排除问题的一点解释

显示全部楼层 · 发表于 2010-8-6 13:58:03

有些人可能会注意到,在我过往所发布的规则中,通常排除格式是为--------?:\Program Files\**\*.*
这是因为?:\Program Files\**\*.*所表示要排除(信任)的对象,只包括该目录下带有后缀名的文件,并不是排除了所有文件
而使用?:\Program Files\**这样的排除格式虽然是简便一些,但由于是排除了该目录下的所有对象,规则的安全性也因此降低了.

在过往的测试中我们发现,某些病毒或流氓软件,会在某些特定的重要目录中创建一个无后缀名的有害文件,然后通过运行该文件(无后缀名的)来进行某些破坏
而像?:\Program Files\**\*.*这样的排除格式,则能抑制,消除这种可能会出现的,利用无后缀名文件来进行破坏的行为
因为它会只允许信任区中那些带后缀名的,看起来相对"不那么可疑的文件"正常运行

反观?:\Program Files\**此种格式,由于对所有文件的执行都不加限制,所以当一个可疑的,无后缀的文件被加载并将要执行某些破坏时,此排除法就不能达到较好的阻止作用

显示全部楼层 · 发表于 2010-8-6 14:16:30

终于坐到版主的沙发了

显示全部楼层 · 发表于 2010-8-6 14:30:03

过来支持下，学习了。

显示全部楼层 · 发表于 2010-8-6 15:12:45

支持版主哈。。

显示全部楼层 · 发表于 2010-8-6 15:20:25

看到邪版的解释，又了解到了以前没有注意过的东西呢~

显示全部楼层 · 发表于 2010-8-6 15:30:00

本帖最后由 siuweh 于 2010.8.6 15:43 编辑

又见到版主了，支持！虽然现在改用MSE了，也时常回来看看。毕竟用咖啡已有四年多了，多少也有点眷恋......，在这里受益良多。

显示全部楼层 · 发表于 2010-8-6 17:02:08

老大出山了，先顶再看

显示全部楼层 · 发表于 2010-8-6 17:29:52

不看内容,版主的帖先顶了再说~~~~

显示全部楼层 · 发表于 2010-8-6 18:06:11

老大居然发贴了！！！

显示全部楼层 · 发表于 2010-8-6 18:27:35

讨论一下，假如加上规则，禁止往program files里面写任何文件（目标文件写?:\Program Files\**），是不是可以阻止这种无扩展名有害文件的产生呢？

[其他相关] 关于企业版的规则排除问题的一点解释

评分