问一个规则方面的问题，咖啡老鸟进。

zhriki

今天看见咖啡见红，于是看报告记录，看见有这么一条： 2010/10/3    12:42:09    已由访问保护规则禁止     NT AUTHORITY\SYSTEM    C:\Windows\system32\services.exe    C:\Windows\System32\sc.exe    用户定义的规则:FD 气流19 禁止调用sc.exe     已阻止的操作: 执行

现在不知道该不该把services.exe添进排除里面，因为我看这条规则里，阻拦的路径就包含有system32这个系统文件夹！而services.exe就在system32里。

moreo

请问lz是如何操作触发的这个拦截，如果不是很频繁，就不用管它

zhriki

回复 2楼 moreo  的帖子

我也不知道是怎么触发的，记得好像也没操作什么的，看见咖啡红了，就去打开记录看，就看见上面的这段记录了！估计应该是系统自己有什么动作吧。我把services.exe已经排除到里面了！不知道该不该排除。而且这个进程是System32里面的，这个规则本来就阻止System32，所以现在不知对还是错。
   

moreo

回复 3楼 zhriki  的帖子

无所谓，
不过如果没有什么大的问题，还是不要排除了
   

72380656

没用这个规则

灰鹰

这条规则用不用都无所谓，禁止篡改或仿冒sc.exe还好些

大猫熊

我估计作者本意是防止某些网马利用系统漏洞调用这个文件吧。。。我反正没有加。。。

无欲无求

今天看见咖啡见红，于是看报告记录，看见有这么一条： 2010/10/3    12:42:09    已由访问保护规则禁止     ...
zhriki 发表于 2010.10.3 13:48

日志一关，爱杂地杂地；