对于毛豆我有一些的疑问…………

jiao轩

首先是，C:\Windows\system32\catroot（cartoot2）是什么文件夹？经常有程序去修改里面的内容…………然后是PhysicalDrive0  直接磁盘访问后面的这个数字是代表什么意思？
最后就是关于钩子的问题：是金山卫士被COMODO拦截不让金山加载DLL？还是COMODO不让金山给别人钩子？或者是保护金山不让他被人装钩子？很混乱…………

最后就是想确定一下窗口与消息钩子这一项，必须是全局钩子才会提示吗？给单个程序装钩子不会提示？（用毛豆连这个还没敢确定真是惭愧………………）
最后多谢各位大虾

zapple

问题1，纯搬运的
C:\WINDOWS\system32\CatRoot
和
C:\WINDOWS\system32\CatRoot2

CatRoot文件夹中包含了安全编录文件

CatRoot2 文件夹中包含了编录数据库文件

你也许能够删除这两个文件夹以及其中的内容. 这个就取决于你的系统了.

当你安装某些第三方程序时, 可能会需要某些特定的 .CAT 文件存在. 这些 .CAT 存在于以下文件夹中:
C:\WINDOWS\system32\CatRoot\{F750E6C3-38EE-11D1-85E5-00C04FC295EE}

有些人可以将其删除而不出现任何问题. 而其它人就不行



问题2
PhysicalDrive0表示本机的物理驱动器0，即是第一个硬盘；
PhysicalDrive1表示本机的物理驱动器1，即是第二个硬盘，以此类推。



问题3
日志表示KSafe.exe开启了“窗口或者事件钩子”的保护，

按LZ的话来说就是“COMODO保护金山不让他被人装钩子”




问题4
凡是钩子都会提示

jiao轩

回复 2楼 zapple 的帖子

感谢~~但是问题2那里出现过678这么多啊………………另外第一个问题还是不太懂…………这动作危害应该不大吧…………安全编录文件和编录数据库文件是什么意思啊…………

fanta0330

按事件分，钩子有键盘钩子、鼠标钩子、外壳钩子、日志钩子、窗口钩子等。
按范围分，钩子有系统钩子和线程钩子。
看图上，应该是毛豆阻止金山对System32挂钩子吧。shell是外壳钩子，控制应用程序的开关，系统钩子的装载需dll，金山的这个应该是个系统钩子吧。不知道解释的对不对，跟楼主站成一排，坐等大虾指点。

zapple

回复 3楼 jiao轩 的帖子

如果你有8个硬盘，那就不用担心；
如果没有，可能是“被拦截的文件”在作怪，应该也不用担心

第一个问题，个人认为如果是系统补丁或者一些必须安装的系统软件（如微软的DirectX）修改，应该放行
这个问题比较专业，我等菜鸟还是等高人来解答吧

jiao轩

回复 4楼 fanta0330 的帖子

挺厉害的嘛………………你的意思是阻止金山加载DLL？

jiao轩

回复 5楼 zapple 的帖子

厉害，确实是拦截文件！！！当时我点了阻止~~~123456789几乎一个不少我经常加你在毛都区转，望加好友

fanta0330

回复 6楼 jiao轩 的帖子

个人看法而已，可能是金山需要对操作系统进行访问，把钩子挂到system32上，达到保护系统的目的，潜入到操作系统外层的shell时，正好被毛豆逮个正着，毛豆觉得这事儿很重要，即便是金山，他也得告诉你一声，让不让金山挂这个钩子你说了算，你点了拒绝，所以产生了日志“拦截钩子”。

jiao轩

回复 8楼 fanta0330 的帖子

呵呵，也是，我再考究一下，看看谁说得对，多谢了~~~

柯林

钩子，看你的规则怎么设置，才好说是某某安装钩子被拦截还i是某某下钩子到某某上被拦截。
按楼主的截图来看，正常情况应该解读做——金山卫士安装系统钩子被毛豆拦截。应用程序安装系统钩子，一般是最正常的行为，大部分规则直接放行system32下的dll钩子。