为啥排除了还见红！！！！！！！！

显示全部楼层 · 发表于 2011-4-8 10:39:33

高人帮忙看一下这两条怎么排除，我已经排除了还是见红！！快抓狂了！

用的是http://bbs.kafan.cn/thread-896928-1-1.html的规则。
2011/4/8 10:14:57 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System C:\Windows\System32\drivers\spsys.sys 用户定义的规则:F-15 限制非信任区域可执行文件执行（文件）已阻止的操作: 执行
2011/4/7 21:39:02 已由访问保护规则禁止 NT AUTHORITY\SYSTEM System C:\System Volume Information\Syscache.hve 用户定义的规则:F-15 限制非信任区域可执行文件执行（文件）已阻止的操作: 读取

显示全部楼层 · 发表于 2011-4-8 10:41:36

嗯，SYSTEM的排除在8.7 patch4和8.8上有一些bug，建议把包含的进程写成*.*，等bug消除后再改回来。

显示全部楼层 · 发表于 2011-4-8 11:16:49

回复 2楼 sandyyangjie 的帖子

怎么写～
C:\Windows\System32\drivers\*.* C:\System Volume Information\*.* 这样？安全性会降低吗？另外我搞不懂Syscache.hve 这是啥进程啊～

显示全部楼层 · 发表于 2011-4-8 11:44:50

本帖最后由墨池于 2011-4-8 11:52 编辑

回复 3楼刘晋鹏的帖子

错，把要包含的进程 * 改成*.*，排除不变。

显示全部楼层 · 发表于 2011-4-8 11:56:44

明白了～我试试。

显示全部楼层 · 发表于 2011-4-8 11:59:42

8.7 patch4也有这个问题？

显示全部楼层 · 发表于 2011-4-8 12:00:59

另外：System Volume Information是系统自动备份还原文件夹，为了安全，这里应该是不允许执行的，读取应该无害。

显示全部楼层 · 发表于 2011-4-8 14:19:14

回复 6楼 bighead 的帖子

我记得好像是。。。但不太确定。。。

显示全部楼层 · 发表于 2011-4-8 22:04:23

见红说明起作用了

[求助] 为啥排除了还见红！！！！！！！！

本帖子中包含更多资源

评分