折腾帝注意了——-关于system32\*****的写法

accordion

你是否曾经见到日志里services加载驱动时出现system32\***的例子吗？
相信玩过services加驱的人都知道，但是这个东西似乎不怎么影响系统

我以前也这么想——————然后今天柯大的一句话提醒了我

实验如下：
1.在默认规则下，开机44秒
2.在我的规则下，禁用D+45秒
3.开D+删掉其他影响的东西（省略N字），保留services
4.给services所有加驱权限，开机44秒
5.给services白名单加驱，其他禁止，开机55秒
6.写一个system*\*允许加驱，开机45秒


所以，实验证明，如果你想控制services加驱，那么加上你的绝对路径白名单之余，凡是在system32目录下的驱动，都要另外加上system32\XXXXX的写法，那么系统就不会受影响了




至于为什么要这样，可能是驱动层的关系，本人小白，不懂，楼下高手继续解释

zxzy

accordion 发表于 2011-5-14 17:43
你是否曾经见到日志里services加载驱动时出现system32\***的例子吗？
相信玩过services加驱的人都知 ...

这个遇到了，为了这个路径我可是找了好久……  

mxf147

我的Service最大权限

jiao轩

回复 1楼 accordion 的帖子

什么意思啊？没读懂……

柯林

回复 1楼 accordion 的帖子

这个路径是不是因为显示问题——显示不全？通常是全局规则较严，卡的较多所致吧。其实这个程序直接允许它加驱也没什么吧——它能加的驱动，都在注册表里明确登记着；平常注意防范注册表驱动服务项目的修改即可。
另外，写system*\*允许加驱，应该是包括了system目录里的一些驱动（drv格式），其中包括鼠标驱动、声卡驱动、VGA显示驱动等，这些东西，系统启动时可能会用到吧，你把它拦了，难免有问题。另外，system32下，同样的，除了sys格式的，还有drv等格式的驱动。估计严厉规则的朋友，只认定了sys格式（其实从广义上来讲，任何格式都有可能成为驱动——据说，后缀名仅供参考，系统主要是认文件头来确认它究竟是哪种文件，所以有无后缀名的病毒）。

accordion

回复 4楼 jiao轩 的帖子

jiao轩

回复 6楼 accordion 的帖子

显示问题？

jiao轩

回复 5楼 柯林 的帖子

其实从广义上来讲，任何格式都有可能成为驱动——据说，后缀名仅供参考，系统主要是认文件头来确认它究竟是哪种文件，所以有无后缀名的病毒

原来如此，学习了~

jiao轩

回复 5楼 柯林 的帖子

其实这个程序直接允许它加驱也没什么吧——它能加的驱动，都在注册表里明确登记着；平常注意防范注册表驱动服务项目的修改即可。

这个我也同意，因为有些驱动加载的时间比毛豆还早，根本拦不了。RD方面着手会更好。

猴纸

学写了