关于楠序列规则的一个小问题

hanghuo

我一直用楠版的全局禁运规则，今天在这个帖子里下载了毛豆完全卸载工具，文件名IS File+Registry Cleaner.bat，文件类型Windows 批处理文件 (.bat)。后来不希望的事情便发生了，在d+为疯狂模式的情况下，文件保存位置为桌面，点击压缩包内的这个文件，既然能够直接运行。我便试着找出规则中的漏洞，后来发现是核心目录%windir%\*这条放过了它，将此条规则移除，运行文件被COM接口阻止，日志记录的是C:\Windows\System32\cmd.exe访问COM接口，并没有拦截此文件IS File+Registry Cleaner.bat日志，按理来说应该直接拦截IS File+Registry Cleaner.bat这个文件的动着呀，所以我推测毛豆还是放过了它的一些动作，如果这个程序是一个病毒，那么情况可能就不妙了，根据这个情况，说明楠序列规则在Windows 批处理文件 (.bat)这个地方还有要补之处。由于我是电脑方面的小白，不清楚我的推理是否合理，也许完全是一个错误，还请大家多多指正

mxf147

Bat文件执行需要调用cmd，如果想彻底拦截，在Explorer和相应的可执行控制中阻止bat文件

hanghuo

回复 2楼 mxf147 的帖子

我的疑问就在于，它在调用CMD的时候就应该被拦截呀

mxf147

回复 3楼 hanghuo 的帖子

这是规则问题，虽然调用Cmd没有拦截，但bat内容没有执行

hanghuo

回复 4楼 mxf147 的帖子

回头在研究研究，谢谢

柯林

hanghuo 发表于 2011-5-16 23:16
回复 2楼 mxf147 的帖子

我的疑问就在于，它在调用CMD的时候就应该被拦截呀

按正常说法，应该不存在bat调用cmd这回事，正确的说法恐怕应当是：当程序【此例是explorer】需要执行bat文件时，系统根据后缀名bat，按照文件类型里面设置的打开此文件所用的程序，调用cmd来打开bat文件以执行里面的内容。
拦截上来说，可能毛豆做得还不够好。如果是在组策略里，bat与cmd是可以分开的：设置禁运*.bat，那么任何bat文件直接拦截；如果有特例放过某个bat文件，那么再交予cmd执行，如果cmd又被禁运，那就彻底没戏。反过来说，管你bat还是cmd后缀，如果cmd.exe禁运，没东西来解释执行，一样作废。