卡饭论坛 » HIPS专区 » 4月各版本与3月版本使用比较

Devy 发表于 2008-5-16 16:20

4月各版本与3月版本使用比较

花了几天时间，把从4.19到4.28的各个版本又都测了一遍，这次测的主要目的是对比新旧版本在程序规则上的变化。

题外话，这几天的测试中找了4、5台机器，全新安装操作系统（因只有XP SP2的盘，所以其它操作系统未测），在保证干净环境下进行测试，在将svchost.exe设为信任的情况下4月各版本都能正常登录，未蓝屏。（这句话好象没什么意义来着？）

好了，言归正传。

[b]比较及测试结果如下[/b]：

1、弹框提示创建规则时，无论选“该程序所有XX行为”还是“该程序本次XX行为”，都只能创建本次行为的规则，严重时在再次触发时蓝屏
2、涉及系统调用的程序在根据提示创建了规则的情况下，仍然蓝屏
3、通配符除在运行程序、改写文件、创建进程等类规则中有效外，在调用API、加载OLE、安装窗口钩子等类规则中失效
4、信任程序在操作S3进程时，S3有时拦截有时没有。比如我的Dprm。另外，我的Dprm设为默认任务管理器在S3下失效
5、各程序在新旧版本S3中弹框内容及生成的规则不尽相同，减少的如：旧S3报提权的新S3不报或报调用API：c:\windows\system32\aclui.dll，旧S3报内存操作、记录键盘的新S3不报，旧S3报调用API：Shell32.dll的新S3不报等，有些旧S3报安装窗口钩子（到自身）的新S3不报，增加的主要在调用API（很多）上以及系统调用上
6、弹框报系统调用的，即使生成了规则，程序也经常会蓝屏
7、S3旧版已经有点拖速度了，感觉新版更拖
8、在SBIE沙盘中打开程序，无论是什么程序，程序界面都出不来，系统响应变得迟缓，CPU占用100%，强行结束程序后恢复正常

[b]弹框创建规则时蓝屏的程序[/b]
1、经过调整规则后解决的有：Directory Opus、Directory Opus打开预览(docsvw32.exe)。DOpus版本9.1.0.6
2、仍未解决，启动即蓝屏的有：腾讯TM，WinRAR（打开后稍后即蓝屏）。TM版本2007beta1，WinRAR版本3.7.1

[b]使用中或退出时蓝屏的程序[/b]（S3无弹框提示）
1、Directory Opus打开预览(docsvw32.exe)：在预览不同类型文件时偶尔蓝屏，在调用文件默认打开程序（OLE）预览文件后关闭预览窗口时
一定蓝屏，在调用文件默认打开程序（OLE）预览文件然后切换到其它文件进行预览时一定蓝屏
2、Dprm：退出时偶尔蓝屏

[b]补充建议[/b]
1、应用程序控制规则中程序顺序应可以调整，而不是按路径顺序自动排序。在现在已支持对通配路径程序设定规则的情况下，通配路径程序规
则应该有更高的优先权。虽然按路径顺序排序不影响通配路径程序规则的优先权（?、*的字符顺序先于字母顺序），但很不便于管理。
2、系统调用、调用API规则的细粒度不够，虽然弹框中有提示调用的具体信息，但生成的规则只能是简单的“允许/阻止 系统调用”、“允许/
阻止 调用API XXX文件”。使得系统调用一开全开，一关全关，不能指定具体的调用内容，而API只能指定到API所在库文件，不能进一步定义
到API函数，是不是说我允许了调用某个文件中的API函数，那这个文件中所有的API函数都可以调用了呢？那如果该文件中既包含允许的API又
包含不允许的、高危的API呢？这不会使得有漏洞可钻，变得不安全了呢？

[b]更多建议[/b]参见：
1、[建议]Devy建议及BUG反馈贴（改进建议）：[url=http://bbs.netchina.com.cn/viewtopic.php?t=992]http://bbs.netchina.com.cn/viewtopic.php?t=992[/url]
2、[讨论]Devy建议反馈讨论贴（S3内测专版，需内测会员账号）：[url=http://bbs.netchina.com.cn/viewtopic.php?t=1061]http://bbs.netchina.com.cn/viewtopic.php?t=1061[/url]

附件为相同系统环境下3月份版本与4月份版本为机器内各程序生成的规则（当然里面有一些自定义的规则，但不影响比较）

211 发表于 2008-5-16 22:50

支持一个先  希望中网早点看到~


Devy 辛苦了！

Devy 发表于 2008-5-17 03:21

后记（补充说明）：
1、上述问题在4月各版中均存在）。
2、经反复试验，凡涉及“系统调用”的程序，运行均导致蓝屏。
3、勾选 S3设置－>应用控制－>对以下操作不再询问予以放行－>系统调用 能够解决部分如Directory Opus打开预览(docsvw32.exe)、WinRAR造成的蓝屏问题，但运行腾讯TM依然蓝屏。
4、进一步将 S3设置－>应用控制－>对以下操作不再询问予以放行 中末三项全部勾选上，TM运行不再蓝屏，但是登录后系统假死，且无法结束其进程，必须强行重启电脑。
5、另发现不管设置如何，TheWorld打开几个网页后系统会假死，且无法结束其进程，须强行重启电脑。（未将TheWorld设为信任）。

一力破十会 发表于 2008-5-17 10:48

LZ尽力了!敬佩你对S3的执着!你的努力大家都看得到[:28:]
建议S3把给你发工资,提上工作议程![:01:]  
奈何,
S3不配合,巧妇难当!
一句"S3不是我们目前工作重点",让我彻底凉了心...
..............(此段留白,无语中)
..............
预祝LZ早日上任!
                                                               曾经的S3 Fans

不正确 发表于 2008-5-19 01:40

s3这么多蓝屏啊。。。。。EQ一个测试版我都用得挺好啊，好像这么久还没死过。

showsaker 发表于 2008-5-20 21:08

我还在用到 3.5版本的S3

查看完整版本: 4月各版本与3月版本使用比较