卡饭论坛 » HIPS专区 » Malware Defender » Malware Defender 1.0RC1新建组

☆う浪子ξ 发表于 2008-7-24 12:14

Malware Defender 1.0RC1新建组

Malware Defender用户自己添加到组为什么不能在规则界面显示？非要到上方打开规则选项才行。。

是BUG还是作者故意这样的编写？

还有日志真的很不方便。。全部记录日志旁边再加个阻止记录日志的选项吧。。。


[attach]315880[/attach]

sanhu35 发表于 2008-7-24 14:03

...日志还是要独立出来

sandworm 发表于 2008-7-24 14:34

组和规则是两个概念，建立组后还需要建立一个规则来使用组。

能否说明日志不方便之处？不选记录日志的话是不会记日志的，除非是询问过的。

baerzake 发表于 2008-7-24 14:55

回复 3楼 sandworm 的帖子

新版本开发的如何了？很期待啊[:01:]

sandworm 发表于 2008-7-24 15:44

这次想把架构上的问题都改了，改动也不算小，最快下周一才能发布新版本

baerzake 发表于 2008-7-24 15:46

回复 5楼 sandworm 的帖子

哦，慢慢来，不要着急，期待星期一[:01:]

☆う浪子ξ 发表于 2008-7-24 17:15

能否说明日志不方便之处？不选记录日志的话是不会记日志的，除非是询问过的。 [/quote]



MD默认色不记录日志的。。这让用户排除起来很麻烦。。。

日志选项就只有一个笼统的全部记录选项。。很不灵活。。加上询问或拒绝记录日志选项及好了。。。

日志好像没有显示触发规则。。。再去看看

baerzake 发表于 2008-7-24 17:26

回复 7楼 ☆う浪子ξ 的帖子

有允许或不记录日志选项啊，规则设置里有啊

☆う浪子ξ 发表于 2008-7-24 17:34

回复 8楼 baerzake 的帖子

我知道有啊。。。可是你不觉得一个一个点很麻烦吗？？？全部记录日志又把允许的也记录日志了

像PS那样加个选项询问或者拒绝的记录日志那样方便很多啊。。

[[i] 本帖最后由 ☆う浪子ξ 于 2008-7-24 17:37 编辑 [/i]]

sandworm 发表于 2008-7-24 19:31

[quote]原帖由 [i]☆う浪子ξ[/i] 于 2008-7-24 17:34 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4223823&ptid=291437][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
我知道有啊。。。可是你不觉得一个一个点很麻烦吗？？？全部记录日志又把允许的也记录日志了

像PS那样加个选项询问或者拒绝的记录日志那样方便很多啊。。 [/quote]
这个建议不错，不过不一定会在下一版实现，以后会对日志管理进行一些增强。

sxingbai 发表于 2008-7-24 20:54

既然作者说要改构架也就不再多说了
如果现在允许explorer运行一个程序
看看需要多少条件
何况创建新进程和运行混在一起，模糊不清
只是不知作者打算怎样改
如果在规则显示时分主体进程 行为 操作对象 处理 说明
可能好些
一个进程如果对应于多个操作对象，操作对象能用+号收拢
而在创建规则时则用导航式，如tf
先选择进程，然后选择对象是ad类或是fd rd
然后选择具体对象及相应操作

日志现在确实不明白，似乎无规则的操作都记有日志
而全局规则也没有选择记录日志呀  

另外似乎和eq还是有冲突
刚才开机时虽然md保护关闭且不随机启动
系统进入桌面后自动重启两次
xp2+kis8+eq+sandbox3.28

sxingbai 发表于 2008-7-24 21:05

我说的允许一个程序运行需要条件不是说建立规则多麻烦
而是看多少个地方需要允许
父进程的常规界面要允许创建子进程（？）
子进程界面要加入该程序允许运行
子进程的常规界面要允许运行（？）
而父进程界面要允许父进程允许创建子进程

另外关闭后再启动的速度也较慢

zr115 发表于 2008-7-24 21:41

好像EQ要完善些！

sandworm 发表于 2008-7-24 22:12

[quote]原帖由 [i]sxingbai[/i] 于 2008-7-24 21:05 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4225763&ptid=291437][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
我说的允许一个程序运行需要条件不是说建立规则多麻烦
而是看多少个地方需要允许
父进程的常规界面要允许创建子进程（？）
子进程界面要加入该程序允许运行
子进程的常规界面要允许运行（？）
而父进程界面要允 ... [/quote]
这方面下一版本主要的改动是去掉程序的父应用程序规则,即不再需要指定父进程,其他三个地方的控制还是要保留.

1. 父进程的常规界面要允许创建子进程: 这样可以比较方便的临时改变创建子进程权限,但是不需要动已有的子应用程序规则
2. 子进程界面要加入该程序允许运行: 这个必须有
3. 子进程的常规界面要允许运行: 如果缺少这个权限,就不能限制程序运行.

另外下个版本将钩子和驱动规则放到应用程序规则中, 其他暂不作修改.

yndlyb 发表于 2008-7-24 22:46

回复 14楼 sandworm 的帖子

规则设置界面是否可以学习下卡巴2009，采用右键点击的方式显示“允许”、“拒绝”、“询问”和“是否记录日志”，现在这种三个单选框和一个是否记录日志的复选框看着比较零乱。另外，询问框里那个建立临时规则的单选框怎么是灰色的，不可以选？已经选了上面的建立规则复选框的。

sxingbai 发表于 2008-7-24 22:50

回复 15楼 yndlyb 的帖子

rd fd什么情况询问时都可以建临时规则
ad对有规则的父进程无法创建临时规则

sandworm 发表于 2008-7-24 22:52

[quote]原帖由 [i]yndlyb[/i] 于 2008-7-24 22:46 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4227083&ptid=291437][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
规则设置界面是否可以学习下卡巴2009，采用右键点击的方式显示“允许”、“拒绝”、“询问”和“是否记录日志”，现在这种三个单选框和一个是否记录日志的复选框看着比较零乱。另外，询问框里那个建立临时规则的单选 ... [/quote]
规则设置界面这样设计是为了减少点击次数, 以后看用户反应再改吧.

如果已经存在永久规则, 临时规则就是禁止的.

spiha 发表于 2008-7-25 05:22

*** 作者被禁止或删除 内容自动屏蔽 ***

baerzake 发表于 2008-7-25 06:11

回复 18楼 spiha 的帖子

先搞好构架最重要，基础打不好就完了
AD功能以后随时都可以加强

spiha 发表于 2008-7-25 07:17

*** 作者被禁止或删除 内容自动屏蔽 ***

查看完整版本: Malware Defender 1.0RC1新建组