卡饭论坛's Archiver



sxingbai 发表于 2008-8-11 21:58

新手求助

有一段时间没用中网了,新版发布后,用了一下,有几点疑问。
1.默认的对象保护规则和当前加载规则似乎还都不是默认的规则,如一个新进程创建可执行文件会提示,但对象保护规则中并没有
2.询问框中出有该程序的所有行为和本次行为弄不清楚区别,分别用这两者创建规则,似乎完全相同
3.用apt测试,发现测试二和测试三等用消息终止进程的,没有阻止但仍然通过,难道中网内置了拦截?

kuririn 发表于 2008-8-11 22:05

放行模式可看到默認規則

Devy 发表于 2008-8-11 22:07

S3内部在对一些高危操作有内置拦截规则。

sxingbai 发表于 2008-8-11 22:09

回复 2楼 kuririn 的帖子

怎么看?又没日志

sxingbai 发表于 2008-8-11 22:09

回复 3楼 Devy 的帖子

第一和第二呢

Devy 发表于 2008-8-11 22:20

第一个问题,应该也是因为有内置处理规则的原因。
第二个问题,我也说不好,就实际使用来看,S3似乎在拦截时机和拦截内容上都和之前有变化,比如拦截量感觉有减少,一些以前拦的现在不拦了(也不能说不拦,应该说不报了),一些以前没报的现在冒了出来,而且很多操作都直接报的函数调用等。在生成的规则上也和以前有变化。
总之感觉有点不太适应。

sxingbai 发表于 2008-8-11 22:32

回复 6楼 Devy 的帖子


所以我说求助,是怕没弄清
如果没有合理的说法
我觉得这些地方中网的处理有点欠妥

Devy 发表于 2008-8-11 22:56

嗯,关于内置拦截处理的情况,需要S3给出个一览子说明。比如我<关于Image File Execution Options的限制>这个贴,没提S3也不会说。
还有对一些行为的弹框报函数调用也不妥,很多用户连中文动作信息都不一定看得明白,更不要说知道那函数是干嘛的。
对了,我用的情况感觉现在的S3默认给explorer.exe的权限比以前大了很多,你要不要测一下?

sxingbai 发表于 2008-8-12 07:34

回复 8楼 Devy 的帖子


只是朦胧有感觉
比如似乎exp的文件操作好像没有限制
其它我不清楚

中网S3 发表于 2008-8-12 07:43

[quote]原帖由 [i]sxingbai[/i] 于 2008-8-11 21:58 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4464286&ptid=304614][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
有一段时间没用中网了,新版发布后,用了一下,有几点疑问。
1.默认的对象保护规则和当前加载规则似乎还都不是默认的规则,如一个新进程创建可执行文件会提示,但对象保护规则中并没有
2.询问框中出有该程序的所有 ... [/quote]
 尚没有看明白第一条是什么意思,本次行为和所有行为的处理在以前某个版本存在一个bug,因为无意中屏蔽掉了一行代码,导致询问时添加的规则,所有行为应该使用“*”客体对象,却给出具体的客体。这个问题我好像已经改过来了。
S3没有内置多少规则,只是一些危险的行为不想让用户决定,比如类似于Image File Execution Options注册键、和autorun.inf  相关的文件和注册键值,以及直接文件读写磁盘的操作。函数调用的问题值得考虑,这是以前为了应付那些稀奇古怪的测试工具不得已的下策,比如拦截icmp.dll的某个函数。如果我在防火墙中内置不允许发送icmp请求的规则,却无法询问,如果不拦截这个dll这个函数,icmp包就会把数据发送出去,测试就会无法通过。但是形如icmp.dll的函数何止千万,没有办法也只好在getprocaddress上做文章了,这只能应付测试,却不实用,没有几个人对调用函数都了如指掌。

中网S3 发表于 2008-8-12 07:51

explorer进程的确比较难处理,这个进程规则太严非常容易让任务栏卡死。但是很多测试程序leaktest大都是围绕它展开,动不动就是让cmd.exe发起一个explorer.exe [url]http://www.xxxxx.com/?user=a&password=b[/url]的进程,如果你让它成功运行了,即便你把网线拔掉,它也会认为你没有通过。另外explorer.exe和svchost.exe是autorun.inf自动运行的发动机,同时也是用户文件操作、运行程序的寄主程序。放行还是阻止,询问还是预置规则,高级用户是否顺手,初级用户能否搞定,都是需要考虑的问题。
     安装完以后,都要学习一遍,或者弹框一轮,是否多余。当然这些问题只要提出来,我们肯定会认真考虑的。

sxingbai 发表于 2008-8-12 10:25

回复 10楼 中网S3 的帖子

一、8.8版我还没试,但8.7日版所有行为仍然等同于本次
二、内置规则也不错,只是要考虑是否会影响正常的操作,另外在规则中最好显示,但可以不允许用户修改
三、函数调用确实增强了s3的功力,不错,不希望去掉,但最好对拦截函数有较详细的说明
四、s3的保护能力已经相当不错,主要应该加强易用性,我前面提的向md学习询问界面,希望考虑。目前md的特色主要在于询问,支持临时规则,支持加入已有组,支持对象的自定义,但规则结构没有s3清晰

yager 发表于 2008-8-12 11:03

8.8版出了几天了就没人试用么?

sxingbai 发表于 2008-8-12 11:15

回复 13楼 yager 的帖子

我是估计改动很小
所以懒得再装

页: [1]

Powered by Discuz! Archiver 6.1.0  © 2001-2007 Comsenz Inc.