MD规则写法的一个问题 以及建议
比如aa.exe执行权利允许 允许创建新进程bb.exe没有规则 或者bb.exe执行权利也是允许 且bb.exe在aa.exe的子应用程序里也是允许 才能完成一次aa.exe调用bb.exe吧 是这样吗?
那么要是我要求bb.exe能够被任何程序调用 即bb.exe能做任何程序的子进程怎么办??
。。。。。。。。
建议把全局规则剥离出去 另外做一个模块
即全局RD 和FD移出来 专门做一个全局模块 再加一个全局AD的设定 这样全局的子进程规则也比较好写
然后对单个应用程序做一个模块 两个树列 系统应用程序(现在部分默认权限分配不好改 最好做成可改的)和自定应用程序 自定应用程序下和现在一样可以进行分组 最好组下的应用程序也能改规则设定 当应用程序规则和组规则冲突时候 应用程序规则大于组规则
这样下来觉得更清楚一些 调理更好一些[:17:]
还有就是组规则的问题和一个小BUG PM过作者了 说会考虑的 这里不多说了
PS:最好日志里多一笔程序触发的全局规则 查起来方便[:25:] 不知道把bb.exe设为信任程序能解决吗? [quote]原帖由 [i]zixing23[/i] 于 2008-8-12 22:08 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4475296&ptid=305282][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
不知道把bb.exe设为信任程序能解决吗? [/quote]
放到信任组获取的应该是作为父进程的所有权限 好像作者不是说暂时不考虑父子级的事情嘛? [quote]原帖由 [i]紫雨星愿[/i] 于 2008-8-12 22:17 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4475408&ptid=305282][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
好像作者不是说暂时不考虑父子级的事情嘛? [/quote]
[:15:]
这个 不会吧。。
总之 我觉得MD的父子关系不太好。。。
不过这个不太可能吧 不做父子级的HIPS?[:08:]
我和作者再沟通下。。。。。 把BB.EXE加 * 的子程序里设允许。[:13:] aa.exe调用bb.exe过程
1.aa.exe执行权利允许
2.aa.exe允许创建新进程
3.aa.exe子应用程序里 bb.exe执行权利设置为允许
4.bb.exe在aa.exe规则下面 或无bb.exe规则 或bb.exe执行权利也是允许
很明显 这个“应用程序”规则和某程序下的“子应用程序”规则 重叠或者是两者都不能涉及到
建议考虑一下我说的全局规则模块方式吧
这样的话 执行权利这个就可以省去了[:01:]
PS:不过觉得还有点问题
不知道我还有哪里没有考虑到 知道的提示一下 觉得怪怪的少了点什么。。。
[[i] 本帖最后由 lsyer 于 2008-8-12 22:40 编辑 [/i]] [quote]原帖由 [i]温州城掌柜[/i] 于 2008-8-12 22:30 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4475576&ptid=305282][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
把BB.EXE加 * 的子程序里设允许。[:13:] [/quote]
这样就是bb.exe 可以调用任何 执行权限空的 或者允许的应用程序
我要的是bb.exe 作为子程序存在 允许[b]被[/b]任何程序调用[:08:]
[[i] 本帖最后由 lsyer 于 2008-8-12 22:39 编辑 [/i]] 以MD的匹配顺序
aa.exe调用bb.exe
BB.EXE > AA.EXE > AA.EXE子程序。 [quote]原帖由 [i]温州城掌柜[/i] 于 2008-8-12 22:40 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4475728&ptid=305282][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
以MD的匹配顺序
aa.exe调用bb.exe
BB.EXE > AA.EXE > AA.EXE子程序。 [/quote]
aa.exe的子程序不就是bb.exe
[[i] 本帖最后由 lsyer 于 2008-8-12 22:46 编辑 [/i]] [quote]原帖由 [i]lsyer[/i] 于 2008-8-12 22:34 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4475650&ptid=305282][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
aa.exe调用bb.exe过程
1.aa.exe执行权利允许
2.aa.exe允许创建新进程
3.aa.exe子应用程序里 bb.exe执行权利设置为允许
4.bb.exe在aa.exe规则下面 或无bb.exe规则 或bb.exe执行权利也是允许
很明显 这个“应用 ... [/quote]
我这里说的1、2、3、4
是4个要满足的条件 而不是MD翻译执行规则的顺序
具体bb.exe的规则在aa.exe下面 且执行权利是阻止 还能不能满足
我没有测试
但是从理论理解上 我觉得可以的[:11:]
手头的电脑没有装MD 不能测试
[[i] 本帖最后由 lsyer 于 2008-8-12 22:55 编辑 [/i]] 目前不能设置规则让一个程序能够被任何程序调用,现在的架构是比较严格的,除非再搞一个白名单之类的东西。 [quote]原帖由 [i]sandworm[/i] 于 2008-8-13 09:39 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4478007&ptid=305282][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
目前不能设置规则让一个程序能够被任何程序调用,现在的架构是比较严格的,除非再搞一个白名单之类的东西。 [/quote]
所以让考虑一下全局规则分开的那个想法啊
呵呵~ 其实不用白名单的
全局AD规则就OK
一 设定全局的AD拦截项 处理方式等
二 全局的子进程项 作者对于创建新进程 加载钩子和驱动设置了几个关口
创建新进程
1.父进程常规界面创建子进程选项
2.父进程创建子进程界面
3.子进程常规界面执行选项
加载钩子和驱动
1.父进程常规界面加载钩子或驱动选项
2.父进程加载钩子和驱动界面
有一个地方是阻止或询问的就从严处理,必须全允许才能允许
好像常规界面的控制一些多余,作者说是便于统一控制
如果要建立一些全局允许的规则
可以首先*规则的主界面的相关选项设为允许
然后在相关界面设置要允许的内容
而其下设置所有询问规则
不会影响安全性
当然已有规则也有调整
页:
[1]