没啥提,催催
作者答应加入询问时添加子进程到组,有空赶快加上吧,小功能,但方便很多。其它没啥好说了,呵呵
如果再有空,多想想hips如何解决程序安装问题吧,不会真的是不能解决的软肋吧[:11:]
至于作者说过的长远目标,能自动处理询问,倒想不来会怎么做?[:15:] 最近忙着升级RW以及看奥运比赛,所以MD还要等几天[:01:]
添加子进程到组我也没答应一定要加吧,记不清了[:15:] 现在的AD规则,如果子进程不需要特殊权限的话,不用创建规则,如果需要的话会询问,可以在询问的时候再加到组,所以我觉得这个功能好像没什么用。
安装的问题我也会再考虑。自动处理询问就是指搞智能HIPS,太长远了呵呵,不一定会向哪个方向发展,所以ND可能是以后主要的实现目标。 加上方便性就体现出来了
其实我是想通过它实现变相的继承,手动继承,哈
加不加是你的事,提不提是我的事,尽力就无悔,哈哈
[[i] 本帖最后由 sxingbai 于 2008-8-17 23:01 编辑 [/i]] 父进程加组和子进程加组
主要区别是因为有些规则我不想用全局
只在某个组中
所以未必会触发
算了,如果不加
我就使用运行询问得了
谁让咱不是作者[:10:] 一试反而糊涂了
原来说的只是想当然
“作者对于创建新进程 加载钩子和驱动设置了几个关口
创建新进程
1.父进程常规界面创建子进程选项
2.父进程创建子进程界面
3.子进程常规界面执行选项
加载钩子和驱动
1.父进程常规界面加载钩子或驱动选项
2.父进程加载钩子和驱动界面
有一个地方是阻止或询问的就从严处理,必须全允许才能允许”
本来以为对所有程序的执行权限设为询问
未知程序运行就会询问,谁知没有,仍然只有创建新进程询问
无奈尝试把explorer创建子进程的所有规则删除
却竟然无法运行程序了
怪,但主界面的创建新进程的权限是允许啊
糊涂了糊涂了 执行权限允许有用,阻止有用,询问没用
睡觉 我好像看不太懂,先睡觉了[:01:] [quote]
本来以为对所有程序的执行权限设为询问
未知程序运行就会询问,谁知没有,仍然只有创建新进程询问
无奈尝试把explorer创建子进程的所有规则删除
却竟然无法运行程序了
怪,但主界面的创建新进程的权限是允许啊
糊涂了糊涂了
[/quote]
把explorer创建子进程的所有规则删除,设一条“创建所有子进程时询问”的规则呢?
回复 8楼 Devy 的帖子
这一条默认不是有吗我所删的就是它
和你的说法不同而已
它起的作用就是explorer创建进程时询问
就像s3的发起
而md对程序明明还有个执行控制
照理如果设*执行为询问
被发起的程序程序运行时应该有询问才对
但不会,只有允许和阻止起作用 其实说得这么复杂没啥意思
就问作者
一个进程运行时能不能弹出询问?
即a程序将运行,是否允许的弹框
而不是b程序将创建一个新进程a的询问
至于另一个问题
创建子进程中的*规则与常规界面中的创建子进程的关系先不管了 [quote]原帖由 [i]sxingbai[/i] 于 2008-8-18 06:30 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4526793&ptid=308770][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
其实说得这么复杂没啥意思
就问作者
一个进程运行时能不能弹出询问?
即a程序将运行,是否允许的弹框
而不是b程序将创建一个新进程a的询问
至于另一个问题
创建子进程中的*规则与常规界面中的创建子进程的关 ... [/quote]
当然可以啊,应用程序的执行权限设置询问就可以了。不过这里有特例,如果执行权限是询问,但是 选项->规则 中如果设置了允许签名的程序运行的话,通过签名验证的程序是直接允许执行的。
至于子应用程序规则,[b]如果一条规则都没有[/b]就是允许所有的子应用程序,否则如果任何子应用程序规则都匹配不上(就是删除了*规则的情况),就只能阻止了。
回复 11楼 sandworm 的帖子
第一点你试了吗?考虑到规则可能没有立时生效,我试了好几次,且关了重启,但一直没见运行提示,只有创建子进程提示第二点我是在explorer规则中把创建子进程界面的中的*规则删除,还有一个允许创建记事本的规则,这时exp不能创建其它进程 哪位用md能弄出运行提示的,麻烦帖个图[:13:] 第二点我再试下
这个规则逻辑还真难搞清楚[:05:] [quote]原帖由 [i]sxingbai[/i] 于 2008-8-18 10:14 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4527923&ptid=308770][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
第一点你试了吗?考虑到规则可能没有立时生效,我试了好几次,且关了重启,但一直没见运行提示,只有创建子进程提示
第二点我是在explorer规则中把创建子进程界面的中的*规则删除,还有一个允许创建记事本的规则,这 ... [/quote]
没有所谓的运行提示,执行程序即创建进程,也就是创建子进程,只是父进程可能不同。 [quote]原帖由 [i]sxingbai[/i] 于 2008-8-18 10:23 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4528016&ptid=308770][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
第二点我再试下
这个规则逻辑还真难搞清楚[:05:] [/quote]
对于子应用程序规则, 没有全局的规则, 如果匹配不上, 阻止运行时合理的. 试了,第二点确如作者所说
没有规则按常规界面设置
没有匹配规则就阻止,呵呵,这个...
第一点反复试了
看来md虽有执行设置
但不会弹出执行询问
只能有创建子进程询问 ps 和s3都既有创建进程又有运行项
也就会相应的提示
再试md
总算有点明白
当运行一程序时
先检查父进程的子规则
如有匹配规则,就按该规则处理,而不管其它相关处如何设置
如无,检查父进程的常规设置,如果是阻止,就直接阻止,如果是允许或询问,再检查有无匹配的子规则,如有,看常规设置的执行,按其设置处理,如阻止,则阻止,如询问,则询问,如允许,则允许。如无,呵呵,忘了试了,估计会阻止 [quote]原帖由 [i]sxingbai[/i] 于 2008-8-18 11:29 发表 [url=http://bbs.kafan.cn/redirect.php?goto=findpost&pid=4528767&ptid=308770][img]http://bbs.kafan.cn/images/common/back.gif[/img][/url]
ps 和s3都既有创建进程又有运行项
也就会相应的提示
再试md
总算有点明白
当运行一程序时
先检查父进程的子规则
如有匹配规则,就按该规则处理,而不管其它相关处如何设置
如无,检查父进程的常规设置,如果是 ... [/quote]
父进程的子规则如有匹配规则, 其他的设置还是会检查的.
其实帮助文件中已经写了:
如果检测到一个创建进程操作,本软件将分别找到父子进程匹配的应用程序规则,然后检查子应用程序的执行权限、父进程的“创建新进程”权限,以及父进程的子应用程序规则 ,如果任一规则阻止该操作,操作即被阻止;如果所有规则都允许该操作,则操作被允许执行;否则将询问用户,由用户做决定。 [:15:] 看来最早的想法还是对的
只是让创建新进程和执行
以及无子规则和无匹配子规则弄大了头
页:
[1]