火绒安全软件

标题: [自定义规则相关]设置的注册表规则和实际触发的不大一样 [打印本页]
作者: 孤尘枫    时间: 2024-11-18 11:08
标题: [自定义规则相关]设置的注册表规则和实际触发的不大一样
我设置的注册表路径是“HKEY_CLASSES_ROOT\*\*shell*\*”,
就是想把这三个都包含进来,如图,因为这三个都有“shell”单词只是前后不一样,这个本来是但是实际上是“HKEY_CLASSES_ROOT\”这个大节点下面的,实际时候,别的节点的也会触发这个规则(HKEY_USERS),搞得我不懂怎么设置才行了
具体规则:
  1. {
  2.     "ver":"6.0",
  3.     "tag":"hipsuser",
  4.     "data":[
  5.         {
  6.             "procname":"*",
  7.             "id":19,
  8.             "name":"右键33",
  9.             "cmdline":"*",
  10.             "p_procname":"*",
  11.             "p_cmdline":"*",
  12.             "policies":[
  13.                 {
  14.                     "montype":2,
  15.                     "action_type":5,
  16.                     "res_path":"HKEY_CLASSES_ROOT\\*\\*shell*\\*",
  17.                     "res_cmdline":"*"
  18.                 }
  19.             ],
  20.             "power":1,
  21.             "treatment":1
  22.         }
  23.     ]
  24. }
复制代码




日志:
  1. 【1】2024-11-18 10:59:45,系统防护,自定义防护,explorer.exe触犯自定义防护规则, 已允许

  3. 触犯规则:右键33
  4. 操作类型:【修改】
  5. 操作文件:HKEY_USERS\S-1-5-21-1269845186-2614304256-169501181-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\D:\Program Files\KDE Connect\bin\kdeconnect-handler.exe.FriendlyAppName
  6. 操作结果:已允许

  8. 进程ID:8516
  9. 操作进程:C:\Windows\explorer.exe
  10. 操作进程命令行:C:\Windows\Explorer.EXE
  11. 父进程ID:8432
  12. 父进程:C:\Windows\System32\userinit.exe
  13. 父进程命令行:C:\Windows\system32\userinit.exe
  14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码


注册表规则

注册表规则
作者: 火绒运营专员    时间: 2024-11-18 11:31
收到,这边查看下~
作者: 孤尘枫    时间: 2024-11-18 11:37
火绒运营专员 发表于 2024-11-18 11:31
收到,这边查看下~

把我截图的那三个不用通配符“*”,直接设置就不会有这个问题
{
    "ver":"6.0",
    "tag":"hipsuser",
    "data":[
        {
            "procname":"*",
            "id":22,
            "name":"右键33-0001",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\-shellex\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        },
        {
            "procname":"*",
            "id":23,
            "name":"右键33-0002",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\shell\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        },
        {
            "procname":"*",
            "id":24,
            "name":"右键33-0003",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\shellex\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        }
    ]
}


作者: 火绒运营专员    时间: 2024-11-18 11:54
孤尘枫 发表于 2024-11-18 11:37
把我截图的那三个不用通配符“*”,直接设置就不会有这个问题

好的,这边确认后给您答复哈~
作者: 火绒运营专员    时间: 2024-11-18 15:58
孤尘枫 发表于 2024-11-18 11:37
把我截图的那三个不用通配符“*”,直接设置就不会有这个问题

您好,您提出的问题已经提交给研发团队跟进处理,有新进展我会随时给您同步,您也可以根据ID联系我查询问题处理进展,感谢反馈,【问题ID:54733】
作者: ndd200    时间: 2024-11-27 21:15
火绒运营专员 发表于 2024-11-18 15:58
您好,您提出的问题已经提交给研发团队跟进处理,有新进展我会随时给您同步,您也可以根据ID联系我查询问 ...

https://bbs.huorong.cn/thread-139772-1-1.html
你看看我的帖子,和楼主的问题是不是差不多。

5.0下能正常匹配的规则:
*\User*Data\Default*
*User Data\Default\Extensions\*
*\User Data\Default*
*\User Data\Default\*

6.0下会匹配到C:\Users\xxxxxx\AppData\Local\Microsoft\,然后弹框。


规则/自动处理规则,还有出错时候的视频都QQ发给你们了。
一直没有解决。
作者: 火绒运营专员    时间: 2024-11-28 09:11
ndd200 发表于 2024-11-27 21:15
https://bbs.huorong.cn/thread-139772-1-1.html
你看看我的帖子,和楼主的问题是不是差不多。

您好,您这边添加的运营同学QQ号是多少呢?是否有给您答复呢?
作者: ndd200    时间: 2024-11-28 09:24
火绒运营专员 发表于 2024-11-28 09:11
您好,您这边添加的运营同学QQ号是多少呢?是否有给您答复呢?

加过,没有解决问题。
上述四种写法就是一步步测试改的,结果都一样。我感觉多*的情况匹配有问题。
作者: 火绒运营专员    时间: 2024-11-28 09:27
ndd200 发表于 2024-11-28 09:24
加过,没有解决问题。
上述四种写法就是一步步测试改的,结果都一样。我感觉多*的情况匹配有问题。 ...

您这边方便在QQ上和您跟进问题吗?在QQ沟通比较方便呢~
作者: ndd200    时间: 2024-11-28 09:33
火绒运营专员 发表于 2024-11-28 09:27
您这边方便在QQ上和您跟进问题吗?在QQ沟通比较方便呢~

QQ号是?昨天跟进蓝屏问题加过一次。
作者: 火绒运营专员    时间: 2024-11-28 09:53
ndd200 发表于 2024-11-28 09:33
QQ号是?昨天跟进蓝屏问题加过一次。

那您在添加的QQ上沟通就可以。
作者: 火绒运营专员    时间: 2024-12-3 10:44
您好,这边确认了下:
在Windows注册表中,HKEY_CLASSES_ROOT 是 HKEY_LOCAL_MACHINE\SOFTWARE\Classes 和 HKEY_CURRENT_USER\SOFTWARE\Classes 的合并视图,修改其中一个另外一个会同步修改;
所以您设置HKEY_CLASSES_ROOT自定义防护时,弹窗会提示HKEY_CURRENT_USER信息是正常现象哈~



欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) Powered by Discuz! X3.4