火绒安全软件

标题: 计划任务问题 [打印本页]

---

作者: kikyo9527    时间: 2017-11-11 12:20
标题: 计划任务问题


WIN764位，开启系统加固全规则
用批处理或管理工具下的任务计划程序 创建任务。触发。修改系统任务目录
1、建立计划任务后点击临时允许，然后再次创建后，就不提示直接允许，然后重启以后还是能提示的，注销不能提示
2、用管理工具下的任务计划程序创建计划任务，有点卡，不知道是不是监控问题

---

作者: HuoRong丶小宇    时间: 2017-11-13 10:54
您好！

已收到您反馈，我们这边本地先测试下，如果复现不了再联系您。

感谢您的反馈。

---

作者: HuoRong丶小宇    时间: 2017-11-14 13:45
针对您问题的回复如下：

• 建立计划任务后，弹窗提示临时允许，再次操作后，不弹窗提示，这个是因为有缓存，目前设计如此，非火绒产品BUG
• 此问题已知，是 Windows 操作系统原因所致，非火绒产品BUG
  

感谢您的反馈。

---

作者: w-tekeze    时间: 2017-11-14 14:23
我也遇到过 (但不是计划任务里)，系统加固拦截后本次允许，但二次运行就没有弹窗了，原来是缓存原因。。

---

作者: kikyo9527    时间: 2017-11-14 15:38


其实你们这个回答我是理解不了的
我有测试了几个
======
修改桌面快捷方式  临时允许，每次都提醒
命令行添加账户  临时允许，每次都提醒
修改host  临时允许，每次都提醒
======
修改启动目录    一次临时允许，就不提醒
修改启动目录扩展保护  一次临时允许，就不提醒
======
在举个例子，自己创建自定义防护规则测试，点临时允许，就不会出现第二次不提醒的情况。
======
毕竟我也不是你们公司测试的，我只是那天建立计划任务才发现的，就反应下
所以我认为还是有问题的，就看你们怎么看了。

---

作者: HuoRong丶小宇    时间: 2017-11-14 18:18

kikyo9527 发表于 2017-11-14 15:38
其实你们这个回答我是理解不了的
我有测试了几个
======

您好，这个反病毒团队稍后回复您，可能与主防规则有关。

---

作者: Chang_Feng    时间: 2017-11-14 19:16

kikyo9527 发表于 2017-11-14 15:38
其实你们这个回答我是理解不了的
我有测试了几个
======

感谢您的细心回复。火绒主动防御拦截到一个进程的行为后，会把被拦截的进程记入Cache中（不论是否点击“记住操作”），以免有病毒或软件重复操作时产生过多弹窗影响用户正常使用。所以您上述提到的“修改启动目录”和“修改启动目录扩展保护”拦截项，在使用相同进程进行测试时，只会拦截一次。但是您重启测试进程（比如重启cmd.exe）后，就可以正常拦截了。

---

作者: kikyo9527    时间: 2017-11-14 19:30

Chang_Feng 发表于 2017-11-14 19:16
感谢您的细心回复。火绒主动防御拦截到一个进程的行为后，会把被拦截的进程记入Cache中（不论是否点击“ ...

你说加入到缓存的 我是知道的
我问的关键点是既然在系统加固里的规则有的能够做到第一次点临时允许，第二次同样会提示。到为什么不统一呢？
如果临时允许，如果第一次操作允许，第二次危险程序被利用怎么办。我只是用户角度理解的。不知道你们编程或者别的上有什么难度，希望能解释下。（如果说用户使用安软怕弹窗而做的我是不理解的。最算怕弹窗，也可以点击始终允许来达到目的啊）

---

作者: Chang_Feng    时间: 2017-11-17 16:46

kikyo9527 发表于 2017-11-14 19:30
你说加入到缓存的 我是知道的
我问的关键点是既然在系统加固里的规则有的能够做到第一次点临时允许，第二 ...

火绒系统加固缓存是针对上次触发同一主防拦截的同一进程的，不是针对同一程序路径。所以当程序重新启动创建出新进程后，之前的缓存就失效了。比如：程序A启动后，在系统中为 进程A1 ，在运行时触发了“IE首页项”防护点，用户临时允许后，进程A1第二次触发“E首页项”时火绒则不会进行拦截。但是对于同为程序A产生的 进程A2，如果触发“IE首页项”防护点火绒则会进行拦截，因为A1和A2不是同一个进程。

---

作者: kikyo9527    时间: 2017-11-19 08:09

Chang_Feng 发表于 2017-11-17 16:46
火绒系统加固缓存是针对上次触发同一主防拦截的同一进程的，不是针对同一程序路径。所以当程序重新启动创 ...

学习了。谢谢回复
但是
实验一：用火绒剑监视，屏幕亮度计划任务A.bat   是exploere.exe 打开cmd.exe   exploere.exe 每一次都是同一个进程，ID也相同。cmd的进程ID每一次不同。这是符合你说的，结果是第二次不提示修改系统任务目录

实验二： 用火绒剑监视，LCD背光关闭及大小和声音调整B.vbs   是exploere.exe打卡WScript.exe   exploere.exe 每一次都是同一个进程，ID也相同。WScript的进程ID每一次不同。这是就不符合你说的，第二次仍然提示修改桌面快捷方式。

我还是不太理解。希望解释写，麻烦了。其实就是想知道为什么系统加固下的规则有的点击临时允许，第二次提示有的不能提示，为什么会区别对待。谢谢。麻烦了

---

欢迎光临 火绒安全软件 (https://bbs.huorong.cn/)

Powered by Discuz! X3.4