火绒安全软件

登录| 注册
火绒安全软件»论坛 火绒产品 火绒安全软件6.0 注册表路径不支持通配符还是BUG了?
火绒安全软件6.0
发新帖
打印 上一主题 下一主题

注册表路径不支持通配符还是BUG了?

[复制链接]
3280 9
楼主
发表于 2019-8-5 06:40:00 | 只看该作者 |倒序浏览 |阅读模式
跳转到指定楼层
HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*  成功


HKEY_LOCAL_MACHINE\System\*\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\* 不成功

这么下不行了么,我记得4.0是可以的啊


回复

使用道具 举报

3280 9
沙发
发表于 2019-8-5 09:54:30 | 只看该作者
楼主您好,我们本地确认下,稍后给您答复~
回复

使用道具 举报

3280 9
板凳
发表于 2019-8-6 12:17:16 | 只看该作者
本帖最后由 kikyo9527 于 2019-8-6 22:02 编辑

操作进程:C:\Windows\system32\svchost.exe
命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
防护项目:@10  ?--Regdit-创修
操作目标:【写入】 HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{AEBB8188-44D6-457C-A496-1FDC833D8F70}E:\game\warcraft iii frozen throne\war3.exe
操作结果:已阻止

====
HKEY_LOCAL_MACHINE\*  

或者

HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*  

用这两条都能触发

HKEY_LOCAL_MACHINE\System\*\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*

用这条还是不能触发

我以为升级突然能用了,我以为OK了,今天晚上玩了一把还是不成。

回复

使用道具 举报

3280 9
地板
发表于 2019-8-9 11:21:08 | 只看该作者
老妹们,这星期最好解决下,我可不想等下一星期啊
回复

使用道具 举报

3280 9
5#
发表于 2019-8-9 13:32:42 | 只看该作者
kikyo9527 发表于 2019-8-9 11:21
老妹们,这星期最好解决下,我可不想等下一星期啊

好的,我们这边正在跟进,感谢您的反馈~
回复

使用道具 举报

3280 9
6#
发表于 2019-8-12 13:57:00 | 只看该作者
您好,本地测试版本,火绒5.0.18.3,是可以阻止的。看您发的帖子,日志里面是【写入】动作,这个4.0有写入动作,5.0没有。您这边底是4.0还是5.0版本呢,感谢您的反馈~
回复

使用道具 举报

3280 9
7#
发表于 2019-8-13 10:53:02 | 只看该作者
您好,一直没有收到您的回复,不知道您的问题解决了没有,
回复

使用道具 举报

3280 9
8#
发表于 2019-8-13 16:58:53 | 只看该作者
本帖最后由 kikyo9527 于 2019-8-13 17:27 编辑
火绒运营专员 发表于 2019-8-13 10:53
您好,一直没有收到您的回复,不知道您的问题解决了没有,

首先我说4.0可以能阻止 ,就是我用这规则在4.0上可用好用。在5.0就不能用

其次我举例是

  1. 操作进程:C:\Windows\system32\svchost.exe

  3. 命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork

  5. 防护项目:@10  ?--Regdit-创修

  7. 操作目标:【写入】
  8. HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP
  9. Query User{AEBB8188-44D6-457C-A496-1FDC833D8F70}E:\game\warcraft iii frozen throne\war3.exe

  11. 操作结果:已阻止
复制代码
是用的HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*这个触发成功

而不是HKEY_LOCAL_MACHINE\System\*\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\*  这个规则触发的


还有我的软件是网易现在的WAR3平台下载的的Frozen Throne.exe 冰封王座,我双击启动它。然后日志上就有上面的触发(看日志是触发war3.exe)。


一个星期了,你们说能阻止就能阻止吧。没说WIN764倒是真的
回复

使用道具 举报

3280 9
9#
发表于 2019-8-13 18:30:59 | 只看该作者
您好,我们已经确认这个问题,技术人员正在跟进,感谢您的反馈~






【问题ID:14909】
回复

使用道具 举报

3280 9
10#
发表于 2019-8-20 14:44:08 | 只看该作者
本帖最后由 kikyo9527 于 2019-8-30 08:58 编辑

20版本 现在设置成阻止,能都识别。但是设置询问,就直接放行?
  1. 操作进程:C:\Windows\system32\svchost.exe
  2. 命令行:C:\Windows\system32\svchost.exe -k LocalServiceNoNetwork
  3. 防护项目:#12  ?--Firewall
  4. 操作目标:【写入】 HKEY_LOCAL_MACHINE\System\CurrentControlSet\services\SharedAccess\Parameters\FirewallPolicy\FirewallRules\TCP Query User{84137164-2ADF-4A5E-AD48-264FC4D55EC7}E:\game\warcraft iii frozen throne\war3.exe
  5. 操作结果:已允许
复制代码
回复

使用道具 举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

版权所有©2011-2025北京火绒网络科技有限公司 All Rights Reserved

官方网站 | 加入我们 | 站点统计

快速回复 返回顶部 返回列表