火绒的HIPS对火绒自身的HRUpdate.exe，HRConfig.exe无效

toscan · 发表于 2021-3-21 00:41:29

本帖最后由 toscan 于 2021-3-21 00:44 编辑

火绒的HIPS对火绒自身的HRUpdate.exe，HRConfig.exe无效规则json

禁止搜狗.rar (470 Bytes, 下载次数: 3)
上个月的更新HIPS的文件禁止访问和读取还有效。最近一周的更新之后，火绒的HIPS防护对HRUpdate.exe，HRConfig.exe等c:\Program Files (x86)\Huorong\Sysdiag\bin\ 下的exe文件失去作用（内部开了白名单）?

规则例如 C:\Users\Thresh\AppData\LocalLow\SogouPY\* 禁止删除访问修改，允许读写

对别的程序都有效

然而，对火绒自己的exe就放行

请修正该bug

火绒运营专员 · 发表于 2021-3-21 09:45:17

您好，您所提出的问题已收到，我们本地确认看下之后给您详细回复，感谢反馈~

火绒运营专员 · 发表于 2021-3-22 14:14:25

您好，麻烦您提供下可以复现火绒HIPS阻止火绒程序的拦截的情况下，火绒的日志拦截记录或者其他第三方软件表明火绒程序在对规则里的文件进行读取等操作时拦截的记录

toscan · 发表于 2021-3-22 21:57:59

火绒运营专员发表于 2021-3-22 14:14
您好，麻烦您提供下可以复现火绒HIPS阻止火绒程序的拦截的情况下，火绒的日志拦截记录或者其他第三方软件表 ...

3月24日或者之后那天约个时间直接远程控制看吧。或者您这边定个联系人，我提前QQ联系一下吧

火绒运营专员 · 发表于 2021-3-23 09:39:52

您好，麻烦您添加qq2181664155（备注帖子链接），我们协助您看下此问题，感谢反馈~

火绒运营专员 · 发表于 2021-3-25 13:01:42

您好，该问题本地已复现，已记录为bug【bugid：30727】，感谢反馈~

火绒运营专员 · 发表于 2021-3-30 17:17:18

您好，如果禁止搜狗输入法注入火绒程序，会导致设置界面等需要输入文字的时候无法使用搜狗输入法所以不进行处理，感谢反馈~

toscan · 发表于 2021-3-31 14:10:41

火绒运营专员发表于 2021-3-30 17:17
您好，如果禁止搜狗输入法注入火绒程序，会导致设置界面等需要输入文字的时候无法使用搜狗输入法所以不进行 ...

不禁止输入法注入火绒，那另一方面就不能让火绒自己的exe对hips规则免疫掉啊。

toscan · 发表于 2021-4-1 16:49:59

火绒运营专员发表于 2021-3-30 17:17
您好，如果禁止搜狗输入法注入火绒程序，会导致设置界面等需要输入文字的时候无法使用搜狗输入法所以不进行 ...

我的规则是禁止文件读写，不是抗注入。工程师既然能后台复现，也能明白这一点。不能因为是火绒自己的程序，就开绿灯吧？那要是换成恶意程序注入了火绒，岂不是也能随便写？

既然不能禁止注入，那至少应该禁止读写对所有程序一视同仁吧？

火绒运营专员 · 发表于 2021-4-6 11:15:28

您好，已经在qq上回复您了，现在火绒的规则都是对自身放行的，感谢反馈~