火绒安全软件

登录| 注册
火绒安全软件»论坛 火绒产品 火绒安全软件6.0 [自定义规则相关]设置的注册表规则和实际触发的不大一样 ...
火绒安全软件6.0
发新帖
打印 上一主题 下一主题

[产品问题] [自定义规则相关]设置的注册表规则和实际触发的不大一样

[复制链接]
2688 11
楼主
发表于 2024-11-18 11:08:40 | 只看该作者 |只看大图 |正序浏览 |阅读模式
跳转到指定楼层
我设置的注册表路径是“HKEY_CLASSES_ROOT\*\*shell*\*”,
就是想把这三个都包含进来,如图,因为这三个都有“shell”单词只是前后不一样,这个本来是但是实际上是“HKEY_CLASSES_ROOT\”这个大节点下面的,实际时候,别的节点的也会触发这个规则(HKEY_USERS),搞得我不懂怎么设置才行了
具体规则:
  1. {
  2.     "ver":"6.0",
  3.     "tag":"hipsuser",
  4.     "data":[
  5.         {
  6.             "procname":"*",
  7.             "id":19,
  8.             "name":"右键33",
  9.             "cmdline":"*",
  10.             "p_procname":"*",
  11.             "p_cmdline":"*",
  12.             "policies":[
  13.                 {
  14.                     "montype":2,
  15.                     "action_type":5,
  16.                     "res_path":"HKEY_CLASSES_ROOT\\*\\*shell*\\*",
  17.                     "res_cmdline":"*"
  18.                 }
  19.             ],
  20.             "power":1,
  21.             "treatment":1
  22.         }
  23.     ]
  24. }
复制代码




日志:
  1. 【1】2024-11-18 10:59:45,系统防护,自定义防护,explorer.exe触犯自定义防护规则, 已允许

  3. 触犯规则:右键33
  4. 操作类型:【修改】
  5. 操作文件:HKEY_USERS\S-1-5-21-1269845186-2614304256-169501181-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\D:\Program Files\KDE Connect\bin\kdeconnect-handler.exe.FriendlyAppName
  6. 操作结果:已允许

  8. 进程ID:8516
  9. 操作进程:C:\Windows\explorer.exe
  10. 操作进程命令行:C:\Windows\Explorer.EXE
  11. 父进程ID:8432
  12. 父进程:C:\Windows\System32\userinit.exe
  13. 父进程命令行:C:\Windows\system32\userinit.exe
  14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

复制代码


本主题由 火绒运营专员 于 2024-12-3 10:44 添加图标 已答复

火绒1_20241118_105529.png (56.03 KB, 下载次数: 727)

注册表规则

注册表规则
回复

举报

2688 11
14#
发表于 2024-12-3 10:44:43 | 只看该作者
您好,这边确认了下:
在Windows注册表中,HKEY_CLASSES_ROOT 是 HKEY_LOCAL_MACHINE\SOFTWARE\Classes 和 HKEY_CURRENT_USER\SOFTWARE\Classes 的合并视图,修改其中一个另外一个会同步修改;
所以您设置HKEY_CLASSES_ROOT自定义防护时,弹窗会提示HKEY_CURRENT_USER信息是正常现象哈~
回复

举报

2688 11
13#
发表于 2024-11-28 09:53:15 | 只看该作者
ndd200 发表于 2024-11-28 09:33
QQ号是?昨天跟进蓝屏问题加过一次。

那您在添加的QQ上沟通就可以。
回复

举报

2688 11
12#
发表于 2024-11-28 09:33:31 | 只看该作者
火绒运营专员 发表于 2024-11-28 09:27
您这边方便在QQ上和您跟进问题吗?在QQ沟通比较方便呢~

QQ号是?昨天跟进蓝屏问题加过一次。
回复

举报

2688 11
11#
发表于 2024-11-28 09:27:52 | 只看该作者
ndd200 发表于 2024-11-28 09:24
加过,没有解决问题。
上述四种写法就是一步步测试改的,结果都一样。我感觉多*的情况匹配有问题。 ...

您这边方便在QQ上和您跟进问题吗?在QQ沟通比较方便呢~
回复

举报

2688 11
10#
发表于 2024-11-28 09:24:13 | 只看该作者
火绒运营专员 发表于 2024-11-28 09:11
您好,您这边添加的运营同学QQ号是多少呢?是否有给您答复呢?

加过,没有解决问题。
上述四种写法就是一步步测试改的,结果都一样。我感觉多*的情况匹配有问题。
回复

举报

2688 11
9#
发表于 2024-11-28 09:11:45 | 只看该作者
ndd200 发表于 2024-11-27 21:15
https://bbs.huorong.cn/thread-139772-1-1.html
你看看我的帖子,和楼主的问题是不是差不多。

您好,您这边添加的运营同学QQ号是多少呢?是否有给您答复呢?
回复

举报

2688 11
8#
发表于 2024-11-27 21:15:39 | 只看该作者
火绒运营专员 发表于 2024-11-18 15:58
您好,您提出的问题已经提交给研发团队跟进处理,有新进展我会随时给您同步,您也可以根据ID联系我查询问 ...

https://bbs.huorong.cn/thread-139772-1-1.html
你看看我的帖子,和楼主的问题是不是差不多。

5.0下能正常匹配的规则:
*\User*Data\Default*
*User Data\Default\Extensions\*
*\User Data\Default*
*\User Data\Default\*

6.0下会匹配到C:\Users\xxxxxx\AppData\Local\Microsoft\,然后弹框。


规则/自动处理规则,还有出错时候的视频都QQ发给你们了。
一直没有解决。
回复

举报

2688 11
7#
发表于 2024-11-18 15:58:47 | 只看该作者
孤尘枫 发表于 2024-11-18 11:37
把我截图的那三个不用通配符“*”,直接设置就不会有这个问题

您好,您提出的问题已经提交给研发团队跟进处理,有新进展我会随时给您同步,您也可以根据ID联系我查询问题处理进展,感谢反馈,【问题ID:54733】
回复

举报

2688 11
6#
发表于 2024-11-18 11:54:55 | 只看该作者
孤尘枫 发表于 2024-11-18 11:37
把我截图的那三个不用通配符“*”,直接设置就不会有这个问题

好的,这边确认后给您答复哈~
回复

举报

2688 11
5#
发表于 2024-11-18 11:37:32 | 只看该作者
火绒运营专员 发表于 2024-11-18 11:31
收到,这边查看下~

把我截图的那三个不用通配符“*”,直接设置就不会有这个问题
{
    "ver":"6.0",
    "tag":"hipsuser",
    "data":[
        {
            "procname":"*",
            "id":22,
            "name":"右键33-0001",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\-shellex\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        },
        {
            "procname":"*",
            "id":23,
            "name":"右键33-0002",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\shell\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        },
        {
            "procname":"*",
            "id":24,
            "name":"右键33-0003",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\shellex\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        }
    ]
}


回复

举报

2688 11
地板
发表于 2024-11-18 11:31:22 | 只看该作者
收到,这边查看下~
回复

举报

返回列表
高级模式
B Color Image Link Quote Code Smilies
您需要登录后才可以回帖 登录 | [立即注册]

本版积分规则

版权所有©2011-2025北京火绒网络科技有限公司 All Rights Reserved

官方网站 | 加入我们 | 站点统计

快速回复 返回顶部 返回列表