系统加固中注册表拦截问题

Aquamarine · 发表于 2025-3-5 21:16:49

本帖最后由 Aquamarine 于 2025-3-5 21:18 编辑

当夸克网盘启动时，如果不勾选设置中的“允许夸克接管BT种子的解析和下载”，则会有如下询问和日志记录（已合并同类项）：

防护项目：命令行强制删除注册表项
执行文件：C:\Windows\System32\reg.exe
执行命令行：
C:\Windows\system32\reg.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.torrent\OpenWithList /f /v a
C:\Windows\system32\reg.exe DELETE HKCU\Software\Microsoft\Windows\CurrentVersion\Explorer\FileExts\.torrent\OpenWithProgids /f /v QuarkCloudDrive.torrent
C:\Windows\system32\reg.exe DELETE HKCU\Software\Classes\.torrent\OpenWithProgids /f /v QuarkCloudDrive.torrent
C:\Windows\system32\reg.exe DELETE HKCU\Software\Classes\.torrent /f /ve
操作进程/父进程：QuarkCloudDrive.exe

想问的问题是，对于这几个注册表项，仅拦截删除不拦截写入？
一般来说写入和删除是等同的，还是删除危险更大？

Aquamarine · 发表于 2025-3-9 11:42:11

火绒运营专员发表于 2025-3-8 13:14
您好，是因为当前系统加固功能里只有‘命令行强制删除注册表项’这项。如果您那边有关于注册表写入防护的 ...

哦，那没问题了，感谢指教。

火绒运营专员 · 发表于 2025-3-8 13:14:32

Aquamarine 发表于 2025-3-8 12:28
感谢持续关注，我从第三方确认了，不是误报，确实存在这个行为。
其实我当时想问的是，火绒对这些注册表 ...

您好，是因为当前系统加固功能里只有‘命令行强制删除注册表项’这项。如果您那边有关于注册表写入防护的需求，您也可以尝试使用火绒的自定义防护功能设置维护注册表，感谢您的反馈。

Aquamarine · 发表于 2025-3-8 12:28:07

火绒运营专员发表于 2025-3-7 18:19
您好，log.db日志文件麻烦您提供下呢~

感谢持续关注，我从第三方确认了，不是误报，确实存在这个行为。
其实我当时想问的是，火绒对这些注册表内容，删除有管控，而写入没有管控？

火绒运营专员 · 发表于 2025-3-7 18:19:32

您好，log.db日志文件麻烦您提供下呢~

火绒运营专员 · 发表于 2025-3-6 20:24:41

本帖最后由火绒运营专员于 2025-3-7 14:05 编辑

Aquamarine 发表于 2025-3-6 20:18
夸克网盘版本：3.18.0
看了下，日志数据库中涉及个人的信息有点多，可否用导出日志的功能，单独对系统加 ...

您好，建议是将logdb文件都导出呢，主要是用于判断是否属于误报，仅凭日志信息无法准确判断，感谢您的反馈~

Aquamarine · 发表于 2025-3-6 20:18:07

火绒运营专员发表于 2025-3-6 08:53
您好，麻烦您提供下夸克网盘版本信息及log.db日志文件这边确认下呢~
日志提取路径（C:\ProgramData\Huorong ...

夸克网盘版本：3.18.0
看了下，日志数据库中涉及个人的信息有点多，可否用导出日志的功能，单独对系统加固的日志进行导出呢？

火绒运营专员 · 发表于 2025-3-6 08:53:47

您好，麻烦您提供下夸克网盘版本信息及log.db日志文件这边确认下呢~
日志提取路径（C:\ProgramData\Huorong\Sysdiag（需要显示隐藏文件或者直接复制路径即可log.db、log.db-shm、log.db-wal）