自定义规则注册表防护 HKEY_CURRENT_USER 与HKEY_CLASSES_ROOT有问题

tnwdragon · 发表于 2014-11-20 11:31:08

本帖最后由 tnwdragon 于 2014-11-20 15:47 编辑

WIN7 64

针对 HKEY_CURRENT_USER 建立的任何规则似乎都无效
比如
HKEY_CURRENT_USER\software\*
HKEY_CURRENT_USER\*

另外HKEY_LOCAL_MACHINE\SOFTWARE\>
这个规则虽然有效，但是却会连 HKEY_CLASSES_ROOT 一起弹窗，我并没有对 HKEY_CLASSES_ROOT 设立任何规则
看日志，我建立这个规则后，实验在 software下新建，成功阻止
操作程序：C:\Windows\regedit.exe
触犯规则：防流氓注册表通用规则
用户操作：已阻止
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\新项 #1

接着又出现这个，我并没有自定义这个规则呢
操作程序：C:\Windows\System32\svchost.exe
触犯规则：防流氓注册表通用规则
用户操作：已阻止
操作类型：创建
操作注册表：HKEY_CLASSES_ROOT
操作程序：C:\Windows\System32\audiodg.exe
触犯规则：防流氓注册表通用规则
用户操作：已阻止
操作类型：创建
操作注册表：HKEY_CLASSES_ROOT

Sesame · 发表于 2014-11-20 13:17:24

规则打包发来我查一下谢谢

tnwdragon · 发表于 2014-11-20 13:25:17

本帖最后由 tnwdragon 于 2014-11-20 13:28 编辑

Sesame 发表于 2014-11-20 13:17
规则打包发来我查一下谢谢

规则.zip (333 Bytes, 下载次数: 698)
：（

Sesame · 发表于 2014-11-20 13:27:54

tnwdragon 发表于 2014-11-20 13:25
：（

这就看看谢谢

tnwdragon · 发表于 2014-11-20 13:29:09

Sesame 发表于 2014-11-20 13:27
这就看看谢谢

刚打包规则的时候又拦截了这个
操作程序：C:\Windows\System32\wbem\WmiPrvSE.exe
触犯规则：防流氓注册表通用规则
用户操作：已阻止
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft

原目录下本来就有 Microsoft
对于HKEY_LOCAL_MACHINE\SOFTWARE\>
应该也是规则外吧，为什么会报呢？

tnwdragon · 发表于 2014-11-20 14:30:39

Sesame 发表于 2014-11-20 13:27
这就看看谢谢

请问，你那边有重现问题吗？还是说我这是个例？如果重现不了你要QQ远程看看么

PBBH · 发表于 2014-11-20 14:41:08

tnwdragon 发表于 2014-11-20 13:29
刚打包规则的时候又拦截了这个
操作程序：C:\Windows\System32\wbem\WmiPrvSE.exe
触犯规则：防流氓注册 ...

你是想拦截捆绑安装吧,我的也出现过只是现在没有火绒

tnwdragon · 发表于 2014-11-20 14:43:48

PBBH 发表于 2014-11-20 14:41
你是想拦截捆绑安装吧,我的也出现过只是现在没有火绒

是的，但是发现规则定好后有的不拦有的乱拦

hrfz · 发表于 2014-11-20 15:10:28

规则个啥嘛

直接整个guests帐户上网～

Sesame · 发表于 2014-11-20 15:13:24

木有复现还是加QQ 9653386 远程看看吧

tnwdragon · 发表于 2014-11-20 15:18:13

Sesame 发表于 2014-11-20 15:13
木有复现还是加QQ 9653386 远程看看吧

有提示问题。。。你加我吧200587260