瑞星卡卡安全论坛

我们先这样编一条规则 
然后打开金山清理专家  我们打不开它

然后我们这样编一条规则

再去打开清理专家  我们打开了






高手解释一下吧

用户系统信息：Mozilla/4.0 (compatible; MSIE 7.0; Windows NT 5.1; User-agent: Mozilla/4.0 (compatible; MSIE 6.0; Windows NT 5.1; SV1; http://bsalsa.com               

楼主的意图很明确，但exe显然不是文件名的一部分，而是扩展名
所以这样尝试一下看看是否正常？

:kaka8: EXE是扩展名，不是文件名。。。。。

另外【体验09】主题分类是参与“瑞星全功能安全软件2009 初体验征文活动”专用，提问帖请换其他主题分类

测试了你的方法 没有用..........  请个位高手继续分析

本来就是体验09嘛:default6:    发现了编辑器的漏洞撒

我已参照过工程师  文件名可以包含exe  这个没错

对于有窗口的程序
木马行为编辑器无效

那为什么第一次的编辑是有效的?

那个 扩展名 的规则 应该加上 .
也就是  扩展名 字符串是 .exe 另外对于 有界面的 进程是不报的

还是无效  而且既然有界面的进程无效 为什么第一次编辑出的规则有效果???

我晕.......  都要沉了  各位工程师你们来解释下啊!!!  你们自己做出来的东西,解决一下这么难??:default4:

就没人能做出解释???  再顶!!!!!!!!!:default4:

你能保证KASMAIN.exe每次启动都会去修改 自身的那个文件么？
用其他软件或者 病毒试试  光这一个例子不足以说明问题

猜测 清理专家 在第一次启动的时候 也会检测 自身文件 或者对文件进行操作什么的 这个时候可能没绘制出 界面  是一瞬间的  你不清楚清理专家 内部的 运行流程 所以也无法解释 到底这个问题是不是木马编辑器的bug
自己编一些东西试试吧

多次测试绝对能保证每次都会去修改  而且必须设置包含KASMAIN才弹窗提示  包含exe的话绝对被忽略掉  我觉得你必须自己试一下 这样你就知道了

正确格式是.exe:default6:

我的意思是 你用 一些病毒 或者自己编的 程序测试~

该用户帖子内容已被屏蔽

木马行为编辑器对有窗口的程序无效。第一次有效很可能是那个程序后台创建含bsmain的文件。你可以把那个程序添加到应用程序控制中，以观察那个程序都干了什么？

我没有金山清理，不清楚具体情况。但是我有sreng，sreng运行时会在其目录内创建sreng*文件并运行，退出时再删除这个文件。估计金山清理也是这样在后台创建一个包括kasmain的文件并运行。估计这样做是为了防止病毒结束其进程。这就是你第一个规则会报，第二个规则不报的原因。

还有一种可能就是金山清理创建包括kasmain的驱动。这一类程序往往会创建驱动。你把第二个规则扩展名改为sys看看。

创建驱动就会拦截的  关与后台创建文件正在求证中............

要查证金山清理都干了什么有个很简单的方法。你先运行一下金山清理。再按WIN+F，打开搜索，搜索栏输入KASMAIN，修改日期选当日。搜索一下，看看当日金山清理修改了包含KASMAIN的什么文件？应该不是EXE文件。因为你第一个规则报，第二个规则不报。