系统内核加固之疑问(误报EXPLORE.EXE,是否为BUG?)
问题:每次重启系统后,系统内核加固的自定义规则对EXPLORE.EXE程序的行为进行“异常检测”。也就是每次重启系统后会对EXPLORE.EXE的操作进行拦截,而通过如此步骤后(打开主界面----设置---确定)又不对其进行拦截了。
此程序是微软的数字签名程序,按说所设置的规则不会对其进行任何拦截的,为什么说“异常检测”?是因为每次重启系统后就会对其拦截,而在不进行任何更改的情况下,只是“打开主界面---设置---确定”后又不拦截了。
另外“显示登录图标”也很诡异,只要在“设置”界面的任何选项卡点击确定都会自动勾选“显示登录图标”,哪怕自己没有设置显示
图一: 系统内核加固之主界面设置
上图中,请注意已经勾选了 “包含数字签名的程序文件”和“云安全中的安全文件”。 选择为初级模板。
图二: 自定义规则之“禁止恶意程序在桌面创建文件”
上图中,自定义规则的监控操作为“修改和创建”
图三: 对程序的异常拦截图
图四:
检测日志
系统为windows 7旗舰版32位 已全新下载安装SP1补丁包
瑞星设置有密码,每次启动后设置为“普通用户”
