нет, у меня сработало только когда прямые пути указаны. для конечных файлов и для конечных приложений. это на ESS 5.
Цитата
25.09.2014 17:07:52 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\***\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован test_hips Удалить файл
а на ESS7 работает, если указать непрямой путь через два слеша для конечных приложений, и если прямой путь на конечные файлы при запуске из фара, тотала.
Цитата
25.09.2014 17:10:25 C:\WINDOWS\system32\cmd.exe Получить доступ к файлу C:\DOCUME~1\****\LOCALS~1\Temp\pubring.tmp определенный доступ заблокирован block run cmd Удалить файл
а если просто пытаться изменить (переименовать) файл из тотала или фара, то будет работать путь через \\ ------------
Разобрался, правило работает на Windows XP только так: C:\DOCUME~1\\LOCALS~1\Temp\pubring.tmp или C:\DOCUME~1\\LOCALS~1\Temp\* (чтобы и ренейм файл не создавался) Сейчас на семерке проверю.
Теперь нужна фактическая задача, а то я не понял насчет ренейма и папки TEMP Можно в принципе выбрать защищаемые папки и все. Или известно поведение файла шифровальщика?
да, поведение бат-енкодера известно. пока что ключевая пара pubring.gpg/secring.gpg создается в папке %temp%, в данном случае достаточно только защитить пересоздание ключа pubring.gpg.
если будет известный ключ в этой папке, то шифрование пойдет известным ключом. так что все можно потом расшифровать.
если же вообще ключа не будет, тогда ключ не создается совсем, в этом случае, думаю и шифрование не состоится, или состоится но с нулевым ключом. --------- но надо проверить. --------- (батник с с pubring.tmp я использовал просто чтобы потестить возможность создания правила для файлов cmd. т.е. к конкретному энкодеру это имеет самое малое отношение.)
Нашел исходную программу Gpg4win Файлы она хранит здесь: C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg и pubring.gpg.lock C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg и secring.gpg.lock
Это если устанавливать программу. Вирусный файл в другом месте держит файлы. В общем если указать эти файлы, файлы не шифруются.
Выбирать эти файлы исходным приложением, не работает. Работает указание конечным приложением: C:\Documents and Settings\Virlab\Application Data\gnupg\pubring.gpg C:\Documents and Settings\Virlab\Application Data\gnupg\secring.gpg
Как я понял вся суть работы шифровальщика, получить команды в cmd и затем через него шифровать и удалять не шифрованные исходные файлы.
по защите от него проверено, что достаточно защитить pubring.gpg (все приложения, действия удалить, изменить для конечного файла, для всех конечных приложений) и два слэша работают в этом правиле.
но если есть желание проверить. проверяй. только нужен свежий js из тех, что юзеры запускают из почтовых вложений. чем больше тестов тем лучше.