[自定义规则相关]设置的注册表规则和实际触发的不大一样

孤尘枫

我设置的注册表路径是“HKEY_CLASSES_ROOT\*\*shell*\*”，
就是想把这三个都包含进来，如图，因为这三个都有“shell”单词只是前后不一样，这个本来是但是实际上是“HKEY_CLASSES_ROOT\”这个大节点下面的，实际时候，别的节点的也会触发这个规则（HKEY_USERS），搞得我不懂怎么设置才行了
具体规则：

1. {
   
2.     "ver":"6.0",
   
3.     "tag":"hipsuser",
   
4.     "data":[
   
5.         {
   
6.             "procname":"*",
   
7.             "id":19,
   
8.             "name":"右键33",
   
9.             "cmdline":"*",
   
10.             "p_procname":"*",
    
11.             "p_cmdline":"*",
    
12.             "policies":[
    
13.                 {
    
14.                     "montype":2,
    
15.                     "action_type":5,
    
16.                     "res_path":"HKEY_CLASSES_ROOT\\*\\*shell*\\*",
    
17.                     "res_cmdline":"*"
    
18.                 }
    
19.             ],
    
20.             "power":1,
    
21.             "treatment":1
    
22.         }
    
23.     ]
    
24. }

复制代码

日志：

1. 【1】2024-11-18 10:59:45,系统防护,自定义防护,explorer.exe触犯自定义防护规则, 已允许
   
2. 
   
3. 触犯规则：右键33
   
4. 操作类型：【修改】
   
5. 操作文件：HKEY_USERS\S-1-5-21-1269845186-2614304256-169501181-1001_Classes\Local Settings\Software\Microsoft\Windows\Shell\MuiCache\D:\Program Files\KDE Connect\bin\kdeconnect-handler.exe.FriendlyAppName
   
6. 操作结果：已允许
   
7. 
   
8. 进程ID：8516
   
9. 操作进程：C:\Windows\explorer.exe
   
10. 操作进程命令行：C:\Windows\Explorer.EXE
    
11. 父进程ID：8432
    
12. 父进程：C:\Windows\System32\userinit.exe
    
13. 父进程命令行：C:\Windows\system32\userinit.exe
    
14. >>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>
    
15. 
    

复制代码

六合彩运营专员

收到，这边查看下~

孤尘枫

六合彩运营专员 发表于 2024-11-18 11:31
收到，这边查看下~

把我截图的那三个不用通配符“*”，直接设置就不会有这个问题

{
    "ver":"6.0",
    "tag":"hipsuser",
    "data":[
        {
            "procname":"*",
            "id":22,
            "name":"右键33-0001",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\-shellex\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        },
        {
            "procname":"*",
            "id":23,
            "name":"右键33-0002",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\shell\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        },
        {
            "procname":"*",
            "id":24,
            "name":"右键33-0003",
            "cmdline":"*",
            "p_procname":"*",
            "p_cmdline":"*",
            "policies":[
                {
                    "montype":2,
                    "action_type":5,
                    "res_path":"HKEY_CLASSES_ROOT\\*\\shellex\\*",
                    "res_cmdline":"*"
                }
            ],
            "power":1,
            "treatment":1
        }
    ]
}

六合彩运营专员

孤尘枫 发表于 2024-11-18 11:37
把我截图的那三个不用通配符“*”，直接设置就不会有这个问题

好的，这边确认后给您答复哈~