【终端数据防泄密】【DLP相关】软件无法正常访问某业务网络

2线-周庆喜发表于:2020年09月11日 17:07:48更新于:2020年12月17日 16:51:22

软件无法正常访问指定的网络,其他的网络正常。

例如由用户报,安装天擎后软件连接数据库(sqlserver)存在异常,无阻止记录、关闭系统相关防护模块和退出天擎无效。屏蔽天擎驱动无效。


1.请对dlp的网络模块进行排查, 将系统目录system32\drivers\qmnetmon.sys修改名称,重启机器看看是否正常;
2.如果还不正常,请将system32\drivers\ghcore.sys修改名称,并将安装目录下360safe\dlp\dlpcenter.exe和360safe\dlp\dlpmain.exe修改名称,重启后检查是否正常;


其中第一项目的是为了查看是否是网络模块导致的。第二项是为了检查是否挂钩子引起的。


如果确定是第一项,

快速处理的方法是:

请将被拦截的ip添加到ip白名单放过,或者将指定的进程,添加到白名单,检查是否可以放行。


如果是第二项,可能原因是进程无法启动相应的后台业务程序,请提供相关软件,公司内检查时什么原因导致指定进程无法启动相应的业务。

例如,曾经发生过压缩文件解压缩不生成文件,后来跟踪发现是系统在后台生成dllhost的时候dllhost加载钩子出错,导致dllhost启动失败,导致无法解压缩文件。