亚大伯斯 2026-03-03 04:50 采纳率: 98.5%
浏览 2
已采纳

Wemod被Windows防火墙拦截,如何正确添加白名单?

Wemod被Windows防火墙拦截是常见问题,表现为启动失败、联网异常或功能受限(如无法加载游戏列表、更新失败)。根本原因在于Windows Defender防火墙默认阻止未经签名或行为可疑的第三方工具,而Wemod作为内存修改器,其驱动级操作易触发安全策略。用户常误以为“关闭防火墙”即可解决,实则存在安全风险;也有用户在入站规则中添加exe却忽略其依赖组件(如WemodService.exe、驱动文件wemod.sys),导致白名单失效。此外,升级Windows或重装系统后规则常被清除,需重新配置。正确做法是:以管理员身份打开“高级安全Windows Defender防火墙”→分别创建**入站与出站规则**→选择“程序”类型→精准指向Wemod安装目录下的主程序及服务可执行文件→设置为“允许连接”→应用到所有配置文件(域/专用/公用)。务必核对路径是否含空格或中文,并禁用“基于证书的规则”等冗余选项。
  • 写回答

1条回答 默认 最新

  • 张牛顿 2026-03-03 04:50
    关注
    ```html

    一、现象层:典型故障表征与用户误操作模式

    • Wemod启动后立即退出,无错误提示或仅显示“Failed to initialize service”;
    • 主界面卡在“Loading games…”状态,网络图标呈灰色,无法拉取远程游戏模组库;
    • 点击“Check for Updates”后长时间无响应,F12开发者工具可见HTTP 0响应或ERR_CONNECTION_REFUSED;
    • 用户尝试关闭Windows Defender防火墙(Set-NetFirewallProfile -Profile Domain,Private,Public -Enabled False),虽短期生效但导致域环境合规审计失败;
    • 在入站规则中仅添加 Wemod.exe,却遗漏 WemodService.exe(负责HTTP API代理)及驱动加载器 wemod.sys(需通过SCM动态加载,其通信走本地命名管道+TCP回环)。

    二、机制层:Windows Defender 防火墙的策略触发逻辑深度解析

    Windows Defender 防火墙并非仅基于端口/协议过滤,而是采用多维度行为感知模型

    触发维度Wemod对应行为默认策略动作
    代码签名验证Wemod.exe 为EV签名,但 wemod.sys 为自签名驱动(无WHQL认证)阻止未认证驱动加载(尤其在Secure Boot启用时)
    网络行为画像WemodService.exe 建立 127.0.0.1:54321 本地监听 + 外连 api.wemod.com:443出站连接被专用网络配置文件默认限制

    三、架构层:Wemod组件通信拓扑与防火墙规则映射关系

    graph LR A[Wemod.exe UI] -->|IPC via Named Pipe| B[WemodService.exe] B -->|HTTPS GET/POST| C[api.wemod.com] B -->|DeviceIoControl| D[wemod.sys Driver] D -->|Kernel Memory Patch| E[Target Game Process] style A fill:#4A90E2,stroke:#357ABD style B fill:#50C878,stroke:#2E8B57 style D fill:#FF6B6B,stroke:#D9534F

    四、实践层:企业级白名单配置标准化流程(含防遗忘Checklist)

    1. 以管理员身份运行 wf.msc → 进入“高级安全Windows Defender防火墙”;
    2. 【关键】右键“入站规则”→“新建规则”→选择“程序”→浏览至:
      C:\Program Files\Wemod\Wemod.exe(注意路径空格与长路径兼容性);
    3. 重复步骤2,分别为:
      C:\Program Files\Wemod\WemodService.exe
      C:\Windows\System32\drivers\wemod.sys(需勾选“允许此规则适用于所有配置文件”);
    4. 对每个规则执行双通道配置:
      ✓ 入站规则:允许本地回环(127.0.0.1)及外网API调用
      ✓ 出站规则:必须显式创建,否则 WemodService 无法完成 OAuth2 Token 刷新;
    5. 禁用“基于证书的规则”——Wemod 证书链不完整,启用将导致规则静默失效;
    6. 执行 PowerShell 持久化校验:
      Get-NetFirewallApplicationFilter | Where-Object {$_.Program -like "*Wemod*"} | Format-List

    五、运维层:Windows系统升级后的规则自动恢复方案

    Windows功能更新(如22H2→23H2)会重置防火墙策略。推荐部署以下自动化防护:

    # Deploy as Scheduled Task (Run at startup, highest privileges)
$Rules = @(
  @{Name="Wemod-UI-In"; Path="C:\Program Files\Wemod\Wemod.exe"; Direction="In"},
  @{Name="Wemod-Service-Out"; Path="C:\Program Files\Wemod\WemodService.exe"; Direction="Out"}
)
foreach ($r in $Rules) {
  if (-not (Get-NetFirewallRule -DisplayName $r.Name -ErrorAction SilentlyContinue)) {
    New-NetFirewallRule -DisplayName $r.Name -Direction $r.Direction `
      -Program $r.Path -Action Allow -Profile Any -Enabled True -Group "Wemod-Security"
  }
}

    该脚本可集成至Intune设备配置策略或PDQ Deploy分发管道,确保全组织终端策略一致性。

    ```
    本回答被题主选为最佳回答 , 对您是否有帮助呢?
    评论

报告相同问题?

问题事件

  • 已采纳回答 3月4日
  • 创建了问题 3月3日