查看: 8522|回复: 13
收起左侧

[讨论] 关于红伞的排除和通配符

[复制链接]
aseioteur
发表于 2008-9-4 13:55:13 | 显示全部楼层 |阅读模式
在论坛搜索的一遍没有发现关于红伞通配符使用的详细说明!所以查看了红伞的说明,希望能对大家有所帮助!
关于扫描排除的部分原文:

1.Note
The entries on the list must not contain more than 6000 characters in total.


注意:
该这个排除列表上所有条目总字符数不得超过6000

2.When you have entered a file name with its complete path, only this file is not scanned for infection. If you have entered a file name without a path, all files with this name (irrespective of the path or drive) are not scanned.

当您输入文件名和它的完整路径,则只有这个文件将被排除。如果你只是输入文件名,而不指定它的路径,所有和这个文件同名的文件(不论它所处的驱动盘和路径)都将被排除。

3.Note
If you add a complete partition to the list of the file objects, only those files which are saved directly under the partition will be excluded from the scan, which does not apply for files in sub-directories on the corresponding partition:
Example: File object to be skipped: D:\  =  D:\file.txt will be excluded from the scan of the Scanner, D:\folder\file.txt will not be excluded from the scan.

注意:
如果您加入排除对象的完整路径,只有那些直接保存在路径下面的文件将被排除,而不适用于相对路径的子文件夹下面的文件。例如:您在排除里面添加D:\ 那么类似D:\file.txt这样的文件将会在扫描中被忽略,而如D:\folder\file.txt这样的子目录中的文件依然会被扫描。

由此可见,在添加扫描排除的时候最好写上具体一点的路径,如果只写文件名,相对来说安全性就要差点了,万一病毒和你排除的文件重名呢! 可以将需要排除的文件集中放在几个文件夹下面!毕竟总的字符数还有限制的呢!
这里没有提到通配符,不知道扫描排除是不是不支持通配符,下面我们看一下监视排除,相对来说要详细很多,也支持通配符!


监视排除分为两个部分:进程排除和文件排除
I. 进程排除
Processes to be omitted for the Guard
All file accesses of processes in this list are excluded from monitoring by the Guard.

监视排除的进程
所有列入该列表的进程将不再会受到监视

1.Note
You can enter up to 20 processes.
Warning:
Only the first 15 characters of the process name (including the file extension) are considered. If there are 2 processes with the same name, Guard excludes both processes from the monitoring.


注意
您可以输入最多20个进程
警告
您输入的进程名只有前面15个字符(包括扩展名)是有效的。如果有两个进程是的名字恰好相同,监视程序将会同时排除这两个进程。(PS,大概的意识是,如果这两个进程的前面15个字符都是相同的,不论其后面的是否一样,都会被排除,实际我们在使用中,也只允许输入前15个字符。不知道算不算一个漏洞,例如我们排除abcdefghijklmno.exe,另外一个进程是abcdefghijklmnop.exe也将会被排除,如果刚好被病毒利用~~~~~~) 
(所以还是最好只将那些连同扩展名在内小于15个字符的进程加入排除比较好!长于15个字符的就在下面的文件排除中解决会比较好,以上都是本人自己理解的,不知道有没有什么错误,如果有希望及时指正,相信红伞应该会考虑的比较全面,这样设计应该有它的道理才对!

另外提一下这段
The Windows Explorer and the operating system itself cannot be excluded. A corresponding entry in the list is ignored.


windows系统的Explorer.exe和其它系统进程本身是不能被排除的。该项中相应的条目将会被忽略。(所以不要排除系统进程,毕竟只允许排除20个进程,还是留给需要的进程。)

II.文件排除
 File objects to be omitted for the Guard
All file accesses to objects in this list are excluded from monitoring by the Guard.
Note
The entries on the list must not contain more than 6000 characters in total.

监视排除的文件
所有列入该列表的进程文件将不再会受到监视
注意
该这个排除列表上所有条目总字符数不得超过6000

Please observe the following points:
1.The file name can only contain the wildcards * (any number of characters) and ?nbsp;(a single character). 
2.Directory names must end with a backslash \, otherwise a file name is assumed.
3.The list is processed from top to bottom.
4.Individual file extensions can also be excluded (inclusive wildcards).
5.If a directory is excluded, all its sub-directories are automatically also excluded.
6.The longer the list is, the more processor time is required for processing the list for each access. Therefore, keep the list as short as possible.
7.In order to also exclude objects when they are accessed with short DOS file names (DOS name convention 8.3), the relevant short file name must also be entered in the list.

请注意下面的关键点:
1.文件名只能允许使用通配符“*”(代替任意数目的字符)和“?"(代替单个字符)
2.路径名必须以反斜线符号”\“结尾,否则默认输入的为文件名而非路径
3.改列表遵循自上而下的顺序处理。
4.单独的文件扩展名也可以被排除(包括通配符)
5.如果某个路径被排除,则该路径的所有子目录也自动被排除(和扫描排除不同哦!)
6.该列表越长,则处理每个排除条目所需的处理时间越长。因此,最好保持该列表尽量精简。
7.为了排除那些需要使用短DOS文件名(DOS 8.3 文件名协议)访问的对象,相应的短文件名也应列入改列表中。(比如“C:\Program Files”短文件名为“C:\Progra~1”,相关的大家可以百度搜一下,其实个人觉得没什么用)

Note
A file name that contains wildcards may not be terminated with a backslash.
For example:
C:\Program Files\Application\applic*.exe\
This entry is not valid and not treated as an exception!

注意
如果一个文件名中包含有通配符,则不能以反斜线符号”\“结尾。
例如:
C:\Program Files\Application\applic*.exe\
该改条目将会被视为无效!
(文件夹中包含通配符不知道会是怎样,大家讨论下)

Note
In case of dynamic drives which are mounted as a directory on another drive, the alias of the operating system for the integrated drive in the list of the exceptions has to be used: e.g. \Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\ 
If you use the mount point itself, such as ‚C:\DynDrive’, the dynamic drive will be scanned nonetheless. You can determine the alias of the operating system to be used from the report file of Guard: Set the protocol function of the Guard to complete in the configuration under Guard :: Report. Now access the mounted drive with the activated Guard. You can now read the drive name used from the report file of the Guard. The report file can be accessed in Control Center under Local protectionz :: Guard 


这段话比较长,大概的意思是,如果您将一个活动分区映射为另一个分区的一个目录,那么您在设置排除名单的时候,输入该盘的路径格式就要符合这样的标准:如:\Device\HarddiskDmVolumes\PhysicalDmVolumes\BlockVolume1\ 
如果您单单使用映射后的路径如C:\DynDrive,那么这个活动分区依然会被扫描。后面是将可以通过什么方式找到合适路径名,省略~~~~~

下面是它列举的规范的录入方式:
C:
C:\
C:\*.*
C:\*
*.exe
*.xl?
*.*
C:\Program Files\Application\application.exe
C:\Program Files\Application\applic*.exe
C:\Program Files\Application\applic*
C:\Program Files\Application\applic?????.e*
C:\Program Files\
C:\Program Files
C:\Program Files\Application\*.mdb

大功告成,可以休息下了
如果翻译的什么地方有问题,希望可以跟大家讨论一下!

希望对大家有点帮助!

[ 本帖最后由 aseioteur 于 2008-9-4 13:56 编辑 ]
aseioteur
 楼主| 发表于 2008-9-4 13:59:22 | 显示全部楼层
谢谢大家的支持!
具体的验证见我的帖子【解析——红伞的排除】
http://bbs.kafan.cn/thread-322249-1-1.html


[ 本帖最后由 aseioteur 于 2008-9-5 18:53 编辑 ]

评分

参与人数 1经验 +10 人气 +1 收起 理由
asinasina + 10 + 1 感谢提供好文章~

查看全部评分

深度扫描
发表于 2008-9-4 14:18:21 | 显示全部楼层
跟贴学习
asinasina
发表于 2008-9-4 15:19:04 | 显示全部楼层
很详细,学习了
cxc0532
发表于 2008-9-4 15:42:18 | 显示全部楼层
我正在疑惑呢 谢谢 感谢 非常tks
T_Tmac
发表于 2008-9-4 16:12:20 | 显示全部楼层
请问监视排除在哪里设置? 我用的是c版小红伞  免费的  我只知道 扫描的排除在哪设的
guard的 排除还不清楚
赤虎
发表于 2008-9-4 16:26:03 | 显示全部楼层
恩,不错,学习学习!
aseioteur
 楼主| 发表于 2008-9-4 16:26:41 | 显示全部楼层
我的是P版的,不知道和你的是不是一样,你看看!
是不是先要打开专家模式啊,就是左上角的Expert mode的地方打钩!

[ 本帖最后由 aseioteur 于 2008-9-8 13:39 编辑 ]
natulove
发表于 2008-9-4 16:41:25 | 显示全部楼层
学习了,不错不错
炎翼
发表于 2008-9-4 18:32:53 | 显示全部楼层
顶贴!
学习中~~有翻译,感动啊~~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 09:52 , Processed in 0.134391 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表