-规则，干了什么？

说实话，除了拦截迅雷的自动升级，我找不到其他任何实质用途？

-

1、防毒？

你的日记中，有过病毒被拦截的日志么？——没有。


2、限制程序的行为？

翻翻你的日志，里面会有哪些有价值的拦截？——难倒就是那个迅雷.........


3、一旦触红，你会干什么？

排除——所以，上面的2个用处，基本不可能拥有。

-

当然，上面的话，仅仅短期内的【直观反映】。

有一点，任何人和动物，都无从否认：用规则，不会中毒

这是一个了不起的成就：因为，规则不仅仅限制了病毒的运行；更加，让你远离中毒的欲望！！——她迫使你，远离病毒～

#通俗地，规则限制/规定了，你在电脑上的行为，让你难以中毒。


-

回到正题，如果想要规则，能够完成你所期望的任务；请务必认识到，你的规则到底能够干什么！


要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*
要禁止的文件操作：读取、执行、创建、写入、删除

上面的这个，能够干什么？

下面的规则，又能够干什么？

1、要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*
要禁止的文件操作：读取

2、要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*
要禁止的文件操作：执行

3、要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：读取

4、要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：执行

-

如果，我说：都是同一个规则呢？——本就是同一个规则！（真心不希望，整个版区只有我一个人知道）

所以，你连你的规则，能够干什么，都不知道，或者不能够确认；你还能够期望，规则能够干什么？

---

有时间，或有机会；我会写一个《规则大全》，将包含并介绍，目前所有可能出现的规则。

另，《规则语法》也需要整顿。

#上面两部分，是《访问保护规则原理》所并没有叙述的东西/

特别强调一个所有人的【误区】：

1、要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：/**
要保护的注册表项或注册表值：项
要阻止的注册表：写入

2、要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：/**
要保护的注册表项或注册表值：值
要阻止的注册表：创建 删除

这两个规则，是同一个！（【项+写入】等于【值+创建～删除】）


-

即：

3、要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：/**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

4、要包含的进程：*
要排除的进程：
要保护的注册表项目或注册表值：/**
要保护的注册表项或注册表值：值
要阻止的注册表：写入 创建 删除

第4个规则，是没有存在必要的（如果已有第3个规则）！因为，第3个规则包含第4个规则～



#这些东西，很早我便叙述过；数月前的《访问保护规则原理》，便有～

GreenCodes

本来咖啡对于折腾软件的人就不适用，平时排除了，等白加黑来了一样排除，等于没有，换句话说，个人用还是个人版，企业版只适合企业和办公人士，规则都是专业人员搞定，个人去用企业版说白了有点没事找事

shiyuelaohu

用了企业版倒是有一个优点，不敢轻易安装花哨的软件了，排除起来实在太累。系统倒是也比较干净了。

大猫熊

你又回来啦？~~

GreenCodes 发表于 2012-10-9 18:37
本来咖啡对于折腾软件的人就不适用，平时排除了，等白加黑来了一样排除，等于没有，换句话说，个人用还是个 ...

也不能这样讲；一个肯定的事实：规则，对于企业而言，无足轻重；所谓的“制订规则”，其防毒强度，绝没有版区任何一套规则强！（VirusScan Enterprise，对于他们来说，只是一个杀毒的东西；而规则，只是一个“锦上添花”的细节；HIP更重要一些）
-
规则的折腾，并不是类似“安软综合征”那样频繁地换杀软；而是，各种规则的组合与验证！（当然，大部分人的“验证”，多是脑补.....）

关于规则的实验，是相当有趣和有挑战的；甚至可以通过拦截病毒启动、感染，的每一个步骤，去深入了解一切想要知道的东西！

WEI.ER

个人认为规则就是限制，至于限制了什么，规则代表一切，企业的规则并非全局禁用这么复杂，防泄漏，防创建甚至是防运行，单一的定制属于自己企业的安全规则才是麦咖啡企业版的宗旨，而版区里的那些NB规则完全是折腾帝用来消遣的产物而已，全局，防了病毒更防了自己。

jxfaiu

要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*
要禁止的文件操作：读取、执行、创建、写入、删除
就我个人看法应该分成4条规则：假如有的进程只需排除读取的同时也排除其它的：执行、创建、写入、删除

要包含的进程：*
要排除的进程：C:\Program Files\**, C:\Windows\**, SYSTEM, \??\C:\WINDOWS\system32\csrss.exe, \??\C:\WINDOWS\system32\winlogon.exe
要阻止的文件或文件夹名：*
要禁止的文件操作：读取

要包含的进程：*
要排除的进程：C:\Program Files\**, C:\PROGRA~1\MSNGAM~1\Windows\zclientm.exe, C:\Windows\**, SYSTEM, \??\C:\WINDOWS\system32\csrss.exe, \??\C:\WINDOWS\system32\winlogon.exe
要阻止的文件或文件夹名：*
要禁止的文件操作：执行

要包含的进程：*
要排除的进程：C:\Program Files\**
要阻止的文件或文件夹名：*
要禁止的文件操作：创建

要包含的进程：*
要排除的进程：C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*
要禁止的文件操作：写入



我的是XP系统，望指正

shiyuelaohu

WEI.ER 发表于 2012-10-10 00:37
个人认为规则就是限制，至于限制了什么，规则代表一切，企业的规则并非全局禁用这么复杂，防泄漏，防创建甚 ...

防了自己或许更能防黑客，以前邪版就坚信自己动不了的东西，病毒木马还有黑客他们就更动不了。

jxfaiu 发表于 2012-10-10 09:27
要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止 ...

恩我提到的那5个规则，可以这样理解（目前也是最好的理解）：

1、程序访问控制梯度

主要按照：程序加入内存（被执行）>>程序访问内核文件（系统区域内的.dll等文件）>>程序的目标行为（修改特定文件、访问网络等）

要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*
要禁止的文件操作：读取、执行、创建、写入、删除

该规则的“读取”控制（“执行"等同），便是『程序访问控制梯度』中的『程序访问内核文件（系统区域内的.dll等文件）』，而后其他的“写入/创建/删除”等操作都是其『程序的目标行为』；是次于『程序访问内核文件（系统区域内的.dll等文件）』的～

即：该规则便控制了程序的启动，而后的任何行为便也被包含于内！（当然，仅对于同一个规则而言）

-

而剩下的4个规则，都是同样一个目的：控制『程序访问内核文件（系统区域内的.dll等文件）』

所以，他们是同一个规则！（其排除，也是基本一致的！）

---

#附，Xp上“读取”与“执行”，有些许不同