[程序控制与权限控制，和规则体系]

部分一：程序/权限控制


首先，我们看看以下2个规则：

规则名称：规则A
要包含的进程：Muck.exe
要排除的进程：无
要保护的文件或文件夹名：C:\Windows\**
要阻止的文件操作：删除
-
规则名称：规则B
要包含的进程：*
要排除的进程：无
要保护的文件或文件夹名：C:\Windows\**
要阻止的文件操作：删除

规则A与B有什么区别么？  有！

它们的【要包含的进程】，有很大不同，所以决定了一点：

规则A，是程序控制；规则B，是权限控制

-

为什么？  因为2个规则的控制对象，不同；以至于是两者产生的“决定性”的分裂：

1、规则A，仅能够控制一个程序——也就是：该规则仅为拦截程序“Muck.exe”对文件夹“C:\Windows\**”的删除操作！

2、规则B，将对区域“C:\Windows\**”的删除操作，设定成了一个权限——未排除的程序，将不再拥有该权限（相比，没有使用该规则之前）。

-

那么，我们再来说一说，我们的规则：

所有的每一个规则，都是条独立而完全有效的“权限控制”（被限制的程序，被取消该权限）

而所有的规则，则组成了对每一个程序的控制！（一个程序，在所有规则中，最后所“享有的权限”和“被限制的权限”）


说到这里，有些模糊了（我自己也...）


所以我们，来看看例子（以“叶版规则，最后版本：Rule-VI-SP-III-Enhanced-Plus”为例）：

1、The Access Control Of Executable Regions/可执行区域控制——控制了程序的执行权限；将其划分为“可执行区域”和“不可执行区域”（可执行区域为：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**）

2、The Virus-Access Control Of System Processes/系统进程调用控制——控制了程序对系统进程的执行访问。

等等，每一条规则，都是一个权限控制规则。


而所有规则中，某个程序【explorer.exe】其享有的权限为：

1、可执行（The Access Control Of Executable Regions/可执行区域控制）

2、对“C:\Windows\**.exe”的执行（The Virus-Access Control Of System Processes/系统进程调用控制）

3、对“C:\Program Files*\**.exe”的执行（The Virus-Access Control Of User Processes/用户进程调用控制）

4、对全局文件的创建/删除/写入操作权限（The Virus-Outbreak Control Of File Access/全局文件控制）

5、对全局注册表键值的创建/删除/写入操作权限（The Virus-Outbreak Control Of Reg Access/全局注册表控制）

6、对“C:\Users\**”创建/删除/写入操作权限（The File Control Of Profiles Area/用户配置区域文件控制）

7、对“HKULM/Software/**/Microsoft/Windows*/CurrentVersion/**”创建/删除/写入操作权限（The Reg Control Of Config Area/配置区域注册表控制）
    .
    .
    .
    .

而其被限制的权限：

1、网络访问（The Virus-Outbreak Control Of Port Access/全局端口控制）

2、对“C:\Windows\**”创建/删除/写入操作权限（The File Control Of System Area/系统区域文件控制）

3、对“C:\Program Files*\**”创建/删除/写入操作权限（The File Control Of Program Area/程序区域文件控制）

4、对“C:\ProgramData\**”创建/删除/写入操作权限（The File Control Of ProData Area/程序存档区域文件控制）
    .
    .
    .
特被地，可以看出，在其【享有的权限】中：

其被赋予的权限“对全局文件的创建/删除/写入操作权限”，是不全的，是有限制的：被限制了对“C:\Windows\**”、“C:\Program Files*\**”、“C:\ProgramData\**”的相关权限

所以，通过寻找和对比，其享有和限制的权限，便可以得出其所有的权限控制：那些是允许的，那些是不被允许的。

特别地，通过上面的简要对比后，可以断定：【explorer.exe】，是一个拥有较低权限的进程，对高危权限，均给予了相关限制！



附：我们的规则，无法通过一个规则，便对某个进程或某类进程，进行全部的程序控制；所以，我们需要一个又一个的单一的规则，划分出每一个权限，而后通过规则整体的限制/排除与否，来全面地控制每一个进程！

---

部分二：规则体系


前面的部分，讲着讲着却也渐渐模糊了，其原始话题“程序/权限控制”便得模糊不清了（你能分清么？）

但是，我们无需分清；这里讲的便是为什么！

首先明确一点：也就是部分一所讲的——每个规则便是一个权限控制，而所有的规则完成对每一个进程的程序控制！

而两者这之间却是有着一个桥梁的：规则体系。

1、每个规则将系统的每个规则所认为需要限制的权限，划分出来

2、每个规则间，有着绝对的权限关系：包含与被包含

重点是第2点：绝对的权限关系：包含与被包含

我们看看“叶版规则，最后版本：Rule-VI-SP-III-Enhanced-Plus”自定义规则，所拥有的体系（有点懒，仅粗糙列出一小小部分）：



再看一下墨池划分好的（墨池>>咖啡豆>> 规则分享与McAfee规则详解；个人认为，划分的有一点乱）：



---

更多的时候，我们的规则，拥有怎样的防御能力；并非去试几个小毒，而是从全局看，其规则体系如何！

当然，另一个也相当重要的【隐含体系】也需要重视：排除！

何种排除，以及排除量，直接决定了该规则最终能力如何！

--

所以呢.....

上面说的这些，你知道吗？ 你是否考察过你的规则体系？？  你的规则编写，是否有着一套体系？？？

就我个人而言，我习惯于区域权限控制；使用尽可能的区域划分，使得整个系统的每一个有必要独立出来的区域，给予相关单独的区域权限控制——这样，具有较高的完整度和可分析性。

-

当然，规则体系，更多的时候是应用于一套较为强大的规则而言；因为，它们才拥有全面而细腻的控制！

而主要以默认规则为主体的，则是使用的是较为分散的权限控制，各部分之间并没有严格的包含于被告含关系；仅权限之间的高低之分。

但，只要能够较为合理地组成了全面的规则防御，便也是一套高效的规则体系！

明月丶舞白衣

谢谢，我看看技术文

PS“”叶知以后抽空帮我弄下咖啡个人版设置可以不

lishaoyu007

也许是个人比较懒的缘故吧。。。因此电脑中的各类软件都直接进行了分类。毕竟同类软件所需要的权限基本相同。相差不了多少。。。。因此在规则方面也仅仅是针对整个软件大类进行划分设置。剩下其余的比较特殊的软件再额外进行单独的规则进行补充。即LZ提到的权限和程序控制。最后再对“非区域内的软件、程序等”统一做出一个艰难的决定——死刑搞定了。。。反正咱也不喜欢瞎折腾什么的。。。。
没用完美的规则，只要最适合自己的规则。良好的上网习惯胜过一切

墨池

又见技术帖，支持！

GAMESPYER

天啊，对我们菜鸟来说，太复杂些了，有人把规则编好的么？

jml521m

  不错，符合我的口吻，所以我修改的叶版，以及排除都告知排除了那些，怎么排除的...

叶版八版Rule-IIX-Stone（Final）http://bbs.kafan.cn/thread-1296571-1-1.html

叶版第6版规则http://bbs.kafan.cn/thread-1255563-1-1.html



自己的电脑一直第六版加减中...

jxfaiu

jml521m 发表于 2012-12-3 08:39
不错，符合我的口吻，所以我修改的叶版，以及排除都告知排除了那些，怎么排除的...

叶版八版Rul ...

压缩包中没文字版啦！让我等小白也套用。

jxfaiu

支持版主技术帖！

心跳回忆

明月丶舞白衣 发表于 2012-12-2 23:42
谢谢，我看看技术文

PS“”叶知以后抽空帮我弄下咖啡个人版设置可以不

呜呜~~不找我

jml521m

jxfaiu 发表于 2012-12-3 10:59
压缩包中没文字版啦！让我等小白也套用。

文字版自己访问叶版历来规则大全喽


http://bbs.kafan.cn/thread-1252636-1-1.html