VSE规则，使用文件名排除，安全性是否会有所下降？

马云波波波

如题。关于麦咖啡VSE的规则排除问题，看到版区很多朋友都使用绝对路径排除。但排除空间是有限的，若大量使用绝对路径排除，可能有些程序写不下。如果使用文件名进行排除。如下面一条日志：
2012/12/6        23:20:45        已由访问保护规则禁止         mayunbo-PC\mayunbo        D:\Program Files\SogouInput\6.2.0.7817\ImeUtil.exe        C:\Users\mayunbo\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
  
如果摒弃这种排除方式：D:\Program Files\SogouInput\6.2.0.7817\ImeUtil.exe
   而使用文件名进行排除：ImeUtil.exe

这样排除安全性是否会有所下降？请大家各抒己见，畅所欲言。

小仙仙

这个不够安全了，如果怕排除的容量不够，可以统一将软件安装在一个固定目录下，然后使用通配进行目录排除；不到实在不行的情况，比如那个网络的那个啥排除在8.8里必须得用进程名排除，不推荐使用文件名排除的

jxfaiu

不用怀疑，任意途径的同文件名，咖啡规则只需排除一个，你那怕运行一百个都不拦截。我做过测试：安装了不同版本的Microsoft Office，排除：EXCEL.EXE,WINWORD.EXE，随意运行任何一版本，规则无拦截。

马云波波波

jxfaiu 发表于 2012-12-7 09:29
不用怀疑，任意途径的同文件名，咖啡规则只需排除一个，你那怕运行一百个都不拦截。我做过测试：安装了不同 ...

可是我看过邪版主的增强版-超级版规则，还有叶知版主的一些规则，他们也是使用文件名进行排除啊。

jxfaiu

马云波波波 发表于 2012-12-7 09:50
可是我看过邪版主的增强版-超级版规则，还有叶知版主的一些规则，他们也是使用文件名进行排除啊。

绝对途径，一个文件夹内不能建同名文件，安全性你说呢；排除项数量不够可以考虑两条规则错位绝对途径，比如：

官方规则：排除：系统进程用通配符：*\**\C:\WINDOWS\**.exe，程序绝对途径

《防病毒爆发控制》阻止对所有共享资源的读写访问

规则名称：阻止对所有共享资源的读写访问
要包含的进程：*
要排除的进程：
阻挡、报告

自定义规则：排除：系统进程绝对途径，程序用通配符：*\**\C:\Program Files\**.exe

规则名称：禁止读取、执行任意文件
要包含的进程：*
要排除的进程：
要阻止的文件或文件名: **
要禁止的文件操作:  读取 执行
阻挡、报告

马云波波波

jxfaiu 发表于 2012-12-7 09:58
绝对途径，一个文件夹内不能建同名文件，安全性你说呢。

哦，那是我理解错了。我的意思也是按照邪版主或叶知版主的排除方法，通过保护特定的文件夹，在特定的文件夹中采用文件名进行排除。

马云波波波

jxfaiu 发表于 2012-12-7 09:58
绝对途径，一个文件夹内不能建同名文件，安全性你说呢；排除项数量不够可以考虑两条规则错位绝对途径， ...

如叶版的这条规则
规则名称：The Virus-Outbreak Control Of File Access/全局文件控制
要包含的进程：*
要排除的进程：consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe
要阻止的文件或文件夹名：*
要禁止的文件操作：创建 写入 删除

jxfaiu

马云波波波 发表于 2012-12-7 11:31
如叶版的这条规则
规则名称：The Virus-Outbreak Control Of File Access/全局文件控制
要包含的进程： ...

我所说的是读取、执行权限。

马云波波波

jxfaiu 发表于 2012-12-7 11:33
我所说的是读取、执行权限。

关于读取、执行的权限，叶知版主也是这种排除方法。例如下面这条规则：
规则名称：The Virus-Access Control Of System Processes/系统进程调用控制
要包含的进程：*
要排除的进程：CompMgmtLauncher.exe, conhost.exe, csc.exe, csrss.exe, explorer.exe, lpremove.exe, mscorsvw.exe, rundll32.exe, sdiagnhost.exe, SearchIndexer.exe, services.exe, shstat.exe, smss.exe, svchost.exe, taskhost.exe, TrustedInstaller.exe, userinit.exe, utilman.exe, WerFault.exe, wininit.exe, winlogon.exe, wuauclt.exe
要阻止的文件或文件夹名：C:\Windows\**.exe
要禁止的文件操作：执行

WEI.ER

文件名排除表示不安全，最好还是绝对路径排除，如果规则太多，就用通配路径，你可以借鉴墨池的封闭镇版规则，结合了各家优点，不想折腾，就统一安装路径，使用邪版的加强规则。