VSE规则排除的一点想法。。

金属猎人

全局规则里面如果有一个包含项不停地触犯规则，而又不能添加到排除里面的时候，这样不停地触红实在很烦。个人是这样想的，另外写一个规则针对该进程，报告取消，而在全局规则里面把该进程添加到排除里面，不知道这样的想法有没有实际作用，在端口规则里面这样做了有效果。

shiyuelaohu

可以，不过全局规则打磨好之后也可以关闭报告的。

金属猎人

shiyuelaohu 发表于 2013-11-10 20:06
可以，不过全局规则打磨好之后也可以关闭报告的。

那另一种情况，在一个规则中使用通配符排除的进程，在另一个规则内容相同（排除不同）规则中被包含的话，是不是后者的规则就失效了？使用排除的方式会不会对结果有影响？

顺便问下，几个系统进程，taskhost.exe之类的在C盘创建文件，修改注册表的行为应不应该禁止？墨池大大的返璞规则中有管制系统的自定义规则，不知道这样做会对系统平时运行造成大的影响？

shiyuelaohu

这个涉及到咖啡规则的优先级，墨大说过，规则是从头读到尾，也就是前面一个规则拦截的话，后面的规则就不再起作用了。所有的规则都允许的情况下，进程才能运行。
至于taskhost.exe，我觉得既然是个安全进程，完全可以排除，毕竟病毒调用正常进程的几率是非常小的。一般来说，自己电脑很干净的前提下，见红即排也未尝不可。我对系统进程并不是很了解，只能这样来判断。
如果用版区的规则，排除部分不要照搬，自己排除最好。

金属猎人

shiyuelaohu 发表于 2013-11-10 20:41
这个涉及到咖啡规则的优先级，墨大说过，规则是从头读到尾，也就是前面一个规则拦截的话，后面的规则就不再 ...

1、通配排除，造成的『必然』失效

如果，在这么一个高集权规则中如此排除：

规则名称：禁止非信任区访问文件
要包含的进程：*.*（排除System）
要排除的进程： C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要禁止的文件或文件夹名：*
要禁止的文件操作：读取


那么，其后所有使用『C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**』排除的规则，将是无效规则！！!


这是叶版教程里面写的，个人有些不理解，只是文件规则的通配排除，为什么会产生之后规则排除无效的效果。想了许久，还是没头绪，借机问问，呵呵

shiyuelaohu

金属猎人 发表于 2013-11-10 21:19
1、通配排除，造成的『必然』失效

如果，在这么一个高集权规则中如此排除：

这个我也不懂。。。我觉得  其后所有使用『C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**』排除的规则，将是重复规则  。重复规则更为恰当。

jxfaiu

金属猎人 发表于 2013-11-10 21:19
1、通配排除，造成的『必然』失效

如果，在这么一个高集权规则中如此排除：

不会是楼主未排除内存中的进程吧，请使用：*\C:\Windows\**排除；

cobrayang

金属猎人 发表于 2013-11-10 21:19
1、通配排除，造成的『必然』失效

如果，在这么一个高集权规则中如此排除：

规则排除使用的正则表达式匹配，程序在匹配时依照先后顺序进行遍历每个正则（即你排除的路径，如C:\Program Files (x86)\**），一旦匹配，即执行相关动作，如阻止，报告，放行等，所以如果你写了2个排除项的正则，匹配的路径字符有重复或重合，会以第一个为准。。

金属猎人

jxfaiu 发表于 2013-11-11 09:30
不会是楼主未排除内存中的进程吧，请使用：*\C:\Windows\**排除；

这个规则只是叶版教程里面的例子，我自己没有这个规则

金属猎人

cobrayang 发表于 2013-11-11 11:16
规则排除使用的正则表达式匹配，程序在匹配时依照先后顺序进行遍历每个正则（即你排除的路径，如C:\Progr ...

正则表达式是指通配符写的表达式么？不是很懂


还有匹配优先级怎么判定？