请问规则里的System到底是指什么？

综合症初期患者

很多规则里都会排除System，问题是这个System到底是什么？
我知道你们可能觉得这个问题过于简单，可是我实在是找不到和这个有关的文献...主要是“System”这个关键字过于“广泛”
这东西（“System”）看上去应该是是vse预先定义的一个进程集合
问题是这个集合到底包含什么？
根据名字来想的话，应该是包含了windows的系统进程
可是我看到有不少规则在排除了windows\system32下的一些进程以后（system32下应该都是系统进程吧...?），又额外排除了“System”
也就是说，系统进程并没有全部包括进“System”这个集合里，对吗？不然的话我们排除了“System”以后就不用额外排除system32下的进程了吧...
那它准确来说都包含些什么呢？

感谢回答

先AT两位高手
@qpzmggg999
@柯林

额外再请教一个问题：

Win7在执行系统更新的时候，一般的流程是怎样的呢？
下载下来的文件是否只存在于SoftwareDistribution\Download里面？
在执行更新的过程中，是否会需要在TEMP文件夹中执行程序？如果会，那么在TEMP中启动的与更新有关的程序是否会读写Windows、Program Files、Program Data等文件夹？

LukeTiger

　　System是指windows的进程，你上面说的“windows\system32下的一些进程”其实是“windows\system32下的一些执行文件”，这些执行文件要正常工作，除了变成进程外，还要在变成进程后按已设计好的功能去工作才行。
　　什么是进程？就是已经加载到内存里正在运行的程序。所以排除System，就是允许这些执行文件加载到内存。变成进程后，要互动才能工作，所以其他规则里的排除，就是允许这些进程去访问其他资源。

柯林

一般我们理解的进程，都是exe格式的程序加载到内存里正在执行的东东。这个system真要追究，可能找不到exe，而是一个dll之类的东西，这个真说不清楚。你就理解成系统自身的一个单独进程，负责处理一些特殊事情的东东，不可以停止的东东，不同于一般的exe可执行程序。

qpzmggg999

排除windows root 目录后不需要排除system了

官方没有对 system 包括 system：remote给出详细路径。而是只说了 排除项是 opening system files

综合症初期患者

柯林 发表于 2015-9-3 09:53
一般我们理解的进程，都是exe格式的程序加载到内存里正在执行的东东。这个system真要追究，可能找不到exe， ...

那么请问这个System正常情况下都会做什么事情呢？
它会读、写、执行其他的文件吗？

综合症初期患者

qpzmggg999 发表于 2015-9-3 13:57
排除windows root 目录后不需要排除system了

官方没有对 system 包括 system：remote给出详细路径。而 ...

感谢回答
排除掉windows root的确是一个很方便的做法

综合症初期患者

那个...我想再额外请教一个问题：

Win7在执行系统更新的时候，一般的流程是怎样的呢？
下载下来的文件是否只存在于SoftwareDistribution\Download里面？
在执行更新的过程中，是否会需要在TEMP文件夹中执行程序？如果会，那么在TEMP中启动的与更新有关的程序是否会读写Windows、Program Files、Program Data等文件夹？

综合症初期患者

qpzmggg999 发表于 2015-9-3 13:57
排除windows root 目录后不需要排除system了

官方没有对 system 包括 system：remote给出详细路径。而 ...

出问题了...
我在 包含* 排除C:\Windows\** 的情况下
SYSTEM还是触发了一大堆事件...
然后我又重新额外排除了SYSTEM，这次就OK了

还是说我理解错了你所说的“windows root”的意思？

柯林

综合症初期患者 发表于 2015-9-3 16:33
那么请问这个System正常情况下都会做什么事情呢？
它会读、写、执行其他的文件吗？

system就是system啦，包括网络过滤、权限控制等一大堆功能，而安全防护软件能够检测和控制到的，也只是其中的一部分，不是全部，因为安软只是在系统工作的一堆驱动链中间插入一两个驱动，选择一些关键点进行防护。所以实际上system更多是指后台服务程序，而不是我们前台所见的一般进程。它当然也读写执行文件（读写系统文件，执行系统程序），但对于我们一般意义上所说的文件操作不一样，可以认为无害。

如果仅从前台进程来看，用ARK工具查看，可能只是查看到一个dll文件，无法进行常规理解。（实际上系统是由服务程序、windows核心、windows子系统、I/O系统等部分组成）

柯林

综合症初期患者 发表于 2015-9-3 16:39
那个...我想再额外请教一个问题：

Win7在执行系统更新的时候，一般的流程是怎样的呢？

一般的更新流程是：由wuauclt.exe联网检查是否有更新补丁，如有，则由svchost.exe下载到SoftwareDistribution里，由TrustedInstaller.exe执行安装

根据安装包的不同，TrustedInstaller.exe执行安装时，有的会直接从SoftwareDistribution里的相关目录里运行安装程序，有的会被解压到windows下的Temp目录里进行安装，有的会解压到非系统盘上临时建立的一长串数字字母混合的文件夹里执行安装。安装过程中，由于执行了补丁包里的安装程序，还需要由其进行一些安装工作。

后续部分：有的安装包执行完毕后，需要重启系统。重启系统后，还会由winlogon.exe乃至smss.exe进行一些dll的替换工作。当然这种情况较少，一般都是重启就好了。