轻松学毛豆（第一期）—规则间优先级

电脑发烧友

     
如果看不懂请看2L！！！！！！













   前言：学习紧张了，好不容易回一趟家，打开电脑却不知道干什么，看着LOL在桌面上躺着也不去点，就是呆呆的看着帖子听着音乐，实在是无聊了点。于是过来胡说八道一下。
     这是第一期，还会有后续，包括基础一类的巩固，还有进阶类的一起探讨。
     

     由于各种各样的原因，如通配符以及各种情况，难免出现规则（这里的规则还是指大家所指的规则，到了后面会重新定义以下，不然说不下去）同时匹配到同一个程序的情况。例如，情况如下

这两个规则所对应的权限是不一样的，但是却可以匹配到同一个程序，这时就需要考虑到优先级的问题了。


注意：从这里开始“规则”的定义将指代某一个权限的默认处理方式，例如  即可称为一个规则。
此类将不再被称为一个规则，可以称为一个规则组或者一个程序的所有规则。
下面来介绍几个名词：

•精确规则：对一个确定的程序的某个权限的默认处理方式为允许或阻止的即为精确规则。
•非精确规则：对一个确定的程序的某个权限的默认处理方式为询问即为非精确规则。

该规则为精确规则。
该规则也为精确规则。
该规则为非精确规则。•非精确规则涉及到规则的优先级，如果你打算编写高质量的规则就不得不考虑优先级的题。
•优先级是对于同一套规则，当多个规则匹配到同一个程序时决定那个规则被执行的判断
式。
•保护设置>例外允许>例外阻止>允许=阻止>询问。
•那么精确和非精确是如何影响规则的优先级呢？需要牢记以下几点：①保护设置的优先级大于以下提到的一切规则，当一个规则与保护设置规则冲突时保护设置规则立即生效，其他规则无效。
②对于COMODO的D+，规则的读取顺序是从上到下的。
③精确规则的优先级＞非精确规则的优先级。当同一个程序同时匹配到一个或多个精确规则和非精确规则的时候，，那么该程序的权限处理方式按照精确规则所规定的处理，即精确规则生效，非精确规则不生效。
④当用一个程序同时匹配到多个精确规则时，将根据从上到下的读取顺序，那么最上面的精确规则会生效，其余的精确规则将不生效。⑤例外允许和例外阻止的优先级＞精确规则和非精确规则，当遇到例外规则是无论是否为精
则，该规则在不触犯保护设置的情况下立即生效。


知道以上几点之后，对于优先级的应用就会上一个台阶。



这是针对于1.exe的一个规则组，未列出的权限处理方式均为询问。


这是另外一个针对于1.exe的规则组，在排列顺序在上一个规则组的下面，同样未列出的权限处理方式均为询问。

对两个规则组进行分析，上面的规则组命名为“甲组”，另一个为“乙组”。

对甲组的规则情况进行分析。

其中精确规则为

进程间内存访问   阻止
进程终止              允许

其余的为非精确规则。

对乙组的规则情况进行分析。

其中精确规则为

运行一个可执行程序   阻止
进程终止                      阻止（截图失误，应该是阻止）
设备驱动程序安装       阻止

其余的为非精确规则。

那么当1.exe执行起来的时候，那么会有那些规则生效，那些生效呢？

根据从上到下读取的原则

读取到甲组时
进程间内存访问   阻止——生效进程终止              允许——生效
其他                      询问——继续向下读取

读取到乙组是
运行一个可执行程序   阻止——生效（由于之前读取到的为“询问”为非精确规则，“阻止”为精确规则，故生效）
进程终止                      阻止——不生效（由于之前已经匹配到“允许”的精确规则，根据原则，不继续向下匹配该类权限的规则，故不生效）
设备驱动程序安装       阻止——生效（由于之前读取到的为“询问”为非精确规则，“阻止”为精确规则，故生效）


其他                              询问——继续读取，若为匹配到其他规则即询问用户处理方式。

最终这个程序的权限是
进程间内存访问          阻止进程终止                     允许

运行一个可执行程序   阻止
设备驱动程序安装       阻止
其他权限                      询问

我们将乙组的规则更改以下，激活保护设置规则



保护该进程的内存不被修改          保护      例外允许数量1（非1.exe）个。

新增规则组“丙组”



进程间内存访问    允许    例外允许-修改1.exe内存。

从新读取甲组，乙组，丙组的规则。

对甲组的规则情况进行分析。

其中精确规则为

进程间内存访问   阻止
进程终止              允许

其余的为非精确规则。

对乙组的规则情况进行分析。

其中精确规则为

运行一个可执行程序   阻止
进程终止                      阻止（截图失误，应该是阻止）
设备驱动程序安装       阻止

其余的为非精确规则。


保护设置：

保护该进程的内存不被修改          保护      例外允许数量1（非1.exe）个。

对丙组的规则情况进行分析


除运行一个可执行程序为非精确规则以外其他的均为精确规则。


拿出一个来——进程间内存访问     允许    例外允许-修改1.exe内存。



那么当1.exe和2.exe执行起来的时候，和只有甲组乙组的情况有何不同，请看大屏幕。


2.exe对应的权限

进程间内存访问     允许    例外允许-修改1.exe内存。


1.exe（乙组）保护设置对应的规则


保护该进程的内存不被修改          保护      例外允许数量1（非1.exe）个。

根据保护设置规则优先于任意一个非保护设置规则，那么最终2.exe是无法修改1.exe进程的内存的。




之后还会有第二期，第三期等等等等，柯大喜欢简单易用的，如果不想折腾还是建议去看看柯大的，反之可以考虑看看我的，可能对你有些帮助。

电脑发烧友

看不懂的同学们或许可以看看这个

询问——第四优先级。 允许\阻止——第三优先级。 某个权限后的修改——第二优先级。

保护设置里的“激活”——第一优先级。  保护设置里的“修改”——绝对优先。

绝对优先>第一优先级>第二优先级>第三优先级>第四优先级>。

多个相同等级的规则被匹配到的之后，排列最靠上的规则生效，其他不生效。

1670338677

支持！！！！！！！！

电脑发烧友

1670338677 发表于 2016-3-25 22:36
支持！！！！！！！！

大晚上的过来水贴不累么

导演AZ

学习学习 前来顶帖
前几天找了本书看 注册表就说了个大概  毛豆要是推出注释功能就好了  毛豆弹框时 可以显示用户注释的文字
有些注册表什么功能 ｛数字一堆的那种｝什么鬼啊，，，，，

电脑发烧友

导演AZ 发表于 2016-3-25 23:29
学习学习 前来顶帖
前几天找了本书看 注册表就说了个大概  毛豆要是推出注释功能就好了  毛 ...

其实我也这么想

HEMM

小白~，看不懂！好复杂的说，不想学，等我写规则出了问题，再大哭一场，最后再跑来问你~

YSJ

我来学习之

柯林

模糊操作与精确操作之类的提法，是以前的，有点老了，使用这些概念，可能并不适合新人尽快理解毛豆，反而有把人越绕越糊涂的嫌疑，建议放弃

可以尝试用另一种方式表述：询问/允许/阻止，属于基本级别，后面的"修改'里面的东东，属于高优先级别

任何时候，不管有多少条规则涉及到同一对象，高优先永远是最先起作用，然后才是基本级别

不管是高优先，还是基本级别，都是从上到下，逐条进行对比与匹配的，找到匹配的立即执行，不再往下查找

电脑发烧友

柯林 发表于 2016-3-26 15:45
模糊操作与精确操作之类的提法，是以前的，有点老了，使用这些概念，可能并不适合新人尽快理解毛豆，反而有 ...

或许可以这么说。
询问——第四优先级。 允许\阻止——第三优先级。 某个权限后的修改——第二优先级。

保护设置里的“激活”——第一优先级。  保护设置里的“修改”——绝对优先。

绝对优先>第一优先级>第二优先级>第三优先级>第四优先级>。

多个相同等级的规则被匹配到的之后，排列最靠上的规则生效，其他不生效。

这样似乎好多了。