火绒规则优先级探索

显示全部楼层 · 发表于 2016-5-1 13:25:54

本帖最后由电脑发烧友于 2016-5-1 14:48 编辑

以下所有结论均由实机实验得出结论，如有错误还请指教。
从开始接触火绒的自定义规则开始就有一个疑问，火绒规则的优先级到底是如何的？我今天准备了简短的实验。

以上两种规则在列表中的位置第一次为询问在上，第二次为阻止在上，结果如下。

询问在上

操作进程：C:\Users\wuliao\Desktop\FileTest.exe
触犯规则：询问
操作类型：创建
操作文件：C:\Users\wuliao\Desktop\1.exe
用户操作：已忽略

实际上还是阻止了，只不过阻止的这一条并没有记录到日志里面去。

再次尝试创建exe，询问时阻止操作。

操作进程：C:\Users\wuliao\Desktop\FileTest.exe
触犯规则：询问
操作类型：创建
操作文件：C:\Users\wuliao\Desktop\1.exe
用户操作：已阻止

结果是一样的，日志里依旧只有一条记录，没有创建exe。

阻止在上

我们允许操作

操作进程：C:\Users\wuliao\Desktop\FileTest.exe
触犯规则：询问
操作类型：创建
操作文件：C:\Users\wuliao\Desktop\1.exe
用户操作：已忽略

允许操作之后操作依旧被拦截，日志记录依旧是一条。

再次尝试创建exe，询问时阻止操作。

操作进程：C:\Users\wuliao\Desktop\FileTest.exe
触犯规则：询问
操作类型：创建
操作文件：C:\Users\wuliao\Desktop\1.exe
用户操作：已阻止

阻止操作之后没有创建exe，日志记录还是一条。

自动处理规则

第一种情况测试。

执行操作后，无日志，无弹窗，exe被创建

第二种情况测试

执行操作后，无日志，无弹窗，exe被创建

第三种情况测试

执行操作后，无日志，无弹窗，操作被拦截

第四种情况测试

执行操作后，无日志，无弹窗，操作被拦截

这里还有一个更细节的问题，看下面的总结。

总结
1.对于自定义保护规则来说，规则的先后顺序并不影响规则的执行结果。
2.对于自动处理规则来说。
同一条自动处理规则内，优先执行靠上的规则，其他规则失效。
不同的自动处理规则匹配到同一个动作发起者，优先执行精确度高的规则

以上图为例。优先级顺序为①＞③＞②

显示全部楼层 · 发表于 2016-5-1 13:25:55

本帖最后由电脑发烧友于 2016-5-1 14:46 编辑

攻占2L

用作备用

显示全部楼层 · 发表于 2016-5-1 14:01:51

都已经总结了还占二楼。。。

显示全部楼层 · 发表于 2016-5-1 14:16:49

电脑发烧友发表于 2016-5-1 13:25
攻占2L

不担心被扣分或者禁言么？

我使用傲游云浏览器

显示全部楼层 · 发表于 2016-5-1 14:46:40

玉米包粟发表于 2016-5-1 14:16
不担心被扣分或者禁言么？

已改

显示全部楼层 · 发表于 2016-5-1 14:46:42

本帖最后由电脑发烧友于 2016-5-1 14:49 编辑

玉米包粟发表于 2016-5-1 14:16
不担心被扣分或者禁言么？

破网络二连了

显示全部楼层 · 发表于 2016-5-1 16:18:33

缉毒卫队又有新规则要出了？

显示全部楼层 · 发表于 2016-5-16 10:32:44

本帖最后由天耀群星于 2016-5-16 10:37 编辑

优先级：1、允许 2、阻止 3、询问
精确优先，绝对路径优先。
你的*\file.exe规则写法，不如*file.exe

自动处理规则，越上面，优先级越高。自定义防护也一样

显示全部楼层 · 发表于 2016-5-20 17:31:31

本帖最后由电脑发烧友于 2016-5-20 17:33 编辑

天耀群星发表于 2016-5-16 10:32
优先级：1、允许 2、阻止 3、询问
精确优先，绝对路径优先。
你的*\file.exe规则写法，不如*file.exe ...

但是这样可以避免部分错误匹配。
另外，本次测试中无论是询问在上，还是阻止在上，无论弹窗是允许还是拒绝，阻止规则总是生效。请问关于回复中的优先级是实验出来的么？

[分享] 火绒规则优先级探索