如何使用冰盾(iDefender)给指定程序设置文件操作白名单——以QQNT为例

kf0465

冰盾 · 主动防御系统是深圳市创信长荣网络有限公司使用iMonitorSDK 实现，基于场景模式的终端、主机多功能主动防御系统。
官网：https://trustsing.com/idefender/

以已经写好的规则为例：


右侧规则以一个and大分组和一个and小分组、两个or小分组组成。
and大分组保证下面的所有小分组都参与匹配；
and小分组用于设定允许程序操作的文件路径，推荐使用“字符串通配符不匹配”来设定目标；
一个or小分组用于存放需要执行本规则的目标程序；
另一个or小分组用于存放禁止程序操作的文件路径，可以设置成磁盘根目录。

左侧事件可以像图中一样把文件相关的事件全部选中，或者只选中“枚举文件”、“读文件”两个事件。

上方相应动作选择“拦截”并打开“记录事件”的开关。即使遗漏了程序运行的必要路径也能轻松发现并添加到规则中。
规则修改点击确定后即刻生效，不需要结束目标程序。

实际效果：
尝试访问“文档”个人文件夹：



尝试访问C盘根目录：



这样设置完成后就可以达到只允许程序访问运行必要的文件，而拒绝程序访问无关的的个人文件。
目前试用下来发现冰盾能完美符合我的需求，而卡巴斯基或者火绒是不能完美实现这种白名单的效果的。
目前是火绒5.0和冰盾一起用，用冰盾补足火绒自定义规则不足的地方，暂时没发现兼容性问题。
希望官方能越做越好，完善其他功能。

kf0465

补充一下冰盾的参数使用说明：
通配符说明：

* 表示任意字符

? 表示单一字符

> 用于结尾，表示文件夹目录本身以及子目录，比如： C:> 表示 C: 和 C:\*

< 表示除了反斜杠\以外的任意字符，用于表示当前目录但是不包括子目录，比如：C:\Win<\1.txt 覆盖了 C:\Windows\1.txt 但是不包含 C:\Windows\system32\1.txt

环境变量说明：

$(SystemRoot) 表示 C:\windows

$(SystemDrive) 表示 C:

$(ProgramData) 表示 C:\ProgramData

$(NULL) 表示空字符串（因为参数不允许为空，只能使用这个来表示）

进程参数说明：

进程相关的参数一共有三种类型：

操作进程(或者进程)：表示当前操作的发起者进程

实际操作进程： 一般等同于操作进程，如果存在远程调用或者命令行调用，则实际操作进程表示被远程调用的进程或者命令行进程。

目标进程： 表示被启动，或者被打开操作的进程

比如：

a.exe调用shutdown.exe触发关机动作，那么操作进程是a.exe，实际操作进程是shutdown.exe

b.exe通过services.exe去创建一个服务，那么操作进程是b.exe，实际操作进程是services.exe

c.exe启动了d.exe，那么操作进程是c.exe，目标进程是d.exe

Komeiji-Reimu

读文件要用内核模式的一个操作文件规则即可，不然效率极低，很卡

ongarabazanade

感谢分享，学习一下，确实有些文件须设白名单