新人报到！请教小邪邪规则里的通配符问题

显示全部楼层 · 发表于 2009-3-23 18:30:49

新人，先报到。向各位大侠问好。问一个菜鸟级的问题，望各位大侠赐教。
正在学习小邪邪的XP系统加强型规则，在默认规则里，我注意到有这样的排除项：?:\WINDOWS\**\*.*,\??\?:\WINDOWS\**\*.*,\\?\?:\WINDOWS\**\*.*。第一个很好理解，默认WINDOWS目录下的所有文件都是安全的。但是第二、三个就看不明白了，是指本机的WINDOWS目录下的所有文件吗？第二三个表明什么特定含义？以及为什么要这么写？在什么情况下会是用到这一排除项？
另外在深红的雪的防入口通用型规则包（加强版）中，我注意到有这样的排除项：\SystemRoot\System32\smss.exe。这是否等同于?:\WINDOWS\system32\smss.exe。McAfee自定义规则中对SystemRoot是否会解释为Windows下的%SystemRoot%（即系统安装目录），还是会解释成为名称为SystemRoot的文件夹？
以上是我在学习初期的疑惑，请各位大侠多多指点。在此谢过。

显示全部楼层 · 发表于 2009-3-26 17:26:14

怎么没人回答？别浇灭了学习的激情。

显示全部楼层 · 发表于 2009-3-26 18:07:45

排除路径中有一种以“\??\”或“\\?\”打头的路径，编写规则时若将“\??\”或“\\?\”去掉的话便无法排除该进程，这是因为该进程已注入内存，所以在排除时已不是原路径，而是内存中的路径，所以需要以“\??\”或“\\?\”打头。“\??\”表示内存中的单个进程，多为系统进程，如??\C:\WINDOWS\system32\csrss.exe；“\\?\”表示在内存中除自身进程外，还注入在内存其他进程中，多为应用程序进程。

显示全部楼层 · 发表于 2009-3-27 09:55:51

严重感谢lujunji1987！

显示全部楼层 · 发表于 2009-3-27 10:43:43

刚刚学习了8.5i的详细教程，好像不支持不支持变量，切勿使用变量写FD规则。这算一个Bug。

显示全部楼层 · 发表于 2009-3-27 12:13:18

我来学习啊!

显示全部楼层 · 发表于 2009-3-27 13:15:23

我也是将来学习学习

显示全部楼层 · 发表于 2009-5-22 18:37:07

学习啦~！这里真长知识了

显示全部楼层 · 发表于 2009-5-22 19:35:50

看看这里的说明
http://baike.baidu.com/view/451.htm

[求助] 新人报到！请教小邪邪规则里的通配符问题

自己占个沙发