查看: 13396|回复: 31
收起左侧

[分享] 毛豆初级教程---带你走进毛豆优先级(D+部分)的世界。

[复制链接]
小静电
发表于 2009-4-6 10:01:07 | 显示全部楼层 |阅读模式
有错误,请大家指出,不要因为我的原因而误导了新人们,谢谢了!

版本:3.8  毛豆默认规则。



对新人们的建议:毛豆上手难度比较大,能坚持下来实在是不容易,但是只要你能坚持下去,多读(电子书要经常翻看)、多看(毛豆的日志、论坛的帖子),多动(尝试自己动手修改规则,而不是上来就套用别人的规则),你就会有柳暗花明又一村感觉,驾驭好毛豆也不并不困难,不经历过风雨,又怎么能体验到彩虹的美丽呢!^_^。



先推荐一个帖子,非常不错关于优先级的帖子,起码我个人认为比置顶的帖子讲的详细,我本人也是从那个帖子(并且讨教过楼主后)才搞懂毛豆优先级的关系的。在此一并感谢liudianshui了。

毛豆D+优先级个人经验随笔


http://bbs.kafan.cn/thread-356998-1-1.html



废话不说了,下面直入主题,毛豆优先级的世界。


要想驾驭好毛豆,优先级的重要性不言而喻,但偏偏毛豆的优先级比较麻烦(对于新人们来说),不光要考虑自身的规则,还要考虑全局规则及全局规则的位置。下面请跟着我的来看一看。


毛豆的优先级(D+部分)是:自上而下、从左到右、自内向外。

1、自上而下。

一个权限,是否能得到执行(允许、阻止、弹窗),是由自身规则与全局规则来共同决定的,匹配哪一个就执行哪一个、哪个规则在上面就先执行(如果匹配的话)哪一个,一旦得到了确定的权限(允许或阻止)就不会再向下寻找规则了,而是直接被执行了,如果都不匹配,则会弹窗询问。说起来非常咬嘴,下面我举几个例子大家就会明白了。



1.1    全局规则在自身规则之上,且全局规则中无匹配内容。

这个应该比较好理解,全局规则中无匹配内容,就只需考虑自身规则的权限了,是允许、阻止、还是弹窗,都由自身规则决定。
这个就不上图了,很容易理解。


1.1.1  全局规则在自身规则之上,且全局规则中有匹配内容。

我举个例子,以explorer的fd权限为例,其它权限以此类推。

首先把全局规则拉到explorer规则之上,




全局规则中fd权限中ask中阻止中添加一个测试路径,比如C:\Documents and Settings\Administrator\桌面\优先级测试\*




explorer的fd权限全部允许。





匹配的结果是由于全局规则在自身规则之上,且有匹配内容,就会直接得到执行(阻止删除那个目录里的文件)并不会再向下寻找自身规则了。





日志如下。





1.2   全局规则在自身规则之下,且全局规则无匹配内容。

这个也好理解,只需看自身的权限就行了该允许的允许,该阻止的阻止,都不匹配弹窗询问。不必考虑全局规则的权限。
这个不上图了,容易理解。



1.2.1  全局规则在自身规则之下,且自身规则与全局规则中都有匹配内容。

首先设定explorer的fd权限阻止删除那个测试路径里的文件,全局规则fd权限允许删除那个测试文件里的路径。

匹配的结果是删除文件被阻止了(因为规则自上而下寻找,首先会找到自身规则,自身权限是阻止删除那个测试路径里的文件,就会被执行,而不会再向下寻找全局规则了)。所以全局规则中的允许权限是没有被机会得到执行的。




1.2.2   全局规则在自身规则之下,自身规则无匹配内容,全局规则有匹配内容。

首先设定explorer的fd权限全部为ask(询问),设定全局规则阻止删除那个测试文件路径,匹配的结果是由于自身规则无匹配,继续向下寻找规则(全局规则),找到后(全局规则是阻止删除那个测试文件路径),直接执行,阻止删除文件(不弹窗)。

这里说下,匹配结果虽然一样都是阻止文件被删除了,但与1.2.1运用规则是不同的,1.2.1是由自身规则实现的,本例中(1.2.2)并不是由explorer自身规则阻止的,而是由于全局规则权限给阻止了。


1.2.3   全局规则在自身规则之下,自身规则无匹配内容,全局规则也无匹配内容。

匹配结果是弹窗询问。


总结一下:新人们是不是看的晕晕的,我也晕啊,只要把握一点,确定的权限(阻止、删除),直接被执行,不会再向下寻找规则。

2、从左到右。

也就是说,允许是大于阻止的,这里我举一个例子,大家就会明白了。

explorer权限允许与阻止中都有一样的内容。








匹配的结果是允许文件删除。






3、自内向外

自我保护,优先于其它程序的访问权限规则。

自我保护总共有四项内容,我举一个结束进程的例子,其它以此类推。

首先设定explorer及记事本程序的自我保护内容,阻止其它程序结束它的进程,至于modify里面是设定例外项的,也就是说除了例外项里的程序,都不允许结束explorer进程。




匹配结果是任务管理器(自身给系统权限)系统权限默认是可以结束掉explorer、记事本进程的(没添加自我保护的情况下)




不能结束explorer、记事本进程。










日志如下





自我保护优先级是高于其它程序权限的。



大家也许会认为是不是觉得任务管理器太弱了,下面我再用wsyscheck来试一下,首先要确保他的驱动不被加载。











这里,顺便谈谈大家经常议论的毛豆进程保护比较弱,随便一个进程管理软件都能结束掉他的进程的话题,首先你有没有允许这个进程管理软件加载驱动,如果不让他加载驱动的话,别说毛豆进程了,就是记事本进程,他也结束不了,(记事本进程要加入自我保护)。


你给小偷配了一把防盗门的钥匙(允许加驱),结果防盗门被打开了(进程被结束),难道你还能怨防盗门(自我保护)不结实吗??


结束explorer及记事本进程,并没有被结束掉,桌面图标也正常。





看看日志,毛豆保护了explorer、记事本进程没有被结束掉。日志如下







终于讲完了,我彻底晕了,你们呢?O(∩_∩)O哈哈~。



如果你能坚持看完这个帖子,那么我上一个帖子提到的问题,想必你也已经有答案了。

什么还没有答案,那就只好看看忍者写的那个帖子了,地址:       http://bbs.kafan.cn/thread-454722-1-2.html

另一个关于全局规则优先级应用的帖子:                                     http://bbs.kafan.cn/viewthread.php?tid=439580&highlight=%D6%B4%D7%D3%D6%AE%CA%D6





[ 本帖最后由 小静电 于 2009-4-7 06:38 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 2经验 +33 人气 +1 收起 理由
liudianshui + 1 精品文章
秘书 + 33 精品文章

查看全部评分

小静电
 楼主| 发表于 2009-4-7 06:39:52 | 显示全部楼层
这个地方,等补充内容或修正错误只用。
apcclxj
发表于 2009-4-7 08:36:30 | 显示全部楼层
好文章,清早就看到精品,
一下子丫
发表于 2009-4-7 08:38:37 | 显示全部楼层
要支持达~~
谢谢静电
月光下的忍者
发表于 2009-4-7 08:41:59 | 显示全部楼层
哈哈哈~

我想这次无论我怎么考优先级,都难不住大家了~

(等有机会考老虎、大象等大型动物的上床问题~~前提是床不塌~)
lengbinlong
发表于 2009-4-7 10:09:15 | 显示全部楼层
学习中..
araorao 该用户已被删除
发表于 2009-4-7 10:55:06 | 显示全部楼层
有这么多的辛勤的静电黄牛们的指引,怎么还是那么多新人半路就撇了毛豆?——呃。。。貌似我也系新人。。。。
iizhuy
发表于 2009-4-7 18:35:29 | 显示全部楼层
收藏了,慢慢看。。。
谢谢!
魂断蓝桥
发表于 2009-4-7 18:40:18 | 显示全部楼层
毛豆的优先级(D+部分)是:自上而下、从左到右、自内向外。

就看懂了这一句话,太晕了。条理不太清楚。
时尚の瓜落儿
发表于 2009-4-7 23:58:22 | 显示全部楼层
好贴 好贴  学习了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2022-8-11 04:30 , Processed in 0.130936 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表