给新手：极严规则下的快速排除方法（同时解决排除限制问题）

显示全部楼层 · 发表于 2007-3-10 19:02:27

一般来讲我们机器上的可执行文件（程序）存在于WINDOWS和program file这两个文件夹下面的

所以我们可以采用排除整个文件夹的方法来快速的解决：
一开始时需要不断排除，否则程序就不能使用的这个令人心烦的问题
如果程序不是安装在这两个文件夹里，而是在其它地方也没关系，排除那个文件夹就可以了
（一个很重要的，必须要注意的问题就是要先确保您所安装的程序是“干净”的）

排除之后我们还需要建立一些规则将这些文件夹保护起来
注意默认的规则里面就有禁止在WINDOWS和program file这两个文件夹下面建立可执行文件的规则
所以也不必搞得那么麻烦，弄一两条禁止，创建，修改，删除之类的意思意思就差不多了

建议如果不是很熟悉或者是嫌太麻烦的话，就请在那些具有“全盘性质”的规则里面可以采取这种排除方法
这样貌似放松了，但是实际上还是很严厉的（理论上保护效果是差不多的）
而很大好处是能够迅速的将对使用程序带来不方便降到最小最小

[ 本帖最后由小邪邪于 2007-3-10 19:20 编辑 ]

显示全部楼层 · 发表于 2007-3-10 19:06:18

这倒是个不错和简易办法,顶你

显示全部楼层 · 发表于 2007-3-10 19:36:58

不错和简易办法

显示全部楼层 · 发表于 2007-3-10 20:07:52

学习了，谢谢斑竹！

显示全部楼层 · 发表于 2007-3-10 22:10:35

顶，这是个好办法！

显示全部楼层 · 发表于 2007-3-10 23:00:41

用这个规则后，咖啡就报警，不知还要怎样排除

日志如下：

. . . . . .

2007-3-10 22:44:13 1092 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\media\Windows XP 叮当声.wav 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

2007-3-10 22:44:28 1092 BOY-TAOTAO\boytaotao \??\C:\WINDOWS\system32\csrss.exe C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.2982.Policy 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

2007-3-10 22:45:45 1092 BOY-TAOTAO\boytaotao \??\C:\WINDOWS\system32\csrss.exe C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.2982.Policy 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

2007-3-10 22:45:45 1092 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\media\Windows XP 关键性终止.wav 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

2007-3-10 22:45:57 1092 BOY-TAOTAO\boytaotao \??\C:\WINDOWS\system32\csrss.exe C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.2982.Policy 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

2007-3-10 22:45:58 1092 NT AUTHORITY\SYSTEM \??\C:\WINDOWS\system32\winlogon.exe C:\WINDOWS\media\Windows XP 关键性终止.wav 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

2007-3-10 22:46:16 1092 BOY-TAOTAO\boytaotao \??\C:\WINDOWS\system32\csrss.exe C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.2982.Policy 用户定义的规则:8-613 FD 对C盘程序的启动进行管制

. . . . . .

显示全部楼层 · 发表于 2007-3-10 23:05:53

呵呵，这个，在排除表里填入： \??\C:\WINDOWS\**

再试试

显示全部楼层 · 发表于 2007-3-10 23:11:08

学习一下，然后实践

显示全部楼层 · 发表于 2007-3-10 23:14:31

原帖由 小邪邪 于 2007-3-10 23:05 发表
呵呵，这个，在排除表里填入： \??\C:\WINDOWS\**

再试试

谢谢，应该可以了，至少现在还没报

显示全部楼层 · 发表于 2007-3-10 23:47:02

呵呵，还可以这样排除的，看来我是时侯回到咖啡的怀抱了

给新手：极严规则下的快速排除方法（同时解决排除限制问题）

本帖子中包含更多资源