由两条规则引起的思考？

rouland

近期重装系统后，使用了邪版的“XP加强型系统保护规则”，经过使用，感觉确实强大，对系统的保护能力确实很强。不过，感觉使用这个加强型规则，对系统还是有较大影响的，开机时明显有点儿慢了，但安全和易用总是要找一个平衡点的，既然想安全，慢就慢点儿了，反正用计算机也不玩儿大游戏之类的，对极速要求并不算太高。
在学习邪版的规则时，对其中两条规则有些不解，特向大家请教，这两条规则是用户自定义规则中的:RD 禁止可疑的程序访问注册表(项)和RD 禁止可疑的程序访问注册表(值)，对这两条规则，我的理解是它们应该是保护注册表中的键值，不允许随便进行删改操作，在正常使用中，应该是对软件安装或修改注册表的操作时，才会造成一些影响。但事实似乎并不是这样，有一些软件在使用过程中，似乎不只是读注册表，还会经常地写注册表，造成的结果就是有些软件可能不能运行了。我就有些疑惑了，已经安装在系统中的软件，为什么还会经常地删改注册表中的键值呢？按说注册表应该说象一个数据库，记录的是WINDOWS的一些启动、加载等这一类的内容，它的内容不应该经常发生变化才对，但为什么象Notes、一些U盘管理工具之类的，都会触发一些这两条规则的写入保护呢？而引起软件的不正常或系统的白屏或蓝屏，似乎也大多和这两条规则有关，这是为什么呢？或者，哪位能理解邪版写这两条规则基于什么目的呢？

tetris

注册表当然会经常动……

默认规则都是把正常程序排除了的

McAfee不会让电脑变慢，乱用才会

maimaitou

用procmon监控下随便个进程，你会发现就连变一下窗口的大小都会读写注册表的。。
规则对速度没任何影响

rouland

楼上的,问题是如果我说的那两条规则启用的话,有些软件就用不成,必须将这些软件设置为排除才行,按你说的如果改变一下窗口大小注册表都会发生变化,那是否意味着我必须将所有需要使用的软件都得排除呢?如果这样的话,那干脆不用这两条规则不是最好吗?我就不太明白,为什么要专门设置这两条规则呢?我想明白这两条规则到底能起到多大的作用呢?
因为按我的理解,好多软件连安装都已经不行了,还要去直接改注册表吗?假如说一段小代码要藏在我的WINDOWS安装目录下,而我已经将这个目录排除过了,那这两条规则也应该不起作用了啊,也只能是另外的在安装目录下不能生成EXE文件之类的规则起作用啊.要是那条规则已经起作用了,那这段改注册表的规则起不起作用应该也无所谓吧.

rouland

而且,我个人认为(很可能不正确,但提出来请大家拍一拍,也好让我清醒一下,先谢谢拍砖的喔,呵呵):规则的制定应该还是对软件运行有影响的,举例来说,我暂停访问保护后,打开QQ和调出QQ来的信息,显示速度都明显能快于打开访问保护时的情况.同时,在QQ上和对方聊天时,如果开着访问保护,打字时偶尔会感觉卡,但暂停访问保护后,基本上一直打字都是很流畅的,没有卡的感觉.所以,我感觉应该会有少量的影响,但影响不大.

主将从现

我有时也觉得邪版的注册表规则对我这样经常安装卸载软件的人不是很适用。不过现在习惯了安装软件先关闭访问保护。首先是不关闭的话，包括默认的一些规则，以及邪版的一些自定义规则都会触犯（邪版的说明中有提及），其次是安装的软件都是官网或者大网站下载的。我相信没毒。太绝对了也做不到。
现在想想，可行的办法无非是两个，一是关掉访问保护安装软件，二是关掉一些规则安装软件。相比较而言，二虽然安全，但是大大不便。
至于注册表规则，对我来说没必要保护全部。我只有保护文件映像劫持及安全模式的两条注册表规则。平时运行软件，没有遇到不便

大猫熊

RD 禁止可疑的程序访问注册表(项)和RD 禁止可疑的程序访问注册表(值)

顾名思义，这条规则不是封锁所有的注册表修改，而是“可疑”程序对注册表的修改。虽然我没有用邪版规则，但我相信规则中一定有排除项，而且按邪版的套路，肯定是路径排除，比如所有程序的安装目录C:\Program Files\，比如Windows程序目录C:\Windows\system32\，等等，这些路径里面的程序就是所谓的“安全程序”，是被授权修改注册表的。而其他的没有包含在这些目录的进程，比如说temp文件夹内的，或者磁盘根目录下的，就不能修改注册表。这两条规则相当于创造了一个白名单，授权你认为安全的程序修改注册表。如果你不把程序放在program files目录里，或者自己定义的排除目录里，这些程序当然有可能运行不起来，运行起来也会出错，因为你并没有授权它们修改你的系统。

由此，这两条规则的用意就很明确了，给予用户控制软件的权利。用户觉得该程序可以信赖，关闭访问保护安装程序到program files文件夹或者自己定义的排除目录内，安装好后开启访问保护，正常运行程序，从此天下太平。

当然，邪版规则里面肯定不止注册表规则，还有很多文件和文件夹保护规则与这些注册表规则相辅相成。比如说，禁止可疑程序写入program files或者windows文件夹（我没看过，但我肯定它有），禁止根目录可执行文件创建等等。文件保护和注册表保护一起，才构成了相对完整的防御体系。这样一来，病毒既不能将自己复制到任何高风险区域，也不能修改注册表自动启动、印象劫持或者破坏安全模式。

最后，其实规则的多少和启用与否，和系统运行速度关系不大，甚至微乎其微，只有软件频繁触犯规则，才可能造成卡机或运行缓慢。

rouland

谢谢楼上的回复，感觉有些明白了，理理思路，再想想，呵呵！

再次表示感谢!!