本人菜鸟，想请问各位大侠一些问题

accordion

1.看到各位大侠都有全局    *\*.*     这个东西，他和所有应用程序  *  有什么区别？


2.在”我的受保护文件”里添加  *\*.*  还有必要需要添加可执行文件吗？


请各位大侠指点

柯林

回复 1# accordion
应用程序*   ——任何有后缀及无后缀的可执行文件
应用程序*.*  ——计算机上任意位置带后缀的程序。
应用程序*\*.*  ——任意目录下带后缀名的可执行文件。
应用程序?:\*.*  ——任意磁盘根目录起直至N层目录下的带后缀名的可执行文件。

一般不建议在受保护文件里写*或*.*，采用这种最严厉最变态的写法，你将面对成千上万的弹窗，一般进行重点监控即可。

accordion

回复 2# 柯林

那好，也就是说在添加了*\*.*以后，再添加“可执行文件”就是重复？

柯林

回复 3# accordion
你要严厉规则，受保护内容全部删掉，写两条就够了：
*.*
*
如有必要再加两条
\Device\NamedPipe\*
\Device\*
建议做好手抽筋的准备。

accordion

谢谢柯大侠。。。不过我还想问你一个问题。。毛都自带的那个“安装或更新”规则的权限是怎么样的


还有。。如果利用\Windows\ApiPort，是不是所有程序都要访问它？包括病毒？那如果我在安装时遇到病毒。而防病毒查不出来又怎么办



还有。。。昨天晚上我下载了一个有微软签名的WIN更新病毒，为什么在毛豆上提交不了？



请亲爱的柯大侠帮我解答下

柯林

“安装或更新”的权限，应该是相当大，可以改写exe等可执行文件，com接口及注册表的相关操作，应该也不受限制。排除病毒感染和控制，一般程序的升级程序还是规矩的，可信赖的。
\Windows\ApiPort是一个伪com接口，任何程序想运行，对于毛豆的防御机制来说，必先触发此项，不允许就会初始化错误，无法运行。因为有它的控制，就算你把病毒安装上了，规则中没有允许病毒使用\Windows\ApiPort，那么病毒安了也白安，不可能运行的。如果病毒有很厉害的驱动已经顺利安装并启动相关服务，重启计算机后毛豆就不一定能阻止它，虽然\Windows\ApiPort可以阻止它的进程运行，但是毛豆驱动是否能废掉病毒驱动那就不好说，所以安装程序时一定要特别注意驱动——一般程序没必要安装驱动，有必要安装驱动的一定要确保文件安全。
提交病毒，我没玩过，一般都是可以正常提交的，你再试试，或者向其他朋友咨询下。

accordion

好吧，那我想再问你一个问题，假如说我有一个专门占内存的病毒，在\Windows\ApiPort允许访问的情况之下，会不会出现病毒不断复制这种情况呢

柯林

回复 7# accordion

\Windows\ApiPort 只是允许一个程序可以正常初始化以便顺利启动，至于启动后它干什么，应该由其它规则来判定。它复制自己后，应该会有创建到某个目录的动作，正常情况下，会触动FD规则，即使全局规则不设为自动阻止，按默认规则也会弹窗询问，你点阻止就能拦截该操作。