。。。。。。。。新开个帖子吧

抓抓

先引用2个帖子：

17# zlj_lf的帖
子
  “他的规则不能安装软件的，必须得关闭D+。要配合 一个杀软扫描后关闭D+来安装，你打开他的规则能看到的。另外，建议你去抓抓本人的主题
里面看下他对那个规则的解释。
实际多看几次他的规则就能理解的，主要就是对应用程序设了禁区，然后有4道过滤，过滤完了以后直接硬盘分区都关闭了，哪里来的弹窗。。。”

---------------------------

14# accordion 的帖
子
“抓抓的规则，包括了大量的白名单在内，一般你使用的程序都已经在名单内,都给允许了，所以没有弹窗
还有，不知你有没注意到，最后一层规则里，除了特殊阻止，其他都给过了。
例如：执行一个可执行的程序，例外允许\Device\Harddisk*\*\*.*（也就是说逻辑盘第一层及以下的有带"."文件全部给执行）

你想要弹窗，就把所有规则全部改为询问，一个例外都不给，然后你就可以试着运行程序了（小心抽筋）”

------------------------
------------------------
------------------------
------------------------
------------------------
------------------------
------------------------
------------------------
楼主 zlj_lf 的钻研激情值得推广，，很认真地跟你说，选择我那个规则做研究说明你非常有眼光，呵呵 。。
...
一下子就注意到关于“应用程序”的限制，说明您善于发现重点。

之前很多人的规则对%ProgramFiles%\下的程序安全问题并未有过多设置，或限于规则结构而无法过多设置，，这样也就埋下了安全隐患，，因为还有很多恶意程序是被下载安装到%ProgramFiles%\下的，，

因此%ProgramFiles%\下的规则不容忽视。。

。。。



accordion 同学能注意到“最后一层规则”里的那几条“\Device\Harddisk*\*\*.*”，很细心！

而且这几条“\Device\Harddisk*\*\*.*”在“最后一层规则”里也确实意义很大，，

表面上看，这道规则是在例外放行\Device\Harddisk*\*\*.*，即：放行所有子目录下的所有带后缀的件，，

但是结合在它之上的那些规则来看，“放行所有子目录下的所有带后缀的文件”在这里已经变得基本没有什么意义了，，因为该放行的在此之前早已放行。。

那么这条规则到底是在阻止什么呢？

这样看，我们可以把在所有磁盘里的所有文件分为两部分(A+B)：所有文件(A+B) = 所有位于根目录下的文件(A) + 所有子目录下的文件(B)。

当我们先放行了“所有子目录下的文件(B)”，，然后阻止所有文件(A+B)，，，其实也就是在阻止“所有位于根目录下的文件(A)”。。

所以这条规则主要是针对根目录下的文件，即：阻止根目录下的文件执行。。

因为我们平时常遇到的一些病毒或恶意程序，大多数首先藏身在临时文件夹目录下，还有下载后被安装在%ProgramFiles%\*\下，以及各分区“根目录“下。。。




------------------------
------------------------

另外，有几位朋友想要之前那个机会2规则，，其实目前这个“安静规则”的安全性和通用性都比机会2要强很多。。

机会2规则我真的没有保留，，我自己用COMODO时，也是用这个“安静规则”，，

这个规则在兼顾兼容性的基础上，，我用了坛子里很多有代表性的病毒和测试程序反复测试考验过；

有些地方为了兼顾易用，可能有些取舍，，比如我在%ProgramFiles%\*\下对磁碟机进行测试时，只要加上对shell.explorer2的阻止就可以防住，，但是后来发现阻止shell.explorer2,可能会在实际应用中产生一些接口上的问题（因为经常碰到），，

所以这个规则比较偏重于通用性，，安全力度在这坛子里来说，算是很高了，，大家可以拿各种病毒考验对比一下。（别忘了还要在%ProgramFiles%\*\下测试哦）。

-------------------------


希望这些上述那些解释能对一些新来的朋友们有所启发和帮助。。

七个么么

试试，我正在用 月光--莫尼亚的规则
呵呵，居然是沙发？

footman

来卡饭这么久，终于见到抓抓老大了

liaoxin

学习了，希望抓老大出个WIN7的规则，谢谢！

zlj_lf

一看到N个。号就知道是抓哥你的帖子了，一看名字，可不是嘛
抓哥你来了，等的快抓狂了，有几个问题正要请教你，希望高手的你能把这些疑问分享给我们这些新手吧。。。非常感谢，希望我的问题提出来能得到你的回答：
1.Device\Harddisk*\*、Device\Harddisk?\*(这个好像是USB吧）、\Device\HarddiskVolume?\*这个问号是1的时候代表D吗）
这三个东西能不能请抓抓兄解释一下啊。。。对于device\XXX这种写法很是晕啊。但是很想学。
虽然按照规则来看，能知道这种写法代表的意思，但是还是想更深点了解一下啊

2.还有一个问题，就是你的阻止应用程序之间互相感染的时候用的通配：Device\Harddisk*\Program Files\*.*然后还加上一条Device\Harddisk*\Program Files\*\*.*    Device\Harddisk*\Program Files\*.*这是已经代表了Program Files目录下所有的可执行文件吗，为何还要加上个Device\Harddisk*\Program Files\*\*.*呢 这点有点不是很明白，虽然知道肯定有原因的~~而且在做系统程序+的时候看到你也是这样做了，有点没理解~

3.还有就是关于这个CMD关闭不了的问题啊，虽然知道关闭方法，但是查找不到为何关不了，想知道窍门，不知抓兄可否分享一下怎么搞就能直接关闭呢~

刚入手毛豆不久，所以还是没找着原因所在啊。。。

希望抓抓老大有时候能常来指点我们这些新手啊

zlj_lf

一看到N个。号就知道是抓哥你的帖子了，一看名字，可不是嘛
抓哥你来了，等的快抓狂了，有几个问题正要请教你，希望高手的你能把这些疑问分享给我们这些新手吧。。。非常感谢，希望我的问题提出来能得到你的回答：
1.Device\Harddisk*\*、Device\Harddisk?\*(这个好像是USB吧）、\Device\HarddiskVolume?\*这个问号是1的时候代表D吗）
这三个东西能不能请抓抓兄解释一下啊。。。对于device\XXX这种写法很是晕啊。但是很想学。
虽然按照规则来看，能知道这种写法代表的意思，但是还是想更深点了解一下啊

2.还有一个问题，就是你的阻止应用程序之间互相感染的时候用的通配：Device\Harddisk*\Program Files\*.*然后还加上一条Device\Harddisk*\Program Files\*\*.*    Device\Harddisk*\Program Files\*.*这是已经代表了Program Files目录下所有的可执行文件吗，为何还要加上个Device\Harddisk*\Program Files\*\*.*呢 这点有点不是很明白，虽然知道肯定有原因的~~而且在做系统程序+的时候看到你也是这样做了，有点没理解~

3.还有就是关于这个CMD关闭不了的问题啊，虽然知道关闭方法，但是查找不到为何关不了，想知道窍门，不知抓兄可否分享一下怎么搞就能直接关闭呢~

刚入手毛豆不久，所以还是没找着原因所在啊。。。

希望抓抓老大有时候能常来指点我们这些新手啊

波纹寂寞

强势靠近抓抓老大
PS：我也是看到N多点就立马点进来了

zlj_lf

好像点多了，发了两次啊。

弄月

毛豆还真是有点难学、、

抓抓

回复 5# zlj_lf 的帖子

不好意思，刚刚吃完饭回来。。

这里给纠正一下啊，我不是高手，，呵呵，

1.

Device\Harddisk*\*基本上可以表示“所有硬盘/闪存设备”下的所有文件。。

Device\Harddisk?\*这个似乎只能表示“所有闪存设备”下的所有文件（包括常见的U盘/数码存储卡等）。。。

\Device\HarddiskVolume?这个表示磁盘分区，，（1、2、3...分别表示C:、D:、E: ...）

事实上我的规则里还有另外一个经过修改表示法，如下图：

想想为什么要这么修改？

（BTW：使用“Device\Harddisk*\*”表示法，是为了照顾到多硬盘用户。。）

2.

“Device\Harddisk*\Program Files\”是“Device\Harddisk*\Program Files\*\”的上一级目录。。

一般应用程序大多都是位于Device\Harddisk*\Program Files\*\下的，，而不是在“Device\Harddisk*\Program Files\”根下，，，，

如果发现有程序位于“Device\Harddisk*\Program Files\”根下，，基本上都是可疑的或无用的程序，，

鉴于抱着对病毒零容忍的态度，，我们必须还要在“Device\Harddisk*\Program Files\”与“Device\Harddisk*\Program Files\*\”之间禁止病毒藏身于此。。。

说到这里，有一些朋友的规则虽然也对%ProgramFiles%进行了设置，但有可能忽略了“Device\Harddisk*\Program Files\”与“Device\Harddisk*\Program Files\*\”之间的地带。。。

在这个地带没有作出限制的朋友们，，现在就可以去修改自己的规则了。。。

3.

在那个规则里，能抓住这个问题不放，，说明兄弟你很刁钻，，呵

但是，，，之前我已经给您的那个回复和解释是最好的，，，嗯嗯