本帖最后由 群心璀璨 于 2011-1-26 22:40 编辑
“一波三折法”,轻松掌握毛豆优先级
冰天雪地的,天气冷,打打字活动一下手指,顺便捞点积分~神马人气,神马加分,尽管砸过来哈~等我积分够了,我好还给大家^-^没什么技术含量,各位路过的高手或是路过、飘过、飞过请自便,如果您能指点一二,我更是感激不尽~~
优先级是HIPS软件中最重要的概念之一,理解优先级我们才能更好的利用优先级来达到我们的设计目的。然而,优先级是很多人心中“永久的迷惑”,神马优先允许优先阻止,不懂啊~~不用担心,看完这篇文章,相信你一定能轻松掌握优先级。先不急,毛豆的优先级真的有点儿复杂了,先来看看Malware Defender的优先级吧:
图 1 Malware Defender的优先级 Malware Defender的优先级很好理解——数字越大,优先级越高。然而,毛豆就没这么简单了:
图 2 规则主界面的优先级是从上到下依次降低 这个是主界面的优先级,如果你认为这就是优先级的神秘面纱,那你就错了;如果你认为接下来的优先级也是这个思路的话,那你又错了:
图 3 这里的自定义的优先级更复杂 自定义这里的优先级更复杂了,大部分人晕就晕在这里了,像MD那样和主界面一样的优先级思路就好了,但是,这是毛豆。额,毛豆就是这样了,冒得办法的事,那就只有“忍受”了。其实,毛豆的优先级虽然真的不咋的,但是也没有想像得那么复杂。我总结了一个方法——一波三折法。所谓一波,就是一个波;所谓三折,就是三个折(好像是废话额^-^)。 下来说一下毛豆的执行流程吧:当运行一个程序时,毛豆是从上到下、一条一条地匹配能匹配的规则;在执行某一条规则时,毛豆是从修改里的例外开始依次匹配优先允许、优先阻止,再匹配优先或者阻止,如果执行完这条程序规则这个动作还没有匹配(允许或阻止),那么就往下面搜索能匹配的规则(如通配规则、全局规则等),如果执行完整个规则还没有匹配的话,就弹窗交给大家自己选择。这也就是很多没有打磨的规则疯狂弹窗的原因…… 好了,懂了这个流程以后,我们就可以将优先级描述如下: 对于单条规则:优先允许>优先阻止>允许=阻止>询问,看图:
图 4 单条规则的优先级 这就是所谓的“一波三折法”,一条规则,在排除的地方产生一个波形,一个波形生成三道折弯。一条规则的执行流程就如上图所示。所有的规则连起来就是: 规则一:优先允许>优先阻止>允许=阻止>询问(往下匹配另一条规则); 规则二:优先允许>优先阻止>允许=阻止>询问(往下匹配另一条规则) …… 看图:
图 5 多条规则执行的流程与优先级的关系
OK,一波三折法,你懂了吗?啊?还晕?额,你昨晚肯定睡得太晚了,再养养神吧^-^还没完呢~~
以上所说的是访问权限里的优先级,但是,优先级的问题还远没有完……除了访问权限还有保护设置。不过保护设置里的优先级问题比较简单:保护设置的优先级非常高,除了在修改里有了明确的排除外,其余在访问权限里的任何允许都是白搭。看图:
图 6 保护设置了的优先级问题
如图,对“②程序规则②”设置了进程终止保护,那么除了排除里的任务管理器外,其他任何程序都不能终止“②程序规则②”文件组中的程序。保护设置里的其余其他保护选项一样的道理。 一般地只要对特定的想要保护的程序设置保护。如果设置了多条规则的保护,如:在图6的基础上加上“④全局规则④”的保护设置的话,那么只有在必须在“④全局规则④”的修改里进行排除,否则任务管理器还是不能终止程序。
图 7 对全局规则设置保护也必须排除
呵,到了这儿,终于可以松一口气了?NoNo~还没完……忘了“被拦截的文件”么?这个是独立于Defense+规则模块的,所以不受D+规则的约束,但是D+规则又受“被拦截的文件”的约束,所以这里才是霸主,只要被拦截了,那就真的神马都是浮云了~~任何任何的允许都是浮云。 其实,利用“被拦截的文件”的最最高优先级可以帮我们完成D+规则中的一条规则无法完成的任务。例如:我想explorer.exe能运行第二层目录下的任何程序(执行程序中优先允许?:\*\*.*),但是又不想让它运行黑名单里的程序,由于D+规则中优先允许>优先阻止,一条规则怎么怎么搞?有了拦截,我们只需将黑名单扔到被拦截的文件里就行了!
图 8 “被拦截的文件”优先级最高
额,没了,真的没了。最后把毛豆的优先级用一张图来概括:
图 9 毛豆的优先级描述 附件下载:
| 
[复制链接]
发表于 2011-1-24 10:52:26
~优先级这个玩意有点难理解
楼主
,至少不是干巴巴的那种
