也没什么,网上好多教程自己慢慢学
EQSecure E盾规则图文教程http://bbs.cfanclub.net/read-htm-tid-170958.html
用eq术语就是“父进程+拦截操作+子进程”。所以明白了什么是父子进程以及怎样添加父子进程,规则就算掌握了大半。
双击某个图标或点击某个按纽,程序就运行了;用迅雷下载一个东西,硬盘上就多了一个文件。人们通常不去深究其中的奥秘。其实,任何程序都不会自己运行,文件也不会平空出现,背后总有程序在操纵它。那个躲在幕后的神秘程序就是父进程,能够看到、感觉到的东西就是子进程。当手动打开一个程序时,由于一般是在资源管理器中操作,所以就是“资源管理器”(explorer.exe)运行了“某一个程序”;在IE中右击某个链接,再点“使用迅雷下载”,IE就会启动迅雷,这时,IE就是父进程,迅雷就是子进程。
在RD中,如果某个程序操作了某个注册表键值,则“某程序”就是父进程,某“注册表键值”就是子进程。同理,在FD中某程序操作了某文件,则前者为父进程,后者为子进程。例如,用winrar解压文件,winrar就是父进程,解压出的文件就是子进程。
简言之,父进程就是动作的发出者,即操作者;子进程就是动作的接受者,即操作对象。A程序操作(运行、终止、修改等)B程序,或A程序操作(创建、修改、删除等)B文件,A就是父进程,B就是子进程。
在E盾的规则体系中,都有哪些父进程和子进程呢?分布在何处呢?打开任意一个保护的规则编辑器,都会看到下图所示的内容:
这些是什么意思呢?顾名思义,“所有程序规则”即对所有的程序都起作用的规则。比如你在这里添加一个程序,运行设为“阻止”,那么所有的程序都无法运行该程序;在这里设置一个文件禁止被删除,那么所有的程序都无法删除该文件。“应用程序规则”就是为具体的应用程序,如浏览器、聊天工具、下载工具、看图程序等等设置的规则,规定它们可以进行哪些操作,不可以进行哪些操作。“高优先规则”和“所有程序规则”一样,对所有的程序都起作用,但是优先级最高(优先级下面再说)。分布如下:“所有程序规则”和“高优先规则”里全部为子进程(父进程为任意程序) ,“应用程序规则”中既有父进程,又有子进程(但是可以不设子进程,此时子进程为所有对象)。 父、子进程在视觉上很容易区分:呈树状结构,父进程比组名缩进一格,子进程比父进程缩进一格。如图:
“所有程序规则”对任何程序都起作用,如果有些程序,我们不想让“所有程序规则”对它起作用,有没有办法呢?只需在“其它设置”里面不选中“搜索所有程序规则”即可。这个选项的意思是把“所有程序规则”中的子进程作为自己的子进程。 为了保证“所有程序规则”名副其实,这个地方默认选中。所以,如果不作专门设置,一个父进程的子进程包括两个部分:“应用程序规则”中该父进程下的子进程和“所有程序规则”中的全部子进程。
父、子进程均有拦截操作,但两者含义不同:父进程的“运行应用程序”指父进程运行其它程序(同理,“创建文件”指父进程创建其它文件),子进程的“运行应用程序”指该程序被父进程运行(同理,“创建文件”指该文件被父进程创建)。比如说,在“所有程序规则”中加入a.exe,将“删除文件”设为阻止,意思是禁止任何程序删除a.exe;在“应用程序规则”中加入a.exe,将“删除文件”设为阻止,意思是禁止a.exe删除任何文件。
【学写最简单的规则】
在“应用程序规则”中设置:打开规则编辑界面,添加父进程→添加子进程→设置拦截操作→确定。如果父进程已经存在,直接添加子进程即可。以允许GB调用其升级程序为例:在规则编辑界面,选中(或新建)一个组,点“添加程序”,找到GreenBrowser.exe,确定;再点“添加子程序”,找到greenBrowserUpdate.exe,确定。然后在右侧“拦截操作”中,“运行应用程序”设为允许,确定。顺便说下,设为允许的一般就不要记日志了。
在所有程序规则或高优先规则中设置就更简单了,添加子进程→设置拦截操作→确定。例如设置所有的程序均不能删除mp3文件:点“添加文件”,输入*.mp3,右侧“删除文件”设为阻止,确定。
【规则优先级和作用流程】
现在你已经会写单个规则了,下面说说怎样把规则组合起来,实现更为复杂的控制。比如我想禁止任何程序运行IE,但又能手动运行,该怎么做?这就需要两条规则配合:禁止任何程序运行IE;允许explorer运行IE,然后让后一条优先执行。这就是优先级的问题,即几条规则都能匹配的情况下,哪条规则先起作用。优先级是高优先规则>应用程序规则>所有程序规则,同一类规则中,物理位置排在上面的规则优先级大于排在下面的规则。 即优先级从右到左,从上到下递减。
作用流程如下:
当E盾拦截到一个操作后,就会先确定父子进程,然后依次在“高优先规则”→“应用程序规则”→“所有程序规则”中寻找相匹配的规则(在同一类别中又按从上到下的顺序寻找),在任何一处找到,即根据设定的参数进行控制,不再向下寻找;找不到则继续寻找。如果在三者中均找不到相匹配的规则,AD按全局规则,即“主界面→保护模式”处的规则执行,RD、FD直接允许。
“高优先规则”和“所有程序规则”中找的是子进程(因为没有父进程),“应用程序规则”中则是先找父进程,如果找到,再看其下是否有子进程。如果有,应用此规则控制;如果该父进程下没有子进程,分两种情况:如果“其它设置”处选中“搜索所有程序规则”,则在“所有程序规则”中寻找子进程,还找不到则执行父进程的拦截操作;如果没有选中,则不再理睬“所有程序规则”,直接执行父进程的拦截操作。
以上是说父子进程俱全的情况,还有一种情况,就是在AD中,只有父进程,没有子进程。比如底层磁盘操作、关闭/重启系统、修改系统时间、直接操作系统内核等,操作的是系统本身而不是某个对象。这就简单了,先在“应用程序规则”中找父进程,找到则应用,找不到则按“主界面→保护模式”处的规则执行。
以上说明,为了表述方便,没有考虑拦截参数为“忽略”的情况。何谓忽略呢?就是即使找到了规则,也不应用该规则,而是继续查找下一条匹配的规则。好比你找到了意中人,但人家不乐意,选择了“忽略”,你就只好再找了。
总结:
如果“应用程序规则”中存在某程序的规则,分两种情况
1、勾选 搜索所有程序规则,执行顺序是
高优先规则→ 应用(子) →所有 → 应用(父)
2、没勾 搜索所有程序规则,执行顺序是
高优先规则→ 应用(子) →跳过 →应用(父)
如果“应用程序规则”中不存在某程序的规则,执行顺序是
高优先规则→所有程序规则→全局规则 (或允许)
了解规则优先级是非常有用的。常见有人问,我写了一条规则,怎么不起作用啊?这时候,不光要考虑规则本身是否正确,还要注意是否有优先级更高的规则在起作用。比如,有人在“所有程序规则”中写了一条规则:*.mp3,禁止删除,但是还是可以手动删除。这是因为,在“应用程序规则”中给explorer设了允许删除的规则,而应用程序规则的优先级比较高,所以能够删除。再举一例:在“所有程序规则”中禁止任何程序结束杀毒软件的进程,同时在“应用程序规则”中允许任务管理器结束任何进程,这样用任务管理器可以结束杀毒软件的进程,其它程序则不能。如果在高优先规则中设置禁止结束,则任何程序均不能结束。
设置好规则后,别忘了复制一份保存,以备出问题时恢复。规则文件默认是C:\\program iles\\eqsyssecure\\EQSysSecure.xml。
主要、次要步骤写清楚一点啊!光复制粘贴也不能解决实际问题啊
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024