EQSecure E盾规则图文教程---理论篇
[b][color=magenta]前言:本文首发EQ论坛,作者[color=blue]竹节大将军[/color]。经[color=magenta]其[/color]授权转载,在此感谢。同时期待竹节归来,卡饭随时欢迎你回来^_^*(baerzake)[/color][/b]子曾经曰过,欲练神功,挥刀自宫 。练好E盾神功,却不必自宫(我就没自宫),看完这个教程就差不多了,呵呵。
E盾制定规则非常灵活方便,只要掌握方法,任何人都能轻轻松松DIY各种各样需要的规则。方法有五种:询问框、日志、学习模式、手动编辑、拖动。学习模式最方便(全自动,无论多复杂的规则,瞬间搞定),询问框、日志更有针对性,拖动的方法不常用。手动编辑最难但又是基本功,要想真正用好E盾,必须掌握,下面予以重点讲解。
[size=3][b]【父子进程含义及分布】[/b][/size]
规则其实很简单,说穿了,一条规则就是一句话:谁能(不能)对谁怎么样。用语言学术语说就是“主语+谓词+宾语”,用eq术语就是“父进程+拦截操作+子进程”。所以明白了什么是父子进程以及怎样添加父子进程,规则就算掌握了大半。
双击某个图标或点击某个按纽,程序就运行了;用迅雷下载一个东西,硬盘上就多了一个文件。人们通常不去深究其中的奥秘。其实,任何程序都不会自己运行,文件也不会平空出现,背后总有程序在操纵它。那个躲在幕后的神秘程序就是父进程,能够看到、感觉到的东西就是子进程。当手动打开一个程序时,由于一般是在资源管理器中操作,所以就是“资源管理器”(explorer.exe)运行了“某一个程序”;在IE中右击某个链接,再点“使用迅雷下载”,IE就会启动迅雷,这时,IE就是父进程,迅雷就是子进程。
[img]http://www.eqsecure.com/bbs/attachment/18_1705_393689f930cd285.jpg[/img]
在RD中,如果某个程序操作了某个注册表键值,则“某程序”就是父进程,某“注册表键值”就是子进程。同理,在FD中某程序操作了某文件,则前者为父进程,后者为子进程。例如,用winrar解压文件,winrar就是父进程,解压出的文件就是子进程。
[b][color=#ff0000]简言之,父进程就是动作的发出者,即操作者;子进程就是动作的接受者,即操作对象。A程序操作(运行、终止、修改等)B程序,或A程序操作(创建、修改、删除等)B文件,A就是父进程,B就是子进程。
[/color][/b]
在E盾的规则体系中,都有哪些父进程和子进程呢?分布在何处呢?打开任意一个保护的规则编辑器,都会看到下图所示的内容:
[img]http://www.eqsecure.com/bbs/attachment/18_1705_63e1247532f08fc.jpg[/img]
这些是什么意思呢?顾名思义,“所有程序规则”即对所有的程序都起作用的规则。比如你把一个程序丢在这里面,运行设为“阻止”,那么所有的程序都无法运行该程序;在这里设置一个文件禁止被删除,那么所有的程序都无法删除该文件。“应用程序规则”就是为具体的应用程序,如浏览器、聊天工具、下载工具、看图程序等等设置的规则,规定它们可以进行哪些操作,不可以进行哪些操作。黑名单(4.0版改名为高优先规则)和“所有程序规则”一样,对所有的程序都起作用,但是优先级最高(优先级下面再说)。注意,黑名单里面的东西不一定都 阻止,也可以是允许。分布如下:[b][color=#ff0000]“所有程序规则”和“黑名单”里全部为子进程(父进程为任意程序) ,“应用程序规则”中既有父进程,又有子进程(但是可以不设子进程,此时子进程为所有对象)。[/color][/b] 父、子进程在视觉上很容易区分:呈[b][color=#0000ff]树状结构,父进程比组名缩进一格,子进程比父进程缩进一格[/color][/b]。如图:
[img]http://www.eqsecure.com/bbs/attachment/18_1705_db790df103d64e0.jpg[/img]
“所有程序规则”里面全是子进程,即所有的程序都是它的父进程,那么如果某个程序不愿做它的父进程,有没有办法呢?只需在“其它设置”里面不选中“搜索所有程序规则”即可。这个选项的意思是把“所有程序规则”中的子进程作为自己的子进程。 为了保证“所有程序规则”名副其实,这个地方默认选中。所以,[b][color=#ff0000]如果不作专门设置,一个父进程的子进程包括两个部分:“应用程序规则”中该父进程下的子进程和“所有程序规则”中的全部子进程。[/color][/b]
父、子进程均有拦截操作,但两者含义不同:父进程的“运行应用程序”指父进程运行其它程序(同理,“创建文件”指父进程创建其它文件),子进程的“运行应用程序”指该程序被父进程运行(同理,“创建文件”指该文件被父进程创建)。明白这一点有什么意义呢?举例来说,[b][color=#ff0000]如果希望某个程序不被别的程序运行(或结束),或者某个(类)文件不被别的程序创建(修改、删除),就把它设为子进程;如果想让某个程序可以操作其它对象,就把它设为父进程。[/color][color=#0000ff]由于只有“应用程序规则”中才有父进程, 所以如果想为某个程序设置例外规则,就必须将其放在应用程序规则中并使之作为父进程,然后在其下添加子进程,规定它可以进行哪些操作。
[/color][/b]
[size=3][b]【学写最简单的规则】[/b][/size]
一般步骤:打开规则编辑器,[b][color=#ff0000]添加父进程→添加子进程→设置拦截操作→确定[/color][/b]。如果父进程已经存在,直接添加子进程即可。以允许GB调用其升级程序为例:在规则编辑器中,选中(或新建)一个组,点“添加程序”,找到GreenBrowser.exe,确定;再点“添加子程序”,找到greenBrowserUpdate.exe,确定。然后在右侧“拦截操作”中,“运行应用程序”设为允许,确定。顺便说下,设为允许的一般就不要记日志了。
[img]http://www.eqsecure.com/bbs/attachment/18_1705_2b5c1ce6c0f217c.jpg[/img]
在所有程序规则或黑名单中设置就更简单了,[b][color=#ff0000]添加子进程→设置拦截操作→确定[/color][/b]。例如设置所有的程序均不能删除mp3文件:点“添加文件”,输入*.mp3,右侧“删除文件”设为阻止,确定。
[b][size=3]【规则优先级和作用流程】[/size][/b]
现在你已经会写单个规则了,下面说说怎样把规则组合起来,实现更为复杂的控制。比如我想禁止任何程序运行IE,但又能手动运行,该怎么做?这就需要两条规则配合:禁止任何程序运行IE;允许explorer运行IE,然后让后一条优先执行。这就是优先级的问题,即几条规则都能匹配的情况下,哪条规则先起作用。优先级是黑名单>应用程序规则>所有程序规则,同一类规则中,物理位置排在上面的规则优先级大于排在下面的规则。 即[b][color=#ff0000]优先级从右到左,从上到下递减[/color][/b]。
作用流程如下:
当E盾拦截到一个操作后,就会先确定父子进程,然后[b][color=#ff0000]依次在“黑名单”→“应用程序规则”→“所有程序规则”中寻找相匹配的规则(在同一类别中又按从上到下的顺序寻找),在任何一处找到,即根据设定的参数进行控制,不再向下寻找;找不到则继续寻找。[/color][/b]如果在三者中均找不到相匹配的规则,AD按全局规则,即“主界面→保护模式”处的规则执行,RD、FD直接允许。
黑名单和“所有程序规则”中找的是[b][color=#ff0000]子进程[/color][/b](因为没有父进程),“应用程序规则”中则是[b][color=#ff0000]先找父进程[/color][/b],然后看其下是否有子进程。如果有,应用此规则控制;如果该父进程下没有子进程,分两种情况:如果“其它设置”处选中“搜索所有程序规则”,则在“所有程序规则”中寻找子进程,还找不到则执行父进程的拦截操作;如果没有选中,则不再理睬“所有程序规则”,直接执行父进程的拦截操作。
以上是说父子进程俱全的情况,还有一种情况,就是在AD中,只有父进程,没有子进程。比如[url=http://www.eqspywatch.com/bbs/read.php?tid=8451&keyword=][color=#2f5fa1]底层磁盘操作、关闭/重启系统、修改系统时间、直接操作系统内核[/color][/url]等,操作的是系统本身而不是某个对象。这就简单了,先在“应用程序规则”中找[b][color=#ff0000]父进程[/color][/b],找到则应用,找不到则按“主界面→保护模式”处的规则执行。
以上说明,为了表述方便,没有考虑拦截参数为“忽略”的情况。何谓忽略呢?就是即使找到了规则,也不应用该规则,而是继续寻找。好比你找到了意中人,但人家不乐意,选择了“忽略”,你就只好再找了。
[size=2][b][color=#0000ff]总结:
如果已经为某程序制定规则,执行顺序是
黑名单→应用程序规则中该程序的子进程规则→所有程序规则(可选)→应用程序规则中该程序的父进程规则
如果尚未为某程序制定规则,执行顺序是
黑名单→所有程序规则→全局规则 (或允许)
[/color][/b]
[/size]了解规则优先级是非常有用的。常见有人问,我写了一条规则,怎么不起作用啊?这时候,不光要考虑规则本身是否正确,还要注意是否有优先级更高的规则在起作用。比如,有人在“所有程序规则”中写了一条规则:*.mp3,禁止删除,但是还是可以手动删除。这是因为,在“应用程序规则”中给explorer设了允许删除的规则,而应用程序规则的优先级比较高,所以删除成功。再举一例:在“所有程序规则”中禁止任何程序结束杀毒软件的进程,同时在“应用程序规则”中允许任务管理器结束任何进程,这样用任务管理器可以结束杀毒软件的进程,其它程序则不能。如果在黑名单中设置禁止结束,则任何程序均不能结束。[color=#ff0000]
[/color]
[color=#ff0000][color=#000000]
[size=3][/size][/color][/color]贴心提示:
1、强烈建议如图设置:
[img]http://www.eqsecure.com/bbs/attachment/18_1705_6b58b086516b92b.jpg[/img]
2、设置好规则后,别忘了复制一份保存,以备出问题时恢复。规则文件默认是C:\program iles\eqsyssecure\EQSysSecure.xml。
3、[b][color=#0000ff]出现问题先看日志[/color][/b],一般都能自己解决(日志里就能设置规则,非常方便)。善用搜索引擎。无法独立解决,再到论坛求助。[size=3] [/size]
[[i] 本帖最后由 baerzake 于 2008-4-10 22:23 编辑 [/i]] k 刚写了一段eq的心得,就看到将军的好帖
什么时候写完的,变化挺大
将军的文笔俺可比不上
我已经跟将军说了写完我转入卡饭
火鸟怎么跟我抢[:xi31:] 我不太会弄,也怕太麻烦,用的是下载的规则,应该没有什么问题吧 不自己弄完全可以,但要理解 [quote]Quote:
有劳你了。快写完了,转个完整的吧。这两个论坛的代码不一样,够你忙一阵的了。[/quote]
正版授权[:01:] 呵呵,看看我在原帖的沙发上怎么说
不过估计多日不看
将军也不信我了[:xi35:]
回复 6楼 sxingbai 的帖子
原来“废人”是你的马甲。[:07:]火鸟发短信说要转,我想这个事挺麻烦,他是版主,麻烦是应该的,就答应他了。
其实谁发都无所谓,我对精华也不在乎。
PS:第一个标题应该缩进,我修改了,由于网络原因没有成功。火鸟改回来吧。 将军如果亲自发到本坛,B版和俺等就商议加精品啊~~ [:04:] 谢谢了。 看来得学习好几遍啊 原創辛苦了
回复 7楼 竹节大将军 的帖子
开玩笑了,谁转无所谓了,只要好帖大家共享就成[:xi5:] [quote]父、子进程均有拦截操作,但两者含义不同:父进程的“运行应用程序”指父进程运行其它程序(同理,“创建文件”指的是父进程创建其它文件),子进程的“运行应用程序”指该程序被父进程运行(同理,“创建文件”指的是该文件被父进程创建)。[/quote]这一句话道破了新手对规则里那么多参数的疑惑
我开始用EQ的时候以为子程序里面的参数是这个子程序再去调用别的程序的时候运用的规则
回复 7楼 竹节大将军 的帖子
welcome back[:01:] 这个完成了么,那边我也有段时间没去了 [quote] 火鸟怎么跟我抢[:xi31:] [/quote]哈哈~~笑死我了~~!![:xi30:]
PS:下次有好文章转贴过来,动作要快一点哦~~~不然~~~~[:xi41:] 谢谢楼主,学习了! 写的太好了,收藏了 ![:03:] [:03:] 写得很好
很有意思!
呵呵,真的很有意思,特别是将军最后一段(还有那个思考题),感觉用EQ还能实现很多神奇的功能......这个帖子收藏了,以后还可以慢慢品味