前言:本文首发EQ论坛,作者竹节大将军。经其授权转载,在此感谢。同时期待竹节归来,卡饭随时欢迎你回来^_^*(baerzake)
子曾经曰过,欲练神功,挥刀自宫 。练好E盾神功,却不必自宫(我就没自宫),看完这个教程就差不多了,呵呵。
E盾制定规则非常灵活方便,只要掌握方法,任何人都能轻轻松松DIY各种各样需要的规则。方法有五种:询问框、日志、学习模式、手动编辑、拖动。学习模式最方便(全自动,无论多复杂的规则,瞬间搞定),询问框、日志更有针对性,拖动的方法不常用。手动编辑最难但又是基本功,要想真正用好E盾,必须掌握,下面予以重点讲解。
【父子进程含义及分布】
规则其实很简单,说穿了,一条规则就是一句话:谁能(不能)对谁怎么样。用语言学术语说就是“主语+谓词+宾语”,用eq术语就是“父进程+拦截操作+子进程”。所以明白了什么是父子进程以及怎样添加父子进程,规则就算掌握了大半。
双击某个图标或点击某个按纽,程序就运行了;用迅雷下载一个东西,硬盘上就多了一个文件。人们通常不去深究其中的奥秘。其实,任何程序都不会自己运行,文件也不会平空出现,背后总有程序在操纵它。那个躲在幕后的神秘程序就是父进程,能够看到、感觉到的东西就是子进程。当手动打开一个程序时,由于一般是在资源管理器中操作,所以就是“资源管理器”(explorer.exe)运行了“某一个程序”;在IE中右击某个链接,再点“使用迅雷下载”,IE就会启动迅雷,这时,IE就是父进程,迅雷就是子进程。
在RD中,如果某个程序操作了某个注册表键值,则“某程序”就是父进程,某“注册表键值”就是子进程。同理,在FD中某程序操作了某文件,则前者为父进程,后者为子进程。例如,用winrar解压文件,winrar就是父进程,解压出的文件就是子进程。
简言之,父进程就是动作的发出者,即操作者;子进程就是动作的接受者,即操作对象。A程序操作(运行、终止、修改等)B程序,或A程序操作(创建、修改、删除等)B文件,A就是父进程,B就是子进程。
在E盾的规则体系中,都有哪些父进程和子进程呢?分布在何处呢?打开任意一个保护的规则编辑器,都会看到下图所示的内容:
这些是什么意思呢?顾名思义,“所有程序规则”即对所有的程序都起作用的规则。比如你把一个程序丢在这里面,运行设为“阻止”,那么所有的程序都无法运行该程序;在这里设置一个文件禁止被删除,那么所有的程序都无法删除该文件。“应用程序规则”就是为具体的应用程序,如浏览器、聊天工具、下载工具、看图程序等等设置的规则,规定它们可以进行哪些操作,不可以进行哪些操作。黑名单(4.0版改名为高优先规则)和“所有程序规则”一样,对所有的程序都起作用,但是优先级最高(优先级下面再说)。注意,黑名单里面的东西不一定都 阻止,也可以是允许。分布如下:
“所有程序规则”和“黑名单”里全部为子进程(父进程为任意程序) ,“应用程序规则”中既有父进程,又有子进程(但是可以不设子进程,此时子进程为所有对象)。 父、子进程在视觉上很容易区分:呈
树状结构,父进程比组名缩进一格,子进程比父进程缩进一格。如图:
“所有程序规则”里面全是子进程,即所有的程序都是它的父进程,那么如果某个程序不愿做它的父进程,有没有办法呢?只需在“其它设置”里面不选中“搜索所有程序规则”即可。这个选项的意思是把“所有程序规则”中的子进程作为自己的子进程。 为了保证“所有程序规则”名副其实,这个地方默认选中。所以,
如果不作专门设置,一个父进程的子进程包括两个部分:“应用程序规则”中该父进程下的子进程和“所有程序规则”中的全部子进程。
父、子进程均有拦截操作,但两者含义不同:父进程的“运行应用程序”指父进程运行其它程序(同理,“创建文件”指父进程创建其它文件),子进程的“运行应用程序”指该程序被父进程运行(同理,“创建文件”指该文件被父进程创建)。明白这一点有什么意义呢?举例来说,
如果希望某个程序不被别的程序运行(或结束),或者某个(类)文件不被别的程序创建(修改、删除),就把它设为子进程;如果想让某个程序可以操作其它对象,就把它设为父进程。由于只有“应用程序规则”中才有父进程, 所以如果想为某个程序设置例外规则,就必须将其放在应用程序规则中并使之作为父进程,然后在其下添加子进程,规定它可以进行哪些操作。
【学写最简单的规则】
一般步骤:打开规则编辑器,
添加父进程→添加子进程→设置拦截操作→确定。如果父进程已经存在,直接添加子进程即可。以允许GB调用其升级程序为例:在规则编辑器中,选中(或新建)一个组,点“添加程序”,找到GreenBrowser.exe,确定;再点“添加子程序”,找到greenBrowserUpdate.exe,确定。然后在右侧“拦截操作”中,“运行应用程序”设为允许,确定。顺便说下,设为允许的一般就不要记日志了。
在所有程序规则或黑名单中设置就更简单了,
添加子进程→设置拦截操作→确定。例如设置所有的程序均不能删除mp3文件:点“添加文件”,输入*.mp3,右侧“删除文件”设为阻止,确定。
【规则优先级和作用流程】
现在你已经会写单个规则了,下面说说怎样把规则组合起来,实现更为复杂的控制。比如我想禁止任何程序运行IE,但又能手动运行,该怎么做?这就需要两条规则配合:禁止任何程序运行IE;允许explorer运行IE,然后让后一条优先执行。这就是优先级的问题,即几条规则都能匹配的情况下,哪条规则先起作用。优先级是黑名单>应用程序规则>所有程序规则,同一类规则中,物理位置排在上面的规则优先级大于排在下面的规则。 即
优先级从右到左,从上到下递减。
作用流程如下:
当E盾拦截到一个操作后,就会先确定父子进程,然后
依次在“黑名单”→“应用程序规则”→“所有程序规则”中寻找相匹配的规则(在同一类别中又按从上到下的顺序寻找),在任何一处找到,即根据设定的参数进行控制,不再向下寻找;找不到则继续寻找。如果在三者中均找不到相匹配的规则,AD按全局规则,即“主界面→保护模式”处的规则执行,RD、FD直接允许。
黑名单和“所有程序规则”中找的是
子进程(因为没有父进程),“应用程序规则”中则是
先找父进程,然后看其下是否有子进程。如果有,应用此规则控制;如果该父进程下没有子进程,分两种情况:如果“其它设置”处选中“搜索所有程序规则”,则在“所有程序规则”中寻找子进程,还找不到则执行父进程的拦截操作;如果没有选中,则不再理睬“所有程序规则”,直接执行父进程的拦截操作。
以上是说父子进程俱全的情况,还有一种情况,就是在AD中,只有父进程,没有子进程。比如
底层磁盘操作、关闭/重启系统、修改系统时间、直接操作系统内核等,操作的是系统本身而不是某个对象。这就简单了,先在“应用程序规则”中找
父进程,找到则应用,找不到则按“主界面→保护模式”处的规则执行。
以上说明,为了表述方便,没有考虑拦截参数为“忽略”的情况。何谓忽略呢?就是即使找到了规则,也不应用该规则,而是继续寻找。好比你找到了意中人,但人家不乐意,选择了“忽略”,你就只好再找了。
总结:
如果已经为某程序制定规则,执行顺序是
黑名单→应用程序规则中该程序的子进程规则→所有程序规则(可选)→应用程序规则中该程序的父进程规则
如果尚未为某程序制定规则,执行顺序是
黑名单→所有程序规则→全局规则 (或允许)
了解规则优先级是非常有用的。常见有人问,我写了一条规则,怎么不起作用啊?这时候,不光要考虑规则本身是否正确,还要注意是否有优先级更高的规则在起作用。比如,有人在“所有程序规则”中写了一条规则:*.mp3,禁止删除,但是还是可以手动删除。这是因为,在“应用程序规则”中给explorer设了允许删除的规则,而应用程序规则的优先级比较高,所以删除成功。再举一例:在“所有程序规则”中禁止任何程序结束杀毒软件的进程,同时在“应用程序规则”中允许任务管理器结束任何进程,这样用任务管理器可以结束杀毒软件的进程,其它程序则不能。如果在黑名单中设置禁止结束,则任何程序均不能结束。
贴心提示:
1、强烈建议如图设置:
2、设置好规则后,别忘了复制一份保存,以备出问题时恢复。规则文件默认是C:\program iles\eqsyssecure\EQSysSecure.xml。
3、
出现问题先看日志,一般都能自己解决(日志里就能设置规则,非常方便)。善用搜索引擎。无法独立解决,再到论坛求助。
[
本帖最后由 baerzake 于 2008-4-10 22:23 编辑 ]
