巴黎豆豆 2008-3-22 19:03
RD注册表防护规则编制(3)
三、利用日志对规则进行调整与修正。
我们设置规则的目标:一方面要最大可能地防止有害程序入侵,另一方面要尽可能地不影响正常程序的使用。但要使二者都得到满足是很困难的,需要我们在使用过程中不断地对规则进行调整。调整的依据主要是程序的出错信息和日志拦截信息。
由于多数情况下,被阻止的应用程序不会报告错误,因此我们参考的依据主要是日志。
在前面,我们要求对操作参数设定为阻止的规则记录日志,就是因为它是我们调整规则的重要依据。
在任务栏中的EQSecure图标上单击鼠标右键,在弹出的菜单中选择打开日志,即可打开日志窗口。
日志窗口有四个页:所有日志、应用程序日志、注册表日志和文件日志。
一般情况我们看所有日志就可以了,日志较多时可以看各分页日志。
对日志的分析与对应用程序保护询问窗口的分析是一样的,主要看发出操作的应用程序和涉及到的注册表、文件等信息是否可靠。如可靠,说明规则过严,影响了正常程序的运行,可以对相关规则进行调整,或是为此应用程序在“应用程序规则”类别中设置例外;如果不太清楚,可以放一放,多观察一下;如果确定不是正常操作,可能是感染了病毒,就需要用杀毒软件清除一下。