查看完整版本: FD文件保护的规则编制（2）

FD文件保护的规则编制（2）

二、WINDOWS[url=http://whatis.ctocio.com.cn/searchwhatis/250/7333750.shtml]操作系统[/url]的目录结构及简介

　　想要编制出严密的文件保护规则，必须对WINDOWS操作系统的目录结构有一定了解。

　　1、系统盘根目录。

　　系统盘根目录主要存放一些引导文件和系统子目录。系统安装好之后，一般不会再向根目录下新建任何文件，正常的应用程序一般也不会向根目录新建文件，对用户来讲，如果想保持系统良好运行，也不应当在系统盘根目录下创建文件，所以，系统盘根目录可以设定为禁止创建任何文件，以防病毒藏身于此。

　　2、Program Files

　　这个是应用程序目录，一般的应用程序默认都是安装在这个目录下，新建一个文件夹来存放自己的文件，所以，根目录下应该不会有文件，各子目录在程序安装好之后，一般也不会再新建文件，因此在正常情况下，这个目录可以设为禁止创建文件。但在安装程序时，一定要放开控制。

　　有部分程序需要在自己的安装目录写一些配置信息，或更新程序，可以为其编制例外规则，使其可以正常运行。

　　3、Documents and Settings

　　这个目录主要用来存放一些用户文件及信息。在此目录下面有以用户为名称的子目录，在各个用户目录下，有我的文档、收藏夹、临时文件、[url=http://whatis.ctocio.com.cn/searchwhatis/201/5948201.shtml]IE[/url]脱机文件、历史文件等。这些信息是经常更新的，因此不能简单地将其设为禁止写入。

　　(1)我的文档（My Documents）和桌面。

　　我的文档用来存放用户的资料数据，各种类型的文件都可能建立，所以应当放开控制，当然，每个用户习惯不同，也可以根据自己的习惯，适当加以控制。桌面也是我们经常放一些临时性文件的地方，为了方便，也可以将其放开。

　　(2)收藏夹（Favorites）。

收藏夹中只存放链接文件，即扩展名为url的文件，因此我们可编制规则，让这个目录下只允许创建.url文件。当然，还得允许创建目录，因为收藏夹的内容需要分类。这时，“忽略目录”这个选项就可以派上用场，具体用法可以参考“规则集锦”。

　　(3) Cookies目录。

　　这个目录仅存放文本文件，且不需要子目录，所以只要仅允许创建.txt文件就可以了。

　　(4) 最近的文档 （Recent）。

　　这个目录存放的是最近打开文档的快捷方式，因此，只允许其创建.lnk即可。

　　(5)历史目录（Local Settings\History）

　　正常情况下，历史目录只会创建index.dat文件，放于不同的子目录，用来保存历史信息。因此，对这个目录的控制就是只允许创建index.dat文件和文件夹，其他一律阻止。

　　(6)IE脱机文件和用户临时文件。

　　这两个目录经常有文件写入，因此不能将其设为禁止创建文件，但一般情况下不会有可执行文件写入，因此可以将可执行文件的几个类型过滤，最大程度地防止病毒木马的入侵。

　　(7)其他目录。

　　其他目录在正常情况下，一般不会有文件创建，因此，可以设为创建阻止。

　　4、WINDOWS目录

　　WINDOWS的系统安装目录，此目录与其下面的子目录system32，以及drivers目录是病毒和木马最喜欢的藏身之处。在正常情况下，这里除个别日志和临时文件外，不会创建其他文件，因此可以将这个文件夹也设为禁止创建文件，但要首先将几个常用的临时文件和日志文件设为允许创建。

　　在安装程序时，许多应用程序都需要在这个目录下或相关子目录下写入一些文件，因此，在安装程序时，这个目录应该允许创建文件。

　　另外，这里也有一个临时目录，WINDOWS\Temp，需要经常写入文件，因此这个目录也要允许创建文件，但可以将几种可执行文件过滤掉。

　　WINDOWS目录是一个非常复杂的目录，操作系统的各个程序都可能在这里创建文件，将其禁止创建文件，往往会造成许多系统程序运行有误，但不禁止，又给许多木马、病毒造成可乘之机。因此我的建议是先将其禁止创建文件，在遇到某应用程序运行有误时，再根据日志进行适当调整，尽量将允许创建文件压缩在最小的范围之内，使防护的效果最大化。

　　5、System Volume Information

　　此目录是系统[url=http://storage.ctocio.com.cn/tt-storage-bfrz/]备份[/url]使用的目录，属于系统目录，在正常情况下隐藏不可见。其所放文件有一定规律，不会有可执行文件产生，因此可以对其进行文件类型过滤，禁止创建可执行文件。

　　6、回收站

　　回收站目录也是系统目录，真实的目录名是RECYCLED或RECYCLER，其中RECYCLED是FAT32[url=http://whatis.ctocio.com.cn/searchwhatis/192/7352192.shtml]文件系统[/url]所用名称，RECYCLER 是[url=http://whatis.ctocio.com.cn/searchwhatis/488/6093488.shtml]NTFS[/url]文件系统所用目录。在正常情况下此目录也是隐藏的。在这个目录下，还会以用户代号创建一个文件，用来存放被用户删除的文件。删除后的文件一律更名为以D打头的文件。因此，这个目录可以设置为仅允许创建以D打头的文件。

　　以上是系统盘目录的大致介绍，如果想精确控制，还需做进一步分析，希望有人能做出一个更细致、更精确的说明。
　　
　　对以上目录的控制是针对所有程序而言的，所以对这些目录的控制规则应当放于“所有程序规则”类别中。