巴黎豆豆 2008-3-22 19:04
FD文件保护的规则编制(3)
三、为特定程序设置例外。
对系统盘的各个目录做了以上控制以后,可以达到非常严密的防护效果,因为基本上是全系统盘都禁止创建文件的。但是这样会对某些应用程序的运行造成不良影响,当某些应用程序需要在系统盘上创建文件,又创建不成功时,就会出现错误。对此,我们可以在“应用程序规则”类别中为这些应用程序设置例外规则,使这些程序可以在指定的目录中自由创建文件,但不影响对其他程序的控制,从而达到既能使指定程序正常运行,又不影响整体防护效果。
当运行一个程序时,阻止创建文件的提示频频出现,并且创建文件的[url=http://whatis.ctocio.com.cn/searchwhatis/292/7333792.shtml]进程[/url]确实是我们要运行的正常程序,就表示我们需要为这个程序编制例外规则,以使其能够正常运行。
下面,我们以QQ为例,给大家演示一下,看如何给应用程序设置例外规则。
QQ默认的安装目录是%ProgramFiles%\Tencent\QQ\,其主程序是QQ.exe。QQ运行时,需要在其安装目录下为每个登录的用户创建一个文件夹,并且会不断更新其中内容。所以,我们应该为QQ.exe创建一条规则,使其可以在QQ的安装目录下创建、修改任何文件。
首先,打开文件保护规则编辑器,在“应用程序规则”类别中添加程序:%ProgramFiles%\Tencent\QQ\QQ.exe,操作参数全部设为允许,不记日志。保护模式全部勾选。其他参数设置中勾选“搜索所有程序规则”。
其次,在此程序下添加文件:%ProgramFiles%\Tencent\QQ\*,操作参数全部设为允许,不记日志。其他参数设置中勾选“包含子目录”。
最后,点“应用”使规则生效。
至此,我们就完成了QQ程序的例外规则,其他程序大同小异,具体要添加什么程序和目录要看日志中所提示的信息。有的程序在运行过程中,会调用其他程序,调用的程序也会要求在某目录下创建文件,如果确定此程序是可信任的,可以参照日志,按照上述方法为其添加例外程序。
添加例外规则应遵循“目录范围最小化”的原则,也就是为一个程序设定可自由读写的目录时,应该在满足这个程序正常运行的基础上,使这个目录的范围最小。还以QQ为例,如果QQ.exe在%ProgramFiles%\Tencent\QQ\这个目录下能够自由读写文件,就能满足QQ正常运行的需要,那么,我们就只应将这个目录设为例外,而不能将这个目录扩大到%ProgramFiles%\Tencent\,甚至是%ProgramFiles%\,这样会由于允许的范围过大而导致防护出现漏洞。
文件保护规则是三种类型中最难编制的,一套严密而完善的规则需要在使用过程中,不断根据提示和日志进行调整。因此,对于阻止的操作,一定要记录日志,以方便我们及时发现问题,进行调整。根据日志添加规则时,要仔细分析进程和操作的文件,确认是正常的操作。当按照“目录范围最小化”的原则调整规则至不再出现提示时,说明规则调到了最合适的状态。