进程规则 · XadSafe帮助文档

# **进程规则** ***** ## 1、**名词解析** >[info] 进程规则是“XadSafe”对系统进程进行限制操作的一种方式。 > 即：根据进程名称|路径|特征|文件摘要来对即将启动的进程进行检测,如果匹配到则禁止启动。 > 下面向大家介绍进程规则的使用方法和注意事项 ***** ## 2、**必备知识** 我们打开 \[规则管理-我的规则\] ，添加规则-进程-添加进程 :-: ![](https://img.kancloud.cn/c4/26/c4266d838a2219d821481a6e03233ff5_540x460.png) * 父进程 * 子进程 * 生效系统 (可选 win7 win10) * 处理方式 :-: 在Windows中，进程A创建了另一个进程B，那么进程A就是进程B的父进程，B进程就是A的子进程。想要理解父子进程之间的关系，我们可以用ProcessExplorer这个工具来查看窗口的层级关系。如下图： ![](https://box.kancloud.cn/2afde862cc03c27efcb26840e37d8141_723x52.png) >[warning] 图中所示： > QiyiService.exe的子进程是QyKernel.exe > QyKernel.exe的父进程是QiyiService.exe > QyKernel.exe的子进程是QyFragment.exe > QyFragment.exe的父进程是QyKernel.exe > 其中关系并不复杂,很容易理解! 说到这里，很多人应该已经都会用了。 >[danger] **注意事项**： > 在XadSafe中,父子进程可识别下面四种方式 > * **进程名称** {如字所示，就是进程名} > * **进程路径** {XadSafe能够精准识别通配符} > * **文件摘要** {以XadSafe网吧控制台文件摘要信息为标准} > * **进程特征** {以XadSafe网吧控制台进程特征为标准} ***** ## 3、**写法实例** 在**XadSafe**中，进程处理方式有以下几种 * **拦截**\-----------------------*拦截父进程所要创建的子进程* * **放行(白名单)**\-----------------------*放行父进程所要创建的子进程* （白名单优先命中） * **结束子进程**\-----------------------*结束父进程所创建的子进程* * **挂起子进程**\-----------------------*挂起父进程所创建的子进程* * **拦截+结束父进程**\-----------------------*拦截父进程所要创建的子进程并结束父进程* * **拦截+挂起父进程**\-----------------------*拦截父进程所要创建的子进程并挂起父进程* * **拦截+结束父线程**\-----------------------*拦截父进程所要创建的子进程并结束父线程* * **拦截+挂起父线程**\-----------------------*拦截父进程所要创建的子进程并挂起父线程* ### ①**拦截** >[warning] 说明：禁止父进程执行创建子进程 :-: ![](https://img.kancloud.cn/fd/1a/fd1a0a48b7c0e644c332d829b41af3c0_599x520.png) >[info] 此写法的意思就是禁止QiyiService.exe启动QyKernel.exe进程。 :-: ![](https://img.kancloud.cn/72/24/72243d0d3f96c226d8a74a3cdbfac0d4_596x519.png) >[info] 此写法等同于上面两种写法，不过这次父进程我们用到了通配符 > 翻译：任意盘符下的任意目录内的LStyle目录下的子目录6.5.68.5801内所有EXE执行程序都禁止运行QyKernel.exe >[danger] 同理：子进程也可以用这三种方式表达。大家要灵活应用,切勿盲目照搬！ ### ②**结束子进程** >[warning] 说明：关闭父进程执行创建的子进程 :-: ![](https://img.kancloud.cn/bc/4f/bc4f1510f597bcbaf7a57b2b26a474da_599x517.png) >[info] 此写法的意思是循环结束QiyiService.exe下进程名为QyKernel.exe的子进程 >[danger] 注意事项： > 跟拦截目标一样，父子进程均可使用**进程名称**|**进程路径**|**文件摘要**|**进程特征**表示。 > ！！！！仅**进程名称**和**进程路径**支持通配符（\* 和？）！ ### ③**白名单（放行）** >[warning] 说明：需要与相应的拦截规则配合使用话不多说，先用实例说明 ![](https://img.kancloud.cn/ee/4c/ee4c538c27afb09659200d69c6654d10_1638x334.png) 规则解读： * 规则1. 禁止**cmd.exe**创建路径中包含**desktop**的**exe**进程 * 规则2. 放行**cmd.exe 创建进程名称为abc.exe**子进程 >[info] 进入控制台我们可以看到刚刚添加的规则的效果 ![](https://img.kancloud.cn/15/58/155889050355bfb3d4dee982181c24e0_1647x557.png) >[success] 通过灵活的规则搭配就可以实现不同的效果 #### **拦截+结束、挂起父进程** > 依旧拿**cmd.exe**作为演示： * 拦截**cmd.exe**创建**123.exe** 并结束父进程**cmd.exe** * 拦截**cmd.exe**创建**456.exe** 并挂起父进程**cmd.exe** > ![](https://img.kancloud.cn/8e/1e/8e1e99e9bb404cb0d107ea0915b20347_1640x263.png) > **执行进程我们可以到控制台查看客户机日志下图 ↓** > ![](images/%E6%8B%A6%E6%88%AA+%E7%BB%93%E6%9D%9F%E7%88%B6.png)