# **进程规则**
*****
## 1、**名词解析**
>[info] 进程规则是“XadSafe”对系统进程进行限制操作的一种方式。
> 即:根据进程名称|路径|特征|文件摘要来对即将启动的进程进行检测,如果匹配到则禁止启动。
> 下面向大家介绍进程规则的使用方法和注意事项
*****
## 2、**必备知识**
我们打开 \[规则管理-我的规则\] ,
添加规则-进程-添加进程
:-: ![](https://img.kancloud.cn/c4/26/c4266d838a2219d821481a6e03233ff5_540x460.png)
* 父进程
* 子进程
* 生效系统 (可选 win7 win10)
* 处理方式
:-: 在Windows中,进程A创建了另一个进程B,那么进程A就是进程B的父进程,B进程就是A的子进程。
想要理解父子进程之间的关系,我们可以用ProcessExplorer这个工具来查看窗口的层级关系。
如下图:
![](https://box.kancloud.cn/2afde862cc03c27efcb26840e37d8141_723x52.png)
>[warning] 图中所示:
> QiyiService.exe的子进程是QyKernel.exe
> QyKernel.exe的父进程是QiyiService.exe
> QyKernel.exe的子进程是QyFragment.exe
> QyFragment.exe的父进程是QyKernel.exe
> 其中关系并不复杂,很容易理解!
说到这里,很多人应该已经都会用了。
>[danger] **注意事项**:
> 在XadSafe中,父子进程可识别下面四种方式
> * **进程名称** {如字所示,就是进程名}
> * **进程路径** {XadSafe能够精准识别通配符}
> * **文件摘要** {以XadSafe网吧控制台文件摘要信息为标准}
> * **进程特征** {以XadSafe网吧控制台进程特征为标准}
*****
## 3、**写法实例**
在**XadSafe**中,进程处理方式有以下几种
* **拦截**\-----------------------*拦截父进程所要创建的子进程*
* **放行(白名单)**\-----------------------*放行父进程所要创建的子进程* (白名单优先命中)
* **结束子进程**\-----------------------*结束父进程所创建的子进程*
* **挂起子进程**\-----------------------*挂起父进程所创建的子进程*
* **拦截+结束父进程**\-----------------------*拦截父进程所要创建的子进程并结束父进程*
* **拦截+挂起父进程**\-----------------------*拦截父进程所要创建的子进程并挂起父进程*
* **拦截+结束父线程**\-----------------------*拦截父进程所要创建的子进程并结束父线程*
* **拦截+挂起父线程**\-----------------------*拦截父进程所要创建的子进程并挂起父线程*
### ①**拦截**
>[warning] 说明:禁止父进程执行创建子进程
:-: ![](https://img.kancloud.cn/fd/1a/fd1a0a48b7c0e644c332d829b41af3c0_599x520.png)
>[info] 此写法的意思就是禁止QiyiService.exe启动QyKernel.exe进程。
:-: ![](https://img.kancloud.cn/72/24/72243d0d3f96c226d8a74a3cdbfac0d4_596x519.png)
>[info] 此写法等同于上面两种写法,不过这次父进程我们用到了通配符
> 翻译:任意盘符下的任意目录内的LStyle目录下的子目录6.5.68.5801内所有EXE执行程序都禁止运行QyKernel.exe
>[danger] 同理:子进程也可以用这三种方式表达。大家要灵活应用,切勿盲目照搬!
### ②**结束子进程**
>[warning] 说明:关闭父进程执行创建的子进程
:-: ![](https://img.kancloud.cn/bc/4f/bc4f1510f597bcbaf7a57b2b26a474da_599x517.png)
>[info] 此写法的意思是循环结束QiyiService.exe下进程名为QyKernel.exe的子进程
>[danger] 注意事项:
> 跟拦截目标一样,父子进程均可使用**进程名称**|**进程路径**|**文件摘要**|**进程特征**表示。
> !!!!仅**进程名称**和**进程路径**支持通配符(\* 和 ? )!
### ③**白名单(放行)**
>[warning] 说明:需要与相应的拦截规则配合使用 话不多说,先用实例说明
![](https://img.kancloud.cn/ee/4c/ee4c538c27afb09659200d69c6654d10_1638x334.png)
规则解读:
* 规则1. 禁止**cmd.exe**创建路径中包含**desktop**的**exe**进程
* 规则2. 放行**cmd.exe 创建进程名称为abc.exe**子进程
>[info] 进入控制台 我们可以看到刚刚添加的规则的效果
![](https://img.kancloud.cn/15/58/155889050355bfb3d4dee982181c24e0_1647x557.png)
>[success] 通过灵活的规则搭配 就可以实现不同的效果
#### **拦截+结束、挂起父进程**
> 依旧拿**cmd.exe**作为演示:
* 拦截**cmd.exe**创建**123.exe** 并结束父进程**cmd.exe**
* 拦截**cmd.exe**创建**456.exe** 并挂起父进程**cmd.exe**
> ![](https://img.kancloud.cn/8e/1e/8e1e99e9bb404cb0d107ea0915b20347_1640x263.png)
> **执行进程我们可以到控制台查看客户机日志 下图 ↓**
> ![](images/%E6%8B%A6%E6%88%AA+%E7%BB%93%E6%9D%9F%E7%88%B6.png)