界面简介
首页概况
首页概况分为三部分功能
- 防御开启和关闭
- 防御功能开关
- 拦截和规则情况
进程防御、文件防御、网络防御、注册表防御、增强防御 这几个表示快速功能开关,如果关闭了,则所有相关的规则都不会生效。比如关闭了进程防御,那么所有进程相关的规则都会关闭。
学习模式 开启后,所有的弹窗都会默认信任,并且将事件记录起来加入信任列表,关闭学习模式后,对相同的事件可以自动允许而再不触发弹窗。一般用于干净系统首次安装,为了减少弹窗干扰而开启。学习后的规则可以在信任列表里面查看和删除。
自保护 开启后,其他进程将无法接受冰盾的服务进程。
密码保护 可以对冰盾设置密码,开启密码保护后,每次打开界面都要求输入密码才能正常使用。可以避免安装的规则被其他人修改,一般用于企业管理或者家长保护场景。
拦截记录
冰盾所有的拦截事件都会记录在“拦截记录”里面,可以按日期查看,也可以选择全部日期查看。
事件记录分为普通记录和详细记录,普通记录是将相同的事件(规则、进程、行为、目标相同则认为是相同事件)累计起来显示。而详细事件是按单条事件显示,同时还可以显示每个事件的详细信息(比如被启动的进程命令行参数等)。
双击事件可以打开事件详情,在事件详情里面的查看和编辑规则。
事件还支持右键菜单,可以快速将进程或者目标加入规则的信任或者拦截列表。
规则列表
规则菜单
规则列表界面的菜单功能依次是:(可以Hover上去查看提示)
- 导入默认规则
- 导入规则(选择文件)
- 导出规则
- 分享规则
- 提升优先级
- 降低优先级
- 删除规则
- 拷贝规则
- 新建规则组
- 新建规则
状态栏
状态的功能依次是:
工作区
工作区可以用于切换多份规则,以实现不同场景使用不同的规则的需求。或者也可以用于备份和恢复规则。
参数组管理
参数组表示一些重复的条件,可以用一个组来管理,然后设置规则的时候,通过选择参数组复用这些条件,从而减少规则的重复操作。
信任列表
信任列表是对所有的规则的信任列表做统一的管理,可以快速查找某一个路径等。一般的信任列表建议在规则编辑界面添加和删除。
规则管理
规则支持目录和拖动,可以很方便按功能分类组织规则。
规则界面主要有三个交互:
优先级
优先级高的规则会优先匹配。一般将白名单、信任的规则设置成高优先级,这样匹配到信任后则会终止匹配。
有一个特殊的模板是 忽略系统登录前的规则 ,优先级低于这个规则的其他规则,在系统登录的过程都不会进行匹配,可以避免设置错误的规则导致系统无法正常登录进入系统。
响应动作
拦截
匹配到条件后,会直接静默拦截事件
记录
匹配到条件后,只会记录事件,不会拦截操作
信任
匹配到条件到,会信任行为并且终止匹配
结束进程
匹配到条件后,会结束发起操作的进程
询问(默认拦截)
匹配到条件后,会弹出对话框提醒操作,如果超时,则拦截操作
询问(默认允许)
匹配到条件后,会弹出对话框提醒操作,如果超时,则允许操作
询问(默认结束进程)
匹配到条件后,会弹出对话框提醒操作,如果超时,则结束进程
开启状态
表示规则是否生效
新建规则后,会打开选择模板的界面,每个模板基本都会有功能说明,根据说明选择自己需要的模板按确定即可进入规则编辑界面。
规则编辑
新建规则或者双击规则的时候,都会打开规则编辑界面:
功能开关
已开启、已关闭
表示当前规则是否生效。
记录事件
表示拦截后是否记录事件,默认都是会记录事件的,但是一些比较频繁的事件会导致记录了很多没有价值的记录,如果不需要则可以关闭记录。
规则参数
每个规则的参数都是不一样的,根据提示设置参数即可。
规则参数右边菜单依次是:添加参数、添加参数组、粘贴参数(可以用于添加大量参数)、删除参数
对于参数的一些说明如下:
通配符说明: * 表示任意字符 ? 表示单一字符 > 用于结尾,表示文件夹目录本身以及子目录,比如: C:> 表示 C: 和 C:\* < 表示除了反斜杠\以外的任意字符,用于表示当前目录但是不包括子目录,比如:C:\Win<\1.txt 覆盖了 C:\Windows\1.txt 但是不包含 C:\Windows\system32\1.txt 环境变量说明: $(SystemRoot) 表示 C:\windows $(SystemDrive) 表示 C: $(ProgramData) 表示 C:\ProgramData $(NULL) 表示空字符串(因为参数不允许为空,只能使用这个来表示)
更多说明可以参考参数使用说明。
规则市场
规则市场主要是其他贡献者分享的规则,里面的规则不一定经过了测试,下载前请先查看规则内容。
规则市场的规则在稳定后,会整理后内置到默认规则里面。如果你对规则不是很熟悉,不建议使用规则市场里面的内容。