跳至主要內容

界面简介


首页概况

首页概况分为三部分功能

  • 防御开启和关闭
  • 防御功能开关
  • 拦截和规则情况

进程防御、文件防御、网络防御、注册表防御增强防御 这几个表示快速功能开关,如果关闭了,则所有相关的规则都不会生效。比如关闭了进程防御,那么所有进程相关的规则都会关闭。

学习模式 开启后,所有的弹窗都会默认信任,并且将事件记录起来加入信任列表,关闭学习模式后,对相同的事件可以自动允许而再不触发弹窗。一般用于干净系统首次安装,为了减少弹窗干扰而开启。学习后的规则可以在信任列表里面查看和删除。

自保护 开启后,其他进程将无法接受冰盾的服务进程。

密码保护 可以对冰盾设置密码,开启密码保护后,每次打开界面都要求输入密码才能正常使用。可以避免安装的规则被其他人修改,一般用于企业管理或者家长保护场景。

拦截记录

冰盾所有的拦截事件都会记录在“拦截记录”里面,可以按日期查看,也可以选择全部日期查看。

事件记录分为普通记录和详细记录,普通记录是将相同的事件(规则、进程、行为、目标相同则认为是相同事件)累计起来显示。而详细事件是按单条事件显示,同时还可以显示每个事件的详细信息(比如被启动的进程命令行参数等)。

双击事件可以打开事件详情,在事件详情里面的查看和编辑规则

事件还支持右键菜单,可以快速将进程或者目标加入规则的信任或者拦截列表。

规则列表

规则菜单

规则列表界面的菜单功能依次是:(可以Hover上去查看提示)

  • 导入默认规则
  • 导入规则(选择文件)
  • 导出规则
  • 分享规则
  • 提升优先级
  • 降低优先级
  • 删除规则
  • 拷贝规则
  • 新建规则组
  • 新建规则

状态栏

状态的功能依次是:

  • 工作区

    工作区可以用于切换多份规则,以实现不同场景使用不同的规则的需求。或者也可以用于备份和恢复规则。

  • 参数组管理

    参数组表示一些重复的条件,可以用一个组来管理,然后设置规则的时候,通过选择参数组复用这些条件,从而减少规则的重复操作。

  • 信任列表

    信任列表是对所有的规则的信任列表做统一的管理,可以快速查找某一个路径等。一般的信任列表建议在规则编辑界面添加和删除。

规则管理

规则支持目录和拖动,可以很方便按功能分类组织规则。

规则界面主要有三个交互:

  • 优先级

    优先级高的规则会优先匹配。一般将白名单、信任的规则设置成高优先级,这样匹配到信任后则会终止匹配。

    有一个特殊的模板是 忽略系统登录前的规则 ,优先级低于这个规则的其他规则,在系统登录的过程都不会进行匹配,可以避免设置错误的规则导致系统无法正常登录进入系统。

  • 响应动作

    • 拦截

      匹配到条件后,会直接静默拦截事件

    • 记录

      匹配到条件后,只会记录事件,不会拦截操作

    • 信任

      匹配到条件到,会信任行为并且终止匹配

    • 结束进程

      匹配到条件后,会结束发起操作的进程

    • 询问(默认拦截)

      匹配到条件后,会弹出对话框提醒操作,如果超时,则拦截操作

    • 询问(默认允许)

      匹配到条件后,会弹出对话框提醒操作,如果超时,则允许操作

    • 询问(默认结束进程)

      匹配到条件后,会弹出对话框提醒操作,如果超时,则结束进程

  • 开启状态

    表示规则是否生效

新建规则后,会打开选择模板的界面,每个模板基本都会有功能说明,根据说明选择自己需要的模板按确定即可进入规则编辑界面。

规则编辑

新建规则或者双击规则的时候,都会打开规则编辑界面:

  • 功能开关

    • 已开启、已关闭

      表示当前规则是否生效。

    • 记录事件

      表示拦截后是否记录事件,默认都是会记录事件的,但是一些比较频繁的事件会导致记录了很多没有价值的记录,如果不需要则可以关闭记录。

  • 规则参数

    每个规则的参数都是不一样的,根据提示设置参数即可。

    规则参数右边菜单依次是:添加参数、添加参数组、粘贴参数(可以用于添加大量参数)、删除参数

    对于参数的一些说明如下:

    通配符说明:
    
    * 表示任意字符
    
    ? 表示单一字符
    
    > 用于结尾,表示文件夹目录本身以及子目录,比如: C:> 表示 C: 和 C:\*
    
    < 表示除了反斜杠\以外的任意字符,用于表示当前目录但是不包括子目录,比如:C:\Win<\1.txt 覆盖了 C:\Windows\1.txt 但是不包含 C:\Windows\system32\1.txt
    
    环境变量说明:
    
    $(SystemRoot) 表示 C:\windows
    
    $(SystemDrive) 表示 C:
    
    $(ProgramData) 表示 C:\ProgramData
    
    $(NULL) 表示空字符串(因为参数不允许为空,只能使用这个来表示)
    

更多说明可以参考参数使用说明

规则市场

规则市场主要是其他贡献者分享的规则,里面的规则不一定经过了测试,下载前请先查看规则内容。

规则市场的规则在稳定后,会整理后内置到默认规则里面。如果你对规则不是很熟悉,不建议使用规则市场里面的内容。