Go规则编辑器使用教程[3]

[1] 常见规则场景
     a.exe(主进程)-->b.exe(正常进程)
                        | -->c.exe(正常进程)
                        |-->xxx.exe(增值恶意进程)

      例：主进程为a.exe会执行b.exe,c.exe以及随机名称的xxx.exe
            其中a,b,c均为正常程序.随机xxx.exe为增值类恶意程序。我们要如何防御呢？

      答：有两种办法：1.通过进程屏蔽来屏蔽xxx.exe  2.通过API钩子来禁止a.exe执行xxx.exe
             下面我们分别展示两种方法如何进编写规则。

      (1) 通过进程屏蔽来屏蔽xxx.exe
            >下图中我们选择进程匹配类型为"进程屏蔽"
            >然后匹配条件设为父进程路径匹配
            >父进程为a.exe，我们屏蔽a.exe执行的所有子进程。
            ->但是b.exe c.exe例外不屏蔽，从而实现精确屏蔽随机的xxx.exe
     


    (2) 通过API钩子禁止a.exe执行xxx.exe
         >先进程匹配中匹配a.exe,再编辑a.exe的进程规则
         >规则的API函数选择创建进程相关的函数
         >处理方式选择为拦截操作
         >命令行匹配条件(拦截条件)为，参数中含有.exe，不含b.exe不含c.exe的则拦截操作。