Go规则编写从零开始 [2]

重点小知识：Go里面没有统配符，也没有正规则表达式。
Go里面有“包含”"不含" 两个判断条件，且允许叠加。
例如要强关一个进程路径为c:\xxxxxx\svchost.exe,如果我们强关svchost.exe的话系统就玩完了。那怎么写呢?
新建->类型：进程屏蔽->匹配：进程路径
规则可以写 "包含" svchost.exe "不含" system32。这样除了system32下的svchost.exe都全部强关。
"包含","不含"可以同时存在，多个叠加。示例图

Go要怎么来拦截增值进程?
首先增值进程分几类： 普通固定进程、随机进程、随机MD5、随机父进程（从左往右，越右越复杂）
拦截进程的几种方式： 强行关闭(从外部关闭)、禁止执行(从内部禁止)

本章主要讲强行关闭(从外部关闭)，接下来我们来讲解一下这几种方式的处理方法
1.固定进程：这种直接强行关闭即可，举例强行关闭增值barclientview.exe(注意增值仿冒菜单进程名)
                  新建->类型：进程屏蔽->匹配：进程路径
                  条件填写 "包含" barclientview.exe "不含" nbmsclient (正宗菜单的目录名)
                  这样就可以实现关闭所有barclientview.exe除了真正的菜单进程。示例图

2.随机进程：假设barviewclient.exe正常情况下会创建三个进程aaa.exe bbbb.exe 随机.exe 随机的是增值
                  新建->类型：进程屏蔽->匹配：父进程路径
                 条件填写 "包含" barviewclient.exe (父进程名必填) "不含" aaa.exe "不含" bbb.exe
                 即可实现强关父进程barviewclient.exe创建的所有子进程，但aaa.exe bbb.exe 除外。示例图

3.随机MD5：这个相对较麻烦，需要看具体情况。如果MD5随机，但路径固定，可以参考1。
                     如果路径也随机可以参考2。如果父进程都随机那请联系我们^_^
                     简单讲解：此种情况需要监控创建进程的(从内部禁止)，监控它创建进程的行为，来判断拦截。
                                      我们后面再讲。

4.随机父进程：父进程随机而子进程固定可以参考1。子进程也随机的话。
                       就建议根据文件CRC、容量、文件版本号等辅助信息来精确拦截。
                       新建->类型：进程屏蔽->匹配：进程大小
                       简单讲解：例如文件大小辅助屏蔽，设定该进程的容量大小例如1234字节至1238字节，
                                        以适应随机容量的进程。当然也可以1234至1234固定容量。示例图