原帖作者：柯林
这篇帖子应部分新手的要求，从一个老菜鸟的角度出发，从实例演示开始，探讨一下规则的制作及相关问题。
重点是授渔，方式以启发和探讨为主。最终期望是让新人知道怎么去追寻答案，不是告诉一个什么标准答案。这世界根本就不存在什么标准答案。
本文最根本的目的，在于探讨和交流，希望从一个起点开始，引发大家深入讨论各个程序的行为及规则。
水平有限，内中错误，还请大家谅解和指正。
本帖分两个篇章
初级篇：介绍一下，大家一般是怎么处理的。
中级篇：探讨一下，为什么这么做以及怎么做好。

这样一圈弄下来，一个IE浏览器的规则就诞生了。
其他浏览器以及其他程序的规则，都是这么弄出来的。这样的规则变化一下，就可以成为预定义规则里的一个预设规则，用来给合适的程序授权。
提醒注意一下，根据规则流程优先级关系（自己查找教程里的说明），如果全局规则是默认的全局询问，这条新做的程序规则（IE浏览器的规则）无论是位于全局规则之上还是之下，效果都一样；如果全局规则做了相应的设置，请把新做的程序规则移到全局规则之上，以免被全局规则影响。
毛豆规则的设置，主要是设置的“访问权限”——允许这个程序干什么。
“保护设置”——对这个程序的保护，一般不进行设置，因为需要进行特别保护的程序很少，除了杀软之类极为重要的程序，一般不对它进行保护设置。
要熟练制作规则，必须熟悉规则流程优先级关系，这方面的资料请查阅论坛上的教程。
ps:新人需要掌握的东东
1、基本概念
2、各选项的含义
3、规则流程、优先级
4、相互之间的牵扯关系

4、结束进程
这一项的防御目标，是防止病毒结束一些应用程序的进程。譬如说，已知实例，某些病毒会结束浏览器的进程，然后启动一个假冒或者带毒的浏览器进程（比如病毒创建了一个指向恶意链接地址的浏览器快捷方式，结束浏览器进程，执行那个快捷方式，就会链接到恶意网址）；某些病毒进入计算机之后，会关闭杀软、防火墙等安全程序；某种病毒会结束输入法进程后启动一个假冒输入法的病毒进程……这种情况之下，禁止未知程序结束其他进程，就能起到遏制作用。
这一项的另一个应用，是在测试之中，用来防止测试对象结束保护对象，以证明HIPS有效牛叉。实际作用和意义究竟有多大？
已知程序之中，杀软、HIPS、系统的任务管理器和杀进程工具，都有较强的结束其他进程的功能。windows系统负责创建进程和结束进程的csrss.exe也是其中之一。
在实际应用中，资源管理器以及一些应用程序，可能也会发出结束其他进程的动作，这个究竟是合法还是非法？如果，阻止了它的这一动作，而实际应用并无特别明显的影响，是否意味着这样的选择是
正确的
？程序结束自己创建的子进程，究竟是由程序本身来完成，还是发送消息让csrss.exe来完成？这个问题由大家去根究。
顺便扯出的问题，要不要对所有正常的程序也进行限制，防止它去非法结束别的进程？回答这一问题，可以从两个方面来考虑：正常程序是否具有任意结束其他进程的本性？病毒是否会通过该程序去结束其他进程，有样本和实例吗？
5、安装驱动
新人要了解安装驱动是最危险的行为之首，除了听闻“加驱之后就无法无天，可与HIPS平起平坐”这句话外，请了解一下ring3与ring0方面的基本常识。
是否加了驱就死定了？这得看加的是什么驱，驱动程序的作用是什么。譬如说，声卡驱动就是负责声音设备的正常运行的，怎么着它也不会去干坏事，甚至除了声音设备之外，它都不会去干涉其它设备或程序，有什么危害？反之，如果是一个恶意的驱动程序，它的代码就设定了它要搞破坏做坏事的，加载之后真是死得难看，就像HIPS测试中加了驱就拦截不到后续的动作。
问题回到前面的扯鸟蛋部分——正常程序加载需要的驱动实现正常的功能，完全是安全又合法的事！病毒程序加载恶意驱动实现病毒行为，那是高度危险!
问题的问题，一个程序，加载了驱动，我完全不知道它有什么目的和行为，譬如某些游戏，咋办？放行还是阻止？如果你对编程比较了解和熟悉，你可以分析驱动程序，一般人大概只能选择——如果你信任该程序，就放行，如果不信任，最好别装。
程序的恶意行为，是由驱动程序单独完成，还是由驱动程序提供通道让主程序执行恶意代码去实现？这个问题交给高级用户去研究，普通用户就不用管了。
6、消息发送
在拦截消息洪水的测试中，选择这一项，可以成功实施拦截。在实际应用当中，差不多是毫无意义。那么多的消息类型，究竟该拦截哪一种？没有具体选择。就算是同一种消息，每秒多少次算是构成消息洪水？没有阈值可以设定。如果说该项真有实际意义，大概只有在沙盘机制中，当沙盘处于较高的安全防护等级的时候，隔离在沙盘内的病毒或恶意程序，可能会被禁止或限制向沙盘外的程序发送消息洪水。实情如何，需要实证。感兴趣的可以自己去下载消息洪水测试程序或者样本进行测试。