由于是应用于“*”即所有进程的,所以,第一行可以解释如下:“当任何进程(“*”)新建或更改(Write)“C:\Windows\”系统目录下的任何dll文件时,弹出对话框询问(Ask),如果在规定的时间内没有做出选择就默认拒绝该操作(default Reject),并在日志文件记录(Log)。”第二~六条和第一条类似,只是分别针对exe,bat,ocx,pif和src文件的。后面的就不一一解释了。
把右下方的ListView滚动到最后,可以看到这样一条规则:
Sys::Execute * Accept Log Virus scan
它的含义为在任何进程执行任何其他进程(*)时,调用ClamWin进行病毒扫描(Virus scan),如果没有病毒就允许该操作(Accept),否则提示用户处理。该动作及处理结果还要记录入日志(Log)。这也是WinPooch和ClamWin之所以能合作的根本原因了。
除了修改Windows目录文件、程序被病毒感染外,WinPooch还可以监控一些危险性操作,比如修改注册表(Reg::SetValue)、监听特定端口(Net::Listen)、通过某个端口建立网络连接(Net::Connect)等。WinPooch的所有过滤规则都是可以自定义的,具体可以打开WinPooch的Filters自己摸索一下。
由于WinPooch的过滤规则可以自定义,所以他要比一般的监控软件更灵活(当然配置起来也会有一定的难度)。比如默认情况下,我们修改了系统的“环境变量”(“我的电脑”右键,“属性”,“高级”),WinPooch就会报警:
