[winxp中的系统变量]
%USERPROFILE% 表示 C:\Documents and Settings\当前用户名
%ALLUSERSPROFILE% 表示 C:\Documents and Settings\All Users
%APPDATA% 表示 C:\Documents and Settings\当前用户名\Application Data
%ALLAPPDATA% 表示 C:\Documents and Settings\All Users\Application Data
%SYSTEMDRIVE% 表示 C:
%HOMEDRIVE% 表示C:\
%SYSTEMROOT% 表示 C:\WINDOWS
%WINDIR% 表示 C:\WINDOWS
%TEMP% 和 %TMP% 表示 C:\Documents and Settings\当前用户名\Local Settings\Temp
%ProgramFiles% 表示 C:\Program Files
%CommonProgramFiles% 表示 C:\Program Files\Common Files
考虑到可能有些初学者不太理解，今天花了一下午时间，重新精简编辑了我自己的规则，以适合普通用户直接套用，并附带了详细的编写原理、注意事项等，希望借此抛砖引玉，使各位潜水的高手也能将自己的规则分享出来讨论，也希望初学者可以DIY出适合自己的规则。

非常欢迎大家将自己的规则拿出来讨论，以使此规则不断进步和完善，成为传统安全软件有力的辅助和补充。好了，废话说了一大堆，下面进入正文：

一、软件限制策略的作用
首先说一下HIPS的3D
AD——程序保护 保护应用程序不被恶意修改、删除、注入
FD——文件保护 保护关键的文件不被恶意修改、删除，禁止恶意程序创建和读取文件
RD——注册表保护 保护注册表关键位置不被恶意修改、读取、删除
XP系统软件限制策略可以做到上面的AD与FD，至于RD，可以通过注册表权限设置来实现
因此可以说，XP本身就具备3D功能，只是不被大家所熟悉。

二、软件限制策略的优劣势
1、优势
优势是很明显的，它是系统的一部分，不存在兼容性问题，不占用内存，属于系统最底层保护，保护能力远不是HIPS可以比拟的
2、劣势
劣势也很明显，与HIPS相比，它不够灵活和智能，不存在学习模式，它只会默认阻止或放行，不会询问用户，若规则设置不当，可能导致某些程序不能运行

三、软件限制策略 规则编写实例
我直接以一些最常见的例子来说明
1、首先要学会系统通配符、环境变量的含义，以及软件限制策略规则的优先级
关于这一点，大家可以看原帖
http://bbs.ylmf.com/read.php?fid=10&tid=435857&u=379569

2、如何阻止恶意程序运行
首先要注意，恶意程序一般会藏身在什么地方
？:\ 分区根目录
C:\WINDOWS （后面讲解一律以系统在C盘为例）
C:\WINDOWS\system32
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files

注意：
C:\Documents and Settings\Administrator
C:\Documents and Settings\Administrator\Application Data
C:\Documents and Settings\All Users
C:\Documents and Settings\All Users\Application Data
C:\Documents and Settings\Administrator\「开始」菜单\程序\启动
C:\Documents and Settings\All Users\「开始」菜单\程序\启动
C:\Program Files
C:\Program Files\Common Files
这8个路径下是没有可执行文件的，只有在它们的子目录下才有可能存在可执行文件，那么基于这一点，规则就容易写了