dashan 提交于
论坛:
咖啡是杀毒软件,访问保护是辅助的,所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是:杀毒强于规则,文件规则强于注册表规则,注册表规则强于端口规则,但四者各有所长,相互配合,才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。
一、通配符
McAfee 8.8 规则设置之难,难于通配符而已。通配符之难,难于8.8不支持“?:\”表示任意盘符。以WINDOWS和Program Files文件夹为例,下面是文件夹的表示方法:
*\WINDOWS:表示任意盘符下的WINDOWS文件夹(在“要阻止的进程”中无效)。
**\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。
*\**\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。
文件的通配符表示方法:
*\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在“要阻止的进程”中无效)。
**\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。
*\**\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。
*\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)。
**\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。
*\**\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。
文件夹名的通配符表示方法:
Program Files*:表示Program Files文件夹以及其后有多个任意字符的文件夹,当然包括Program Files (x86)。
PROGRA~?:?表示任意单个字符,当然包括1、2、3、4等。关于PROGRA~1,百度一下就知道了。
*\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)
**\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
*\**\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
要包含的进程通配符表示方法:
*:表示所有进程。
**:表示所有进程。
*.*:表示所有带后缀的进程(解决Sestem进程无法排出的问题)。
其它:?:\*:单独表示根目录继续有效。
说明:经实践,以上语法在8.7i中同样有效。
二、规则设置思路
规则是用来辅助杀毒软件防御未知病毒的,思路不同,规则的框架也就不同。下面是两种防御思路:
1、划分信任区,禁止非信任区程序非法运行,保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。
2、拟出绝对路径的白名单,白名单允许运行并禁止篡改,其它一律禁止。这种思路的关键是白名单必须找准。
说明:此思路的规则坛子里目前空白,有兴趣的可以一试。系统白名单提取思路——纯系统(不同系统)安装咖啡,去掉咖啡所有默认排除如法炮制名单,所有规则不保护、只勾选报告,进行各种运行和操作,最后从报告中整理出绝对路径的白名单,这个名单是通用的。然后在装好应用软件的系统里如法炮制,又可以得到其它白名单,这个名单是个性的的,常用软件还是通用的。
3、干净PC,入口防御。即在本机无毒的前提下,禁止可移动设备的程序非法运行和浏览器非法下载。
以上每一种思路下都可以做到非常严格和相对宽松。
下面就以第一种思路为例来设置McAfee 8.8 规则。
三、前期准备
1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。
2、划分信任区。我的划分比较严格:
*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明:信任区包括任意盘符下带后缀的系统程序,安装在Program Files、Program Files (x86)以及非Program Files下的应用软件,32、64位通用,加入*\PROGRA~?\**\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行(虽然99.99%用不着)。4KBrowser四库全书,AloneSbck四部丛刊,EMPIRE EARTH地球帝国,KangXiDict康熙字典,没有的这些的在下面的设置中去掉即可。
3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。
4、安排规则框架。
(1)禁止非信任区程序非法运行:理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口,其中,“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是,这是咖啡的极致规则,“阻止对所有共享资源的读写访问”开启,非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以,其它三个规则在用户定义的规则中加不加两可。
(2)保护信任区程序不被非法篡改:需要两类规则——保护系统程序、应用软件程序
(3)禁止其它风险运行:例如防映像劫持、防U盘病毒、保护根目录等。
四、规则设置(McAfee 8.8 墨池规则 文字版)
(一)默认规则设置
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无
规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:*\WINDOWS\**\*.*
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*(Win7下应为*.*,否则可能导致系统正版验证失败)
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无
规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.EXE
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无
《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
《防病毒爆发控制》
规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:*.*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明:这条规则的作用即“禁止非信任区程序访问-文件”。
《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *
\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\regedit.exe, *\WINDOWS\system32\svchost.exe
规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*
规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*, *\WINDOWS\Explorer.EXE
规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:保护网络设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:iexplore.exe
要排除的进程:无
规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无
规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:无
规则名称:禁止在 Program Files* 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:*\Program Files*\McAfee\Common Framework\FrameworkService.exe
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无
规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
规则名称:禁止 HTTP 通信
要包含的进程:*.*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
《虚拟机保护》
规则名称:防止终止 VMWare 进程
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
(二)用户定义的规则运行(此部分可以选择性设置,不必求全)
1、禁止非信任区程序(此部分可以没有,原因见前“规则框架”)
1.01 规则名称:禁止非信任区程序访问-文件
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要阻止的文件或文件夹名:**\*
要禁止的文件:读取 写入 执行 创建 删除
1.01 规则名称:禁止非信任区程序访问-注册表(项)
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
1.02 规则名称:禁止非信任区程序访问-注册表(值)
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
1.03 规则名称:禁止非信任区程序访问-端口
要包含的进程:*.*
要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:入站 出站
2、保护信任区关键部位(此部分必须有)
2.01 规则名称:保护windows下的COM文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.com
要禁止的文件:写入 创建
2.02 规则名称:保护windows下的VXD驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.vxd
要禁止的文件:创建
2.03 规则名称:保护windows下的DRV驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.drv
要禁止的文件:创建
2.04 规则名称:保护windows下的OCX控件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.ocx
要禁止的文件:写入 创建
2.05 规则名称:保护windows下的EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\system32\Rundll32.exe
要阻止的文件或文件夹名:**\WINDOWS\**\*.exe
要禁止的文件:写入 创建
2.06 规则名称:保护windows下的DLL文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\WINDOWS\**\*.dll
要禁止的文件:写入 创建
2.07 规则名称:保护windows下的PIF文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.pif
要禁止的文件:写入 创建
2.08 规则名称:保护windows下的SCR文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.scr
要禁止的文件:写入 创建
2.09 规则名称:保护windows下的SYS驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.sys
要禁止的文件:创建
2.10 规则名称:保护Program Files*下的COM文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.com
要禁止的文件:写入 创建
2.11 规则名称:保护Program Files*下的COM文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.com
要禁止的文件:写入 创建
说明:我的四库全书大型软件等都装在E盘,阻止E:\**\*.com可以全覆盖,没有的去掉这类即可。下同。
2.12 规则名称:保护Program Files*下的SCR文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.scr
要禁止的文件:写入 创建
2.13 规则名称:保护Program Files*下的SCR文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.scr
要禁止的文件:写入 创建
2.14 规则名称:保护Program Files*下的PIF文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.pif
要禁止的文件:写入 创建
2.15 规则名称:保护Program Files*下的PIF文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.pif
要禁止的文件:写入 创建
2.16 规则名称:保护Program Files*下的EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\Program Files*\**\*.exe
要禁止的文件:创建
2.17 规则名称:保护Program Files*下的EXE文件2
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件:创建
2.18 规则名称:保护Program Files*下的DLL文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\Program Files*\**\*.dll
要禁止的文件:写入 创建
2.19 规则名称:保护Program Files*下的DLL文件2
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:E:\**\*.dll
要禁止的文件:写入 创建
3、其它保护(此部分可以选择)
3.01 规则名称:保护根目录
要包含的进程:*
要排除的进程:*\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:?:\*
要禁止的文件:写入 创建 删除
3.02 规则名称:禁止在本机非法修改EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夹名:**\*.exe
要禁止的文件:写入
3.03 规则名称:禁止在本机非法执行TMP文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\Windows\system32\svchost.exe, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夹名:**\*.tmp
要禁止的文件:执行
3.04 规则名称:禁止在本机非法创建BAT文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\*.bat
要禁止的文件:创建
3.05 规则名称:禁止在本机非法执行脚本文件
要包含的进程:?script.exe
要排除的进程:无
要阻止的文件或文件夹名:**\**
要禁止的文件:执行
3.06 规则名称:禁止在本机非法创建CPI文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.cpl
要禁止的文件操作:写入 创建 删除
3.07 规则名称:禁止在本机非法创建INI文件
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:**\*.ini
要禁止的文件操作:写入 创建 删除
说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。
3.08 规则名称:禁止在本机非法创建MSC文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msc
要禁止的文件操作:写入 创建 删除
3.09 规则名称:禁止在本机非法创建MSI文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msi
要禁止的文件操作:写入 创建 删除
3.01 规则名称:禁止在本机非法创建VBS文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vbs
要禁止的文件操作:写入 创建 删除
3.11 规则名称:禁止*autorun*.*任何操作
要包含的进程:*
要阻止的文件或文件夹名:**\*autorun*.*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行
3.12 规则名称:禁止修改gho文件
要包含的进程:*
要阻止的文件或文件夹名:**\*.gho
要禁止的文件操作:读取 写入 执行 创建 删除
3.13 规则名称:保护安全模式设置
要包含的进程:*
要排除的进程:无
要保护的注册表项目或注册表值:HKLM /SYSTEM/*ControlSet*/Control/SafeBoot/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
3.14 规则名称:防止映像劫持
要包含的进程:*
要排除的进程:无
要保护的注册表项目或注册表值:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
3.15 规则名称:禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\regedit.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,通过文件访问对注册表外部进行保护。
3.16 规则名称:禁止管理工具的操作
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\mmc.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:管理工具里都是重要的系统工具
3.17 规则名称:禁止格式化命令format的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\format.*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:针对一些格式化病毒的防护措施
3.18 规则名称:禁止net命令的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\net*.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:对远程攻击的防护措施
3.19 规则名称:禁止at命令的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\at.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:对远程攻击的防护措施
3.20 规则名称:禁止任何远程操作
要包含的进程:System:Remote
要排除的进程:无
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:通过文件保护禁止了远程的一切行为
五、规则导出
运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置:
XP及更高版本32位:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
64位:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
六、规则分享
64位规则(在Windows Server 2008 R2 下设置而成):
32位规则(修改64位规则注册表位置而成):
XP规则(在Windows XP 下设置而成):
- 登录以发表评论
其实有好多好的规则在不被人所发现了解的情况下被遗忘是一件
- 登录以发表评论
dashan 答复于 永久连接《防病毒爆发控制》
《防病毒爆发控制》
规则名称:将所有共享项设为只读(The Virus-Outbreak Control Of File Access;未开启备用)
要包含的进程:system:remote
要排除的进程:consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe
#该规则为“防病毒爆发控制:全局文件控制”,默认未开启;如需,将“system:remote”改为“*”;并自行添加排除
规则名称:阻止对所有共享资源的读写访问 (The Control Of Virus-Outbreak;紧急时用规则,非必要不启用)
要包含的进程:system:remote
要排除的进程:atieclxx.exe, atiesrxx.exe, AUDIODG.EXE, conhost.exe, consent.exe, csrss.exe, Dllhost.exe, DrvInst.exe, Dwm.exe, EntVUtil.EXE, explorer.exe, FrameworkService.exe, LogonUI.exe, lsass.exe, lsm.exe, mcconsol.exe, McScanCheck.exe, McScript_InUse.exe, McTray.exe, MCUPDATE.EXE, mmc.exe, msconfig.exe, mspaint.exe, notepad.exe, perfmon.exe, PING.EXE, regedit.exe, SCAN64.EXE, ScnCfg32.Exe, services.exe, shcfg32.exe, shstat.exe, smss.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, taskmgr.exe, UdaterUI.exe, userinit.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, WORDPAD.EXE, wuauclt.exe, WUDFHost.exe
请检查一下,要包含的进程:system:remote
对不对,我觉得应该是要包含的进程:*
如果是system:remote就不需要排除,因为system:remote只是system:remote,不包含其它任何进程。
- 登录以发表评论
dashan 答复于 永久连接对叶知自定义规则的理解
对叶知自定义规则的理解
#I、可执行控制(部分)
1、规则名称:The Access Control Of Executable Regions
要包含的进程:*
要排除的进程:C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:执行
#如必要,自行在“要排除的进程”添加其他程序执行区域(使用文件夹统配排除)
-------------------------------------------------------------------------------------------------------------------
这和全局禁运规则效果一样。任何exe文件想要运行,都必须调用dll文件,否则无法运行。所以,控制了对dll的执行权,就控制了所有exe文件。规则采用信任区方式排除,省去排除的麻烦,又防止了非信任区域文件运行,可以省略大量U盘、根目录、用户文件夹、非系统盘等类型的规则。
#II、病毒入侵控制(部分)
2、规则名称:The Virus-Access Control Of Executable Files-DLL
要包含的进程:*
要排除的进程:FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入
-------------------------------------------------------------------------------------
这个规则的初衷是防白加黑的,但效果不理想,因为白加黑正常情况是随着某些游戏补丁安装进入本机的,不停用此规则,无法安装,停用规则,病毒就进来了,而且进入到信任区,就防不了了。所以特殊样本需要人脑和习惯,规则并防不了。这个规则作为入口规则之一才是其真正的价值。
#III、文件控制(部分)
3、规则名称:The File Control Of System Area
要包含的进程:*
要排除的进程:DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:创建 写入 删除
#尽量,不排除非系统进程
------------------------------------------------------------------
这个是系统文件保护规则,目的是防止未知文件(未排除的文件)修改系统文件夹内的任何文件,在非软件安装和重大系统更新的情况下,防病毒爆发非常有效,而且强大。
#Ⅳ 、后补监听
4、规则名称:The Monitor Control Of ExFile Area-EXE/EXE文件监听控制(仅报告,不启用)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*.exe(可根据需要,自行添加“*.bat, *.cmd, *.com, *.cpl, *.js, *.jse, *.msc, *.msi, *.msp, *.vbs, *.vbe, *.wsf, *.wsh,*.dll”)
要禁止的文件操作:创建 写入
(此条监控加自定义规则2,以及默认规则“防病毒爆发控制”使用,紧急时查看被修改,当然也可以对“注册表”监听)
-----------------------------------------------------------------------------------------------------------------------------------------------
这个是入口防御规则,实际上由多条规则组合而成。监听,是为了不影响日常使用,又能时刻清楚指导何时谁创建和修改了哪些可执行文件,一旦发现有病毒进入,可以立即处理。这个使用起来对电脑知识的要求更高,看似简单,实际应用比较麻烦。不如直接启用,做好排除,浏览器、下载工具不排除,下载相关文件时临时停用,这样更简单,实际也更保险。
总之,这几条规则抓住dll文件、系统文件、可执行文件这几个关键,对于防止病毒进入和爆发,都做到了很好的防御,是非常优秀而简洁的规则。
- 登录以发表评论
dashan 答复于 永久连接墨池加强的规则
其实,个人已经很久没有用《卧龙规则》,而是一直在咖啡和毛豆默认规则基础上加强的规则,对应用影响很小,但又不失安全。现在有点闲暇,把他们分享出来,供朋友们执教!
一、防御思想:
1、咖啡豆互补综合防御。
2、咖啡负责封锁非信任区、管制系统进程、封锁病毒入口、封锁木马联网、检测病毒特征,这些咖啡比毛豆方便而且强大。
3、毛豆负责“启发式命令分析”、“云基础行为分析”、软件更新及安装的安全保障,这些毛豆比咖啡方便而且强大。
4、一个程序要想运行,必须过四关:①在咖啡规则的信任区;②系统进程必须在咖啡《管制系统》规则中绝对路径排除;③咖啡检测不是病毒;④毛豆检测为白文件(手动信任也行)。
5、信任区受到特殊保护:①信任区不能创建可执行文件;②咖啡、毛豆文件和注册表不能修改。
6、咖啡防不了的毛豆能防,如硬盘炸弹、cpl病毒等;毛豆防不了的咖啡能防,如白加黑等。
7、如此强大的防御,需要的规则却很少,简约而不简单,流畅而且安全。
二、规则说明:
(一)咖啡规则:
1、适用咖啡版本:McAfee 8.80 p2,其中使用了“?:\”通配符,不可用于低版本,低版本可以按文字版自己设置。
2、默认规则:在官方默认规则的基础上,启用以下规则:
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\Google\Chrome\Application\chrome.exe, *\Google\Update\GoogleUpdate.exe, ?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\Common Files\McAfee\SystemCore\csscan.exe, ?:\Program Files*\Common Files\McAfee\SystemCore\dainstall.exe, ?:\Program Files*\Common Files\McAfee\SystemCore\mcshield.exe, ?:\Program Files*\COMODO\COMODO Internet Security\**.exe, ?:\Program Files*\COMODO\COMODO Internet Security\cmdagent.exe, ?:\Program Files*\Kingsoft\webshield\KSWebShield.exe, ?:\Program Files*\ksafe\KSafeSvc.exe, ?:\Program Files*\ksafe\KSafeTray.exe, ?:\Program Files*\McAfee\Common Framework\McTray.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\mcadmin.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\mcconsol.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\mcupdate.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\restartVSE.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\scan32.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\scncfg32.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\shcfg32.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\shstat.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\vstskmgr.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\x64\scan64.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\system32\rundll32.exe, C:\Windows\SysWOW64\rundll32.exe
----------------------------------------------
报告:关闭。
《防间谍程序最大保护》
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:?:\Program Files*\COMODO\COMODO Internet Security\cfp.exe, ?:\Program Files*\McAfee\Common Framework\McScanCheck.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\system32\Macromed\Flash\FlashUtil*_ActiveX.exe, C:\Windows\SysWOW64\Macromed\Flash\FlashUtil*_ActiveX.exe
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
《防病毒标准保护》
规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无
规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:无
《防病毒爆发控制》
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\**, C:\Documents and Settings\**\Local Settings\Application Data\Google\Update\**, C:\Users\**\AppData\Local\Google\Chrome\**, C:\Users\**\AppData\Local\Google\Update\**, C:\Windows\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\工具\**, System, ?:\Program Files\**, ?:\Program Files (x86)\**
------------------------------------------------
?:\Program Files\**, ?:\Program Files (x86)\**:务必改成自己的实机路径。由于有了这条规则的控制,其它规则就不用修改了。这条规则放在这里似乎速度更快,而且很多防非信任区的规则(例如U盘、临时文件区域等N条)都不需要了。不用实在可惜了。
《通用标准保护》
规则名称:Prevent hooking of McAfee processes
要包含的进程:*
要排除的进程:无
----------------------------------------
禁用。与毛豆冲突。
《通用最大保护》
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe
--------------------------------------------
白加黑废了一半。
规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:?:\Program Files*\McAfee\Common Framework\FrameworkService.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe
--------------------------------------------
白加黑废了另一半。
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无
其它规则也设置好了,虽然没有必要,但可以根据需要启用。
3、自定义规则:
规则名称:01 封锁非信任区_注册表
要包含的进程:*
要排除的进程:*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\**, C:\Documents and Settings\**\Local Settings\Application Data\Google\Update\**, C:\Users\**\AppData\Local\Google\Chrome\**, C:\Users\**\AppData\Local\Google\Update\**, C:\Windows\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\工具\**, System, ?:\Program Files\**, ?:\Program Files (x86)\**
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除
------------------------------------------------
?:\Program Files\**, ?:\Program Files (x86)\**:务必改成自己的实机路径。关键时刻有点用!
规则名称:02 封锁端口_所有
要包含的进程:*.*
要排除的进程:cfp.exe, cfpupdat.exe, chrome.exe, cmdagent.exe, FireSvc.exe, FlashPlayerUpdateService.exe, FrameworkService.exe, GoogleUpdate.exe, iexplore.exe, KSafe.exe, KSafeSvc.exe, KSafeTray.exe, ksafevulfix.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, mDNSResponder.exe, QQ.exe, svchost.exe, Thunder.exe, ThunderMini.exe
要阻止的端口:0 - 65535
方向:入站 出站
---------------------------------------------
目的是禁止木马联网。虽然有毛豆墙,但咖啡这个很直接,很方便。
规则名称:03 管制系统_文件
要包含的进程:C:\Windows\**
要排除的进程:*\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\IME\imjp8_1\IMJPMIG.EXE, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\Windows\Microsoft.NET\**\ngen.exe, C:\Windows\notepad.exe, C:\Windows\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.exe, C:\Windows\splwow64.exe, C:\Windows\system32\aitagent.EXE, C:\Windows\system32\Ati2evxx.exe, C:\Windows\system32\atieclxx.exe, C:\Windows\system32\atiesrxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\system32\ceipdata.exe, C:\Windows\system32\cleanmgr.exe, C:\Windows\System32\cmd.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32\conime.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\csrss.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\DfrgNtfs.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\System32\dinotify.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\drwtsn32.exe, C:\Windows\system32\dumprep.exe, C:\Windows\system32\Dwm.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\hkcmd.exe, C:\Windows\system32\igfxpers.exe, C:\Windows\system32\igfxsrvc.exe, C:\Windows\system32\igfxtray.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE, C:\Windows\system32\lodctr.exe, C:\Windows\system32\logon.scr, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lpremove.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\lsm.exe, C:\Windows\system32\Macromed\Flash\*.exe, C:\Windows\system32\makecab.exe, C:\Windows\System32\mblctr.exe, C:\Windows\system32\mcbuilder.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\mobsync.exe, C:\Windows\system32\MRT.exe, C:\Windows\system32\msconfig.exe, C:\Windows\system32\msdtc.exe, C:\Windows\system32\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\poqexec.exe, C:\Windows\system32\powercfg.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\runonce.exe, C:\Windows\system32\sc.exe, C:\Windows\system32\schtasks.exe, C:\Windows\system32\sdclt.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\ServerManagerLauncher.exe, C:\Windows\system32\services.exe, C:\Windows\system32\smss.exe, C:\Windows\system32\SndVol.exe, C:\Windows\system32\SNDVOL32.EXE, C:\Windows\system32\SnippingTool.exe, C:\Windows\system32\SoundRecorder.exe, C:\Windows\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\systempropertiesadvanced.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\tasklist.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\Windows\system32\usmt\migwiz.exe, C:\Windows\system32\vds.exe, C:\Windows\system32\vdsldr.exe, C:\Windows\system32\verclsid.exe, C:\Windows\system32\vssvc.exe, C:\Windows\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wbengine.exe, C:\Windows\system32\WerFault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\winlogon.exe, C:\Windows\system32\winsat.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\system32\wlrmdr.exe, C:\Windows\system32\wsqmcons.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\ctfmon.exe, C:\Windows\SysWOW64\DllHost.exe, C:\Windows\SysWOW64\Macromed\Flash\*.exe, C:\Windows\SysWOW64\NOTEPAD.EXE, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\tasklist.exe, C:\Windows\SysWOW64\WerFault.exe, System
要阻止的文件或文件夹名:*
要禁止的文件操作:读取 写入 执行 创建 删除
---------------------------------------------
这个规则很有用,可以精确控制系统进程,毛豆很难不到。Windows系统通用,一般不需要排除了。
规则名称:04 管制系统_注册表
要包含的进程:C:\Windows\**
要排除的进程:排除同上
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除
--------------------------------------------
关键时刻有点用!
规则名称:05 保护根目录_C盘
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:C:\*
要禁止的文件操作:写入 创建 删除
---------------------------------------
这个毛豆也实现困难。
规则名称:06 封锁exe
要包含的进程:*
要排除的进程:?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\McAfee\Common Framework\FrameworkService.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, ?:\Program Files*\Thunder Network\MiniThunder\Bin\ThunderMini.exe, ?:\Program Files*\Thunder Network\Thunder\Program\Thunder.exe, ?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe, C:\Windows\system32\svchost.exe
要阻止的文件或文件夹名:*.exe
要禁止的文件操作:写入 创建
----------------------------------------
这里完全可以排除浏览器。个人习惯下载exe文件时临时关闭。
规则名称:07 封锁dll
要包含的进程:*
要排除的进程:?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\McAfee\Common Framework\FrameworkService.exe, ?:\Program Files*\McAfee\Common Framework\McScript_InUse.exe, ?:\Program Files*\McAfee\VirusScan Enterprise\scan32.exe, ?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe, C:\Windows\Microsoft.NET\Framework64\*\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\*\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe, C:\Windows\System32\svchost.exe
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:写入 创建
--------------------------------------------
白加黑彻底废了。
规则名称:08 封锁com
要包含的进程:*
要排除的进程:?:\Program Files*\CCleaner\CCleaner.exe, ?:\Program Files*\CCleaner\CCleaner64.exe, ?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\Explorer.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe
要阻止的文件或文件夹名:*.com
要禁止的文件操作:写入 创建
------------------------------------------
似乎一般都没用,心理安慰罢了!
规则名称:09 封锁sys
要包含的进程:*
要排除的进程:?:\Program Files*\WinRAR\WinRAR.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe, C:\Windows\System32\svchost.exe
要阻止的文件或文件夹名:*.sys
要禁止的文件操作:写入 创建
------------------------------------------
似乎一般都没用,心理安慰罢了!
从防病毒的角度看,其它规则不需要了。防流氓的话,咖啡不在行,毛豆也非常复杂,不管也罢。
(二)毛豆规则
1、适用毛豆版本:5.8至5.12 1、D+:CPS安全模式,无法识别的文件—阻止(防毒绝招,非得运行需要手动信任),受保护的文件和文件夹—添加?:\*|,受保护的注册表键—添加“McAfee键”,添加“软件更新”和“软件安装”规则(自己添加文件或文件夹),“所有应用程序”规则添加注册表和信任区可执行文件拦截(咖啡规则关闭时安全性不减),全部做了通配符处理。
2、防火墙:自定义模式,添加“杀毒软件”—只允许外连,添加拦截—IPv4 单个地址:95.163.88.209,其它默认,所有程序联网都会弹窗询问。
3、做了细致的通用修改,Windows XP及以上版本32、64位操作系统通用,真正的完美兼容。
4、这个规则本人用5.10在XP系统下单奔了几个月,没中过毒。
- 登录以发表评论
dashan 答复于 永久连接