查看: 5129|回复: 9
收起左侧

[讨论] 关于“添加或删除程序”的规则设置问题

[复制链接]
墨池
发表于 2012-3-20 09:19:50 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2012-3-20 09:22 编辑

    如何禁止从“控制面板”卸载咖啡,进一步,如何禁止从“控制面板”卸载任何程序?以下两种规则供大家参考。

规则名称:禁止卸载咖啡
要包含的进程:*\appwiz.cpl
要排除的进程:无
要阻止的文件或文件夹名:**\McAfee\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

规则名称:禁止添加或删除程序
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\appwiz.cpl
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

    本人用毛豆实验有效,手边暂时没有装咖啡的系统,请大家实验并回帖分享结果!

另外:
    我的权限和保护规则不排除.cpl或不胡乱排除,都能完美防止“添加或删除程序”等:

规则名称:读写权限>>系统目录
要包含的进程:C:\Windows\**
要排除的进程:*\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE,
*\C:\Windows\system32\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\explorer.exe,
C:\Windows\helppane.exe, C:\Windows\Microsoft.NET\**\mscorsvw.exe,
C:\Windows\Microsoft.NET\**\ngen.exe, C:\Windows\PCHealth\HelpCtr\Binaries\HelpSvc.exe,
C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe,
C:\Windows\SoftwareDistribution\Download\**\update.exe,
C:\Windows\SoftwareDistribution\Download\Install\*.exe, C:\Windows\splwow64.exe,
C:\Windows\system32\aitagent.EXE, C:\Windows\system32\Ati2evxx.exe, C:\Windows\system32
\atieclxx.exe, C:\Windows\system32\atiesrxx.exe, C:\Windows\system32\AUDIODG.EXE,
C:\Windows\system32\ceipdata.exe, C:\Windows\system32\cleanmgr.exe, C:\Windows\system32
\conhost.exe, C:\Windows\system32\conime.exe, C:\Windows\system32\consent.exe,
C:\Windows\system32\csrss.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32
\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32
\dfrgui.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe,
C:\Windows\system32\drwtsn32.exe, C:\Windows\system32\dumprep.exe, C:\Windows\system32
\Dwm.exe, C:\Windows\system32\eudcedit.exe, C:\Windows\system32\imapi.exe,
C:\Windows\system32\IME\TINTLGNT\TINTSETP.EXE, C:\Windows\system32\lodctr.exe,
C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lpremove.exe, C:\Windows\system32
\lsass.exe, C:\Windows\system32\lsm.exe, C:\Windows\system32
\Macromed\Flash\FlashUtil10s_ActiveX.exe, C:\Windows\system32\makecab.exe,
C:\Windows\system32\mcbuilder.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32
\mobsync.exe, C:\Windows\system32\MRT.exe, C:\Windows\system32\msconfig.exe,
C:\Windows\system32\msdtc.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32
\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\poqexec.exe,
C:\Windows\system32\powercfg.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32
\runonce.exe, C:\Windows\system32\schtasks.exe, C:\Windows\system32\sdclt.exe,
C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe,
C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe,
C:\Windows\system32\smss.exe, C:\Windows\system32\SNDVOL32.EXE, C:\Windows\system32
\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe,
C:\Windows\system32\systempropertiesadvanced.exe, C:\Windows\system32\taskhost.exe,
C:\Windows\system32\tasklist.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32
\userinit.exe, C:\Windows\system32\usmt\migwiz.exe, C:\Windows\system32\vds.exe,
C:\Windows\system32\vdsldr.exe, C:\Windows\system32\verclsid.exe, C:\Windows\system32
\vssvc.exe, C:\Windows\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe,
C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe,
C:\Windows\system32\wbengine.exe, C:\Windows\system32\WerFault.exe, C:\Windows\system32
\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\winlogon.exe,
C:\Windows\system32\winsat.exe, C:\Windows\system32\wsqmcons.exe, C:\Windows\system32
\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\ctfmon.exe,
C:\Windows\SysWOW64\DllHost.exe, C:\Windows\SysWOW64\Macromed\Flash\FlashUtil???
_ActiveX.exe, C:\Windows\SysWOW64\NOTEPAD.EXE, C:\Windows\SysWOW64\rundll32.exe,
C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\tasklist.exe, C:\Windows\SysWOW64
\WerFault.exe
要阻止的文件或文件夹名:*
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

规则名称:读写保护>>软件目录<<系统进程
要包含的进程:C:\Windows\**
要排除的进程:*\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\winlogon.exe,
C:\Windows\explorer.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE,
C:\Windows\system32\Ati2evxx.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32
\conime.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\ctfmon.exe,
C:\Windows\system32\eudcedit.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32
\lsass.exe, C:\Windows\system32\lsm.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32
\mspaint.exe, C:\Windows\system32\notepad.exe, C:\Windows\system32\rundll32.exe,
C:\Windows\system32\services.exe, C:\Windows\system32\SNDVOL32.EXE, C:\Windows\System32
\spoolsv.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe,
C:\Windows\system32\taskmgr.exe, C:\Windows\system32\usmt\migwiz.exe, C:\Windows\system32
\verclsid.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\NOTEPAD.EXE,
C:\Windows\SysWOW64\rundll32.exe
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

    一套完整规则这些问题一般作者都考虑到了,所以才会有套用他人规则后,安装或卸载程序、
系统更新都必须停止规则保护的现象。故套用他人成熟的规则一般不用再单独设置相应规则了。

附:cpl程序列表(来自百度http://baike.baidu.com/view/404388.htm
辅助功能选项:access.cpl
添加或删除程序:appwiz.cpl
显示 属性:desk.cpl
Windows 防火墙:firewall.cpl
添加硬件向导:hdwwiz.cpl
Internet 属性:inetcpl.cpl
区域和语言选项:intl.cpl
游戏控制器:joy.cpl
Java 控制面板:jpicpl32.cpl
鼠标 属性:main.cpl
声音和音频设备 属性:mmsys.cpl
网络连接:ncpa.cpl
网络安装向导:netsetup.cpl
用户帐户:lusrmgr.cpl
ODBC 数据源管理器:odbccp32.cpl
电源选项 属性:powercfg.cpl
系统属性:sysdm.cpl
电话和调制解调器选项:telephon.cpl
日期和时间 属性:timedate.cpl
Windows 安全中心:wscui.cpl
自动更新:wuaucpl.cpl

    这些对大家实验和制定相应规则应该有用。
    不当之处,敬请指正!
墨池
 楼主| 发表于 2012-3-20 09:30:05 | 显示全部楼层
请大家实践交流,因为这涉及到咖啡对.cpl文件是否能有效控制的问题。
流星小语
发表于 2012-3-20 10:48:43 | 显示全部楼层
一直听说McAfee占用和读硬盘很厉害,去辟谣
墨池
 楼主| 发表于 2012-3-20 11:52:16 | 显示全部楼层
流星小语 发表于 2012-3-20 10:48
一直听说McAfee占用和读硬盘很厉害,去辟谣

跑题!
谣言止于智者!
storyhare 该用户已被删除
发表于 2012-3-20 13:45:51 | 显示全部楼层

卸载程序,有2个组件:

1、系统自带的【msiexec.exe】(利用:安装程序时,所创建的“*.msi”文件,位于C:\Windows\Installer)

2、程序自带的【uninst.exe】(该方法,属于“万能”,只要那个程序的开发商还算有德,便会在安装的同时,创建“卸载功能”)

3、交叉:系统利用-->程序自带的【uninst.exe】(该方案,用于安装软件时没有创建相应的“*.msi”文件,却在控制面板创建了“卸载选项”)




组件:卸载程序

功能组件1:msiexec.exe,在以下规则排除:

The Virus-Outbreak Control Of File Access/The Virus-Outbreak Control Of Reg Access/The File Control Of System Area/The File Control Of Program Area/The File Control Of ProData Area/The File Control Of Profiles Area/The Reg Control Of Config Area/The Reg Control Of System Area/保护Internet Explorer收藏夹和设置/禁止安装新的 CLSID、APPID 和 TYPELIB/禁止所有程序从 Temp 文件夹运行文件/禁止更改所有文件扩展名的注册/禁止安装 Browser Helper Objects 和 Shell Extensions/禁止将程序注册为服务

功能组件2:uninst.exe,在以下规则排除:

The Virus-Outbreak Control Of File Access/The Virus-Outbreak Control Of Reg Access/The File Control Of System Area/The File Control Of Program Area/The File Control Of ProData Area/The File Control Of Profiles Area/The Reg Control Of Config Area/The Reg Control Of System Area/保护Internet Explorer收藏夹和设置/禁止安装新的 CLSID、APPID 和 TYPELIB/禁止所有程序从 Temp 文件夹运行文件/禁止更改所有文件扩展名的注册/禁止安装 Browser Helper Objects 和 Shell Extensions/禁止将程序注册为服务

附加组件:DllHost.exe,在以下规则排除:

The Virus-Access Control Of User Processes

----

以上【卸载程序】组件,为暂行;并非为完成版本





关于本主题的个人看法:

1、*.cpl,为控制面板相关文件;控制后,可拦截以上的“系统自带的【msiexec.exe】”与“交叉:系统利用-->程序自带的【uninst.exe】”(仍有一遗漏)

2、个人认为,只要不在相关文件规则,进行不必要的排除,或使用统配排除;便不会有“卸载成功的可能”(就如墨兄所言的~~)

3、楼主威武!!!

评分

参与人数 1人气 +1 收起 理由
墨池 + 1

查看全部评分

墨池
 楼主| 发表于 2012-3-20 22:08:09 | 显示全部楼层
storyhare 发表于 2012-3-20 13:45
卸载程序,有2个组件:

1、系统自带的【msiexec.exe】(利用:安装程序时,所创建的“*.msi”文件,位 ...

版主的组件控制规则更全面。
等等看有没有人实践,想看看咖啡对.cpl程序的控制有效性,手边没有咖啡试验。
叶知
发表于 2012-3-20 22:56:25 | 显示全部楼层
墨池 发表于 2012-3-20 22:08
版主的组件控制规则更全面。
等等看有没有人实践,想看看咖啡对.cpl程序的控制有效性,手边没有咖啡试验 ...


恩,可以的:

要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:appwiz.cpl
要禁止的文件:执行


无法打开“卸载和更改程序”,产生的日志:

C:\Windows\Explorer.EXE        C:\Windows\System32\appwiz.cpl        用户定义的规则:新规则        已阻止的操作: 执行


----

但是,【*.cpl】并非“可加入进程的可执行文件”,规则并不能在“要包含的进程”中给予限制;故,以下规则无效:

要包含的进程:appwiz.cpl(或**\appwiz.cpl)
要排除的进程:无
要阻止的文件或文件夹名:*
要禁止的文件:读 写 执行 创建 删除





综上,【*.cpl】文件的作用在于,其他进程(control.exe)对其(含有不同功能的不同CPL)的“读取/执行”,获得相应的功能(如卸载程序);而【*.cpl】文件本身并没有直接参与~

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 感谢提供分享

查看全部评分

墨池
 楼主| 发表于 2012-3-21 08:03:12 | 显示全部楼层
叶知 发表于 2012-3-20 22:56
恩,可以的:

    感谢实践。我刚才也实验了,结果与版主相同。
    看来:咖啡对.cpl文件只能保护,无法有效控制。
    毛豆拦截appwiz.cpl的话,可以从控制面板、运行命令等多方面杜绝任何利用系统组件进行安装和卸载程序,所以appwiz.cpl是个扣,锁住这个扣,管它是谁,都干不了事。可惜咖啡不能实现,只好通过控制exe文件实现了。
    版主和我的规则都从不同的角度对安装和卸载进行了有效控制,邪版的似乎没有做完备。
storyhare 该用户已被删除
发表于 2012-3-21 08:10:41 | 显示全部楼层
墨池 发表于 2012-3-21 08:03
感谢实践。我刚才也实验了,结果与版主相同。
    看来:咖啡对.cpl文件只能保护,无法有效控制。
...

恩,毛豆的控制能力,大概:类似,可以从【源】进行控制(而且,其可控制的类型也很多)

而咖啡的规则,其规则的第二项编辑项:“要包含的进程”——从名称及相应的立意上,便否决的更多的控制能力(不过,依然尤其强大之处.......
墨池
 楼主| 发表于 2012-3-21 08:19:39 | 显示全部楼层
storyhare 发表于 2012-3-21 08:10
恩,毛豆的控制能力,大概:类似,可以从【源】进行控制(而且,其可控制的类型也很多)

而咖啡的规则 ...

现在的毛豆,只有拦截凶悍,对所有文件有效,其它控制效果其实慢于、弱于咖啡,而且偶尔抽风,稳定性一直不如咖啡。

评分

参与人数 1人气 +1 收起 理由
storyhare + 1

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:29 , Processed in 0.147989 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表