本帖最后由 qpzmggg999 于 2013-11-7 13:57 编辑
原始规则 不包括更新内容
规则文字版:
--------------------------------------------------官方默认规则------------------------------------------------------------------------------
防间谍程序标准保护:
第一个
名字:保护 Internet Explorer 收藏夹和设置
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
防间谍程序最大保护
第一个
名字:禁止安装新的 CLSID、APPID 和 TYPELIB
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
第二个
名字:禁止所有程序从 Temp 文件夹运行文件
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, C:\Program Files\Internet Explorer\**, C:\Windows\System32\**, C:\Windows\WinStore\**
第三个
名字:禁止从 Temp 文件夹执行脚本
包含:?script.exe
排除:
3:防病毒标准保护
第一个
名字:禁止禁用注册表编辑器和任务管理器
包含:*
排除:
第二个
名字:禁止更改用户权限策略
包含:*
排除:*\**\WINDOWS\**
第三个
名字:禁止远程创建/修改可执行文件和配置文件
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, proxy.exe
第四个
名字:禁止远程创建自动运行文件
包含:*
排除:
第五个
名字:禁止拦截 .EXE 和其他可执行文件扩展名
包含:*
排除:
第六个
名字:禁止伪装 Windows 进程
包含:*
排除:
第七个
名字:禁止群发邮件蠕虫发送邮件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第八个
名字:禁止 IRC 通信
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第九个
名字:禁止使用 tftp.exe
包含:*
排除:
防病毒最大保护:
第一个
名字:禁止 Svchost 执行非 Windows 可执行文件
包含:svchost.exe
排除:
不报告
第二个
名字:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第三个
名字:禁止更改所有文件扩展名的注册
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第四个
名字:保护缓存文件免受密码和电子邮件地址窃贼的攻击
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
防病毒爆发控制
第一个
名字:将所有共享项设为只读
包含:system:remote
排除:
第二个
名字:阻止对所有共享资源的读写访问
包含:*.*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Users\**, *\**\WINDOWS\**
通用标准保护:
第一个
名字:禁止修改 McAfee 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\WINDOWS\**,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe
第二个
名字:禁止修改 McAfee Common Management Agent 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\WINDOWS\**(64位 32的去掉x86)
第三个
名字:禁止修改 McAfee 扫描引擎文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\WINDOWS\**(同上)
第四个
名字:保护 Mozilla 及 FireFox 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第五个
名字:保护 Internet Explorer 设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第六个
名字:禁止安装 Browser Helper Objects 和 Shell Extensions
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第七个
名字:保护网络设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第八个
名字:禁止公用程序从 Temp 文件夹运行文件
包含:iexplore.exe
排除:
第九个
名字:在 Internet Explorer 中禁用 HCP URL
包含:*
排除:
第十个
名字:防止终止 McAfee 进程
包含:*
排除:
不用管系统进程触红 官方问题 英文规则没用 有冲突 抹掉了 不影响安全性
通用最大保护
第一个
名字:禁止将程序注册为自动运行
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\System32\**
第二个
名字:禁止将程序注册为服务
包含:*
排除:*\**\WINDOWS\**
第三个
名字:禁止在 Windows 文件夹中创建新的可执行文件
包含:*
排除:*\**\WINDOWS\**
偶尔触红 看到可信在排除
第四个
名字:禁止在 Program Files 文件夹中创建新的可执行文件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
第五个
名字:禁止从 Downloaded Program Files 文件夹启动文件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
第六个
名字:禁止 FTP 通信
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第七个
名字:禁止 HTTP 通信
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
虚拟机保护
第一个
名字:防止终止 VMWare 进程
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
不影响安全性
第二个
名字:禁止修改 VMWare Workstation 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第三个
名字:禁止修改 VMWare Server 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第四个
名字:禁止修改 VMWare 虚拟机文件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
个人自定义规则:
第一个
名字:001 全自动保护 浏览器 禁止恶意开启ie浏览器
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
阻止:C:\Program Files\Internet Explorer\iexplore.exe
操作:所有操作
第二个
名字:002 全自动保护 系统保护 Windows根目录防篡改
包含:*
排除:*\**\Microsoft Shared\**, *\**\WINDOWS\**, C:\Program Files*\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe, McScanCheck.exe, System
阻止:C:\Windows\**
操作:写,创建,删除
第三个
名字:003 全自动保护 系统设置 用户个人文件夹防篡改
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, nfs*.exe, proxy.exe, System
阻止:C:\Users\** (请用注册表的改了)
操作:写,创建,删除
第四个
名字:004 全自动保护 系统设置 保护安全模式
包含:*
排除:
阻止:HKLM /SYSTEM/*ontrolSe*/Control/SafeBoot/**
保护:项
操作:所有
第五个
名字:005 全自动保护 U盘 U盘威胁限制
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\**
阻止:HKCU /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**
保护:项
操作:所有
第六个
名字:006 全自动保护 系统设置 反镜像劫持
包含:*
排除:C:\Windows\system32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe
阻止:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
保护:项
操作:所有
第七个
名字:007 全自动保护 系统设置 EMET设置保护
包含:*
排除:
阻止:HKLM /SOFTWARE/Microsoft/EMET/**
保护:项
操作:所有
第八个
名字:008 全自动保护 系统设置 保护startup设置
包含:*
排除:C:\Windows\system32\svchost.exe
阻止:HKLM /SYSTEM/*ontrolSe*/Control/Terminal Server/**
保护:项
操作:所有
第九个
名字:009 全自动保护 系统设置 服务项保护
包含:*
排除:C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\**\*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, C:\Windows\System32\wusa.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SysWOW64\svchost.exe, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, install.exe, setu*.exe, SYSTEM
阻止 HKLM /system/*ontrolSet*/services/*/Parameters/ServiceDll
保护:值
操作:所有
第十个
名字:010 全自动保护 系统设置 win8 metro app保护
包含:*
排除:*\**\WindowsApps\**, *\**\WINDOWS\**
阻止:C:\Program Files\WindowsApps\**
操作:删除+创建
第十一个
名字:011 全自动保护 系统设置 Userinit设置保护
包含:*
排除:*\**\goagent*\**, *\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
阻止:HKLM /Software/**/Microsoft/**
保护:项
操作:所有
第十二个
名字:012 全自动保护 DLL 禁止恶意注入
包含:*
排除:*\**\goagent*\**, *\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, C:\Windows\system32\SearchProtocolHost.exe, clt.exe, setup.exe, Thunder*.exe
阻止:*.dll
操作:执行
第十三个
名字:013 全自动保护 远程 防止恶意远程控制
包含:*
排除:*\**\WINDOWS\**
端口: 3389-3389
方向:入+出
第十四个
名字:014 全自动保护 U盘 禁止自动运行
包含:*
排除:
阻止:\*autorun*.*
操作:所有
第十五个
名字:015 加 强 保 护 文件保护 BAT 控制 (已弃用)
包含:*
排除:
阻止:**.bat
操作:写+创建
第十六个
名字:016 全自动保护 系统设置 ProgramData 保护
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, chrome.exe
阻止:C:\ProgramData\**,C:\Program Files (x86)\**
操作:写入
第十七个
名字:017 全自动保护 DLL 独立保护风险DLL
包含:*
排除: (第一次放的规则需要改成空白)
阻止:msadco.dll,msado15.dll,scrrun.dll
操作:写+读
第十八个
名字:018 全自动保护 浏览器 IE缓存保护
包含:*
排除:
阻止:**\Content.IE5\**
操作:执行
第十九个
名字:019 全自动保护 远程 注册表保护 项
包含:system:remote
排除:
阻止:HKALL /**
保护:项
操作:所有
第二十个
名字:020 全自动保护 远程 注册表保护 值
包含:system:remote
排除:
阻止:HKALL /**
保护:值
操作:所有
第二十一个
名字:021 全自动保护 端口设置 出站控制
包含:*.*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, nfs*.exe, proxy.exe
阻止:0-65535
方向:出站
第二十二个
名字:022全自动保护 系统设置 驱动保护
包含:*
排除:C:\Windows\**
阻止:C:\Windows\Sys*\Dr*\**
操作:所有
第二十三个
名字:023全自动保护 远程 文件保护
包含:system:remote
排除:
阻止:**
操作:所有
update
17拆分成
名字:019 全自动保护msadco.dl
包含:*
排除:
阻止:msadco.dll
操作:写+读
名字:018 全自动保护msado15.dll
包含:*
排除:
阻止:msado15.dll
操作:写+读
名字:020 全自动保护scrrun.dll
包含:*
排除:
阻止:scrrun.dll
操作:写+读
分别为 17 24 25 非常感谢墨池 |
[复制链接]
发表于 2013-1-15 19:33:35
楼主
