查看: 86651|回复: 229
收起左侧

[技术原创] VSE Windows NT6+ 规则 Final

  [复制链接]
qpzmggg999
发表于 2013-1-15 19:33:35 | 显示全部楼层 |阅读模式
本帖最后由 qpzmggg999 于 2014-1-10 10:52 编辑

                                           大家好!
我能发布此帖必须要感谢以下卡饭会员

墨池,storyhare,大猫熊,小邪邪,jxfaiu,greencodes,shiyuelaohu (排名不分先后顺序)

规则防御理念:
此规则主要以通配符为主,这是因为一个问题  排除
我们所知道 卡饭的咖啡规则固然相当的好  然而在使用这些规则的时候我们需要准备常用软件排除列表
在我们安装新程序 打开新的程序时候 我们依然需要大量的排除
这会给我们造成很大的不便
我一直认为,规则不是用来限制正常程序的,更不是来降低我们工作效率的
所以,此规则的防御理念是
在保证安全性的前提下 尽量把需要排除的做到最小化


不做一些麻烦的限制规则(Eg 限制全局exe)


2文字版规则  
3楼 下载地址
4楼  更新日志   




评分

参与人数 5魅力 +2 人气 +9 收起 理由
心跳回忆 + 2 + 5 期待后续更新~~
一晴空 + 1 支持,我也在用win8
WEI.ER + 1 支持原创。
墨池 + 1 版区有你更精彩: )
shiyuelaohu + 1 版区有你更精彩: )

查看全部评分

qpzmggg999
 楼主| 发表于 2013-1-15 19:33:55 | 显示全部楼层
本帖最后由 qpzmggg999 于 2013-11-7 13:57 编辑

原始规则 不包括更新内容


规则文字版:
--------------------------------------------------官方默认规则------------------------------------------------------------------------------

防间谍程序标准保护:
第一个
名字:保护 Internet Explorer 收藏夹和设置
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
防间谍程序最大保护
第一个
名字:禁止安装新的 CLSID、APPID 和 TYPELIB
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
第二个
名字:禁止所有程序从 Temp 文件夹运行文件
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, C:\Program Files\Internet Explorer\**, C:\Windows\System32\**, C:\Windows\WinStore\**
第三个
名字:禁止从 Temp 文件夹执行脚本
包含:?script.exe
排除:
3:防病毒标准保护
第一个
名字:禁止禁用注册表编辑器和任务管理器
包含:*
排除:
第二个
名字:禁止更改用户权限策略
包含:*
排除:*\**\WINDOWS\**
第三个
名字:禁止远程创建/修改可执行文件和配置文件
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, proxy.exe
第四个
名字:禁止远程创建自动运行文件
包含:*
排除:
第五个
名字:禁止拦截 .EXE 和其他可执行文件扩展名
包含:*
排除:
第六个
名字:禁止伪装 Windows 进程
包含:*
排除:
第七个
名字:禁止群发邮件蠕虫发送邮件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第八个
名字:禁止 IRC 通信
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第九个
名字:禁止使用 tftp.exe
包含:*
排除:
防病毒最大保护:
第一个
名字:禁止 Svchost 执行非 Windows 可执行文件
包含:svchost.exe
排除:
不报告
第二个
名字:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第三个
名字:禁止更改所有文件扩展名的注册
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第四个
名字:保护缓存文件免受密码和电子邮件地址窃贼的攻击
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
防病毒爆发控制
第一个
名字:将所有共享项设为只读
包含:system:remote
排除:
第二个
名字:阻止对所有共享资源的读写访问
包含:*.*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Users\**, *\**\WINDOWS\**
通用标准保护:
第一个
名字:禁止修改 McAfee 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\WINDOWS\**,C:\ProgramFiles\McAfee\HostIntrusionPrevention\FireSvc.exe
第二个
名字:禁止修改 McAfee Common Management Agent 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\WINDOWS\**(64位 32的去掉x86)
第三个
名字:禁止修改 McAfee 扫描引擎文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\WINDOWS\**(同上)
第四个
名字:保护 Mozilla 及 FireFox 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第五个
名字:保护 Internet Explorer 设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第六个
名字:禁止安装 Browser Helper Objects 和 Shell Extensions
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第七个
名字:保护网络设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第八个
名字:禁止公用程序从 Temp 文件夹运行文件
包含:iexplore.exe
排除:
第九个
名字:在 Internet Explorer 中禁用 HCP URL
包含:*
排除:
第十个
名字:防止终止 McAfee 进程
包含:*
排除:
不用管系统进程触红 官方问题  英文规则没用 有冲突 抹掉了 不影响安全性
通用最大保护
第一个
名字:禁止将程序注册为自动运行
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\System32\**
第二个
名字:禁止将程序注册为服务
包含:*
排除:*\**\WINDOWS\**
第三个
名字:禁止在 Windows 文件夹中创建新的可执行文件
包含:*
排除:*\**\WINDOWS\**
偶尔触红 看到可信在排除
第四个
名字:禁止在 Program Files 文件夹中创建新的可执行文件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
第五个
名字:禁止从 Downloaded Program Files 文件夹启动文件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
第六个
名字:禁止 FTP 通信
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**
第七个
名字:禁止 HTTP 通信
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
虚拟机保护
第一个
名字:防止终止 VMWare 进程
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
不影响安全性
第二个
名字:禁止修改 VMWare Workstation 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第三个
名字:禁止修改 VMWare Server 文件和设置
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
第四个
名字:禁止修改 VMWare 虚拟机文件
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
  





个人自定义规则:
第一个
名字:001 全自动保护 浏览器  禁止恶意开启ie浏览器
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\system32\**
阻止:C:\Program Files\Internet Explorer\iexplore.exe
操作:所有操作
第二个
名字:002 全自动保护 系统保护 Windows根目录防篡改
包含:*
排除:*\**\Microsoft Shared\**, *\**\WINDOWS\**, C:\Program Files*\NVIDIA Corporation\3D Vision\nvSCPAPISvr.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfefire.exe, McScanCheck.exe, System
阻止:C:\Windows\**
操作:写,创建,删除
第三个
名字:003 全自动保护 系统设置 用户个人文件夹防篡改
包含:*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, nfs*.exe, proxy.exe, System
阻止:C:\Users\** (请用注册表的改了)
操作:写,创建,删除
第四个
名字:004 全自动保护 系统设置 保护安全模式
包含:*
排除:
阻止:HKLM /SYSTEM/*ontrolSe*/Control/SafeBoot/**
保护:项
操作:所有
第五个
名字:005 全自动保护 U盘 U盘威胁限制
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, C:\Windows\**
阻止:HKCU /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**
保护:项
操作:所有
第六个
名字:006 全自动保护 系统设置 反镜像劫持
包含:*
排除:C:\Windows\system32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe
阻止:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
保护:项
操作:所有
第七个
名字:007 全自动保护 系统设置 EMET设置保护
包含:*
排除:
阻止:HKLM /SOFTWARE/Microsoft/EMET/**
保护:项
操作:所有
第八个
名字:008 全自动保护 系统设置 保护startup设置
包含:*
排除:C:\Windows\system32\svchost.exe
阻止:HKLM /SYSTEM/*ontrolSe*/Control/Terminal Server/**
保护:项
操作:所有
第九个
名字:009 全自动保护 系统设置 服务项保护
包含:*
排除:C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\**\*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, C:\Windows\System32\wusa.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SysWOW64\svchost.exe, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, install.exe, setu*.exe, SYSTEM
阻止 HKLM /system/*ontrolSet*/services/*/Parameters/ServiceDll
保护:值
操作:所有
第十个
名字:010 全自动保护 系统设置  win8 metro app保护
包含:*
排除:*\**\WindowsApps\**, *\**\WINDOWS\**
阻止:C:\Program Files\WindowsApps\**
操作:删除+创建
第十一个
名字:011 全自动保护 系统设置 Userinit设置保护
包含:*
排除:*\**\goagent*\**, *\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**
阻止:HKLM /Software/**/Microsoft/**
保护:项
操作:所有
第十二个
名字:012 全自动保护 DLL 禁止恶意注入
包含:*
排除:*\**\goagent*\**, *\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, C:\Windows\system32\SearchProtocolHost.exe, clt.exe, setup.exe, Thunder*.exe
阻止:*.dll
操作:执行
第十三个
名字:013 全自动保护 远程 防止恶意远程控制
包含:*
排除:*\**\WINDOWS\**
端口: 3389-3389
方向:入+出
第十四个
名字:014 全自动保护 U盘 禁止自动运行
包含:*
排除:
阻止:\*autorun*.*
操作:所有
第十五个
名字:015 加 强  保 护 文件保护 BAT 控制 (已弃用)
包含:*
排除:
阻止:**.bat
操作:写+创建
第十六个
名字:016 全自动保护 系统设置 ProgramData 保护
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, chrome.exe
阻止:C:\ProgramData\**,C:\Program Files (x86)\**
操作:写入
第十七个
名字:017 全自动保护 DLL 独立保护风险DLL
包含:*
排除:                  (第一次放的规则需要改成空白)
阻止:msadco.dll,msado15.dll,scrrun.dll
操作:写+读
第十八个
名字:018 全自动保护 浏览器 IE缓存保护
包含:*
排除:
阻止:**\Content.IE5\**
操作:执行
第十九个
名字:019 全自动保护 远程 注册表保护 项
包含:system:remote
排除:
阻止:HKALL /**
保护:项
操作:所有
第二十个
名字:020 全自动保护 远程 注册表保护 值
包含:system:remote
排除:
阻止:HKALL /**
保护:值
操作:所有
第二十一个
名字:021 全自动保护 端口设置 出站控制
包含:*.*
排除:*\**\Google\**, *\**\Program Files (x86)\**, *\**\Program Files\**, *\**\WINDOWS\**, nfs*.exe, proxy.exe
阻止:0-65535
方向:出站
第二十二个
名字:022全自动保护 系统设置 驱动保护
包含:*
排除:C:\Windows\**
阻止:C:\Windows\Sys*\Dr*\**
操作:所有
第二十三个
名字:023全自动保护 远程 文件保护
包含:system:remote
排除:
阻止:**
操作:所有

update
17拆分成
名字:019 全自动保护msadco.dl
包含:*
排除:
阻止:msadco.dll
操作:写+读

名字:018 全自动保护msado15.dll
包含:*
排除:
阻止:msado15.dll
操作:写+读

名字:020 全自动保护scrrun.dll
包含:*
排除:
阻止:scrrun.dll
操作:写+读

分别为 17 24 25   非常感谢墨池

评分

参与人数 2人气 +4 收起 理由
大猫熊 + 3 版区有你更精彩: )
shiyuelaohu + 1 版区有你更精彩: )

查看全部评分

qpzmggg999
 楼主| 发表于 2013-1-15 19:34:22 | 显示全部楼层

下载

本帖最后由 qpzmggg999 于 2014-1-10 10:44 编辑

下载: final 32/64位


你可以把你自己的文件夹命名为Program Files方便排除
                                          

有问题私聊或跟帖

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qpzmggg999
 楼主| 发表于 2013-1-15 19:34:40 | 显示全部楼层

更新日志

本帖最后由 qpzmggg999 于 2014-1-10 10:46 编辑

final:          把所有*\**\PF (x86)\** and *\**\windows\** 改成 c:\PF (x86)\** and c:\windows\**

                  修复了一条无效规则(自定义15)

                  减少了部分触红现象

                  更新了一些规则排除

                  默认规则-- 虚拟机保护 排除全部更新
zixiang5288
发表于 2013-1-15 19:56:18 | 显示全部楼层
本帖最后由 zixiang5288 于 2013-1-15 19:57 编辑

等更新,只要是新规则都想试= =

看来有的编辑了
liangxy
头像被屏蔽
发表于 2013-1-15 20:07:02 | 显示全部楼层
请问win7 64可以用么?
qpzmggg999
 楼主| 发表于 2013-1-15 20:15:53 | 显示全部楼层
liangxy 发表于 2013-1-15 20:07
请问win7 64可以用么?

可以
liangxy
头像被屏蔽
发表于 2013-1-15 20:18:52 | 显示全部楼层
qpzmggg999 发表于 2013-1-15 20:15
可以

大概看了下文字版的,你和我一样全通配符排除
袋鼠吱吱
头像被屏蔽
发表于 2013-1-15 20:26:17 | 显示全部楼层
这个有什么新东西么?不是很懂?好像和以前的差不多?
qpzmggg999
 楼主| 发表于 2013-1-15 20:48:57 | 显示全部楼层
袋鼠吱吱 发表于 2013-1-15 20:26
这个有什么新东西么?不是很懂?好像和以前的差不多?

排除少了啊 少年
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 07:57 , Processed in 0.138470 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表