运用火绒自定义规则防流氓软件

幽冥の龙

由于更新越来越多，贴子显得很乱，每次找规则网页要拉半天，所以重新开了帖子，想下规则的请移步
http://bbs.kafan.cn/thread-1789191-1-1.html

此贴以后不再更新规则



首先感谢@bbszy
此贴参考他的帖子 http://bbs.kafan.cn/thread-1632551-1-1.html

因为火绒规则暂时还没人分享，想到火绒比起卡巴好上手多了，而且也支持规则的单独导出分享所以就想参考他的帖子写个火绒的规则。本人也是小白，就是比较爱折腾，有错的地方希望大家多多指教！

首先介绍下火绒的规则，目前火绒系统防护规则支持的通配符如下：

* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件，但不记得文件名其余部分，可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?，查找以love开头的一个字符结尾文件类型的文件，如lovey、lovei等。
> 替代所有字符直到遇到“\”。比如c:\a\>，那么这条规则只会作用于c:\a\目录下所有文件而不会对c:\a\b这个子目录生效。

以禁止创建举例：
c:\* —— 禁止C盘下创建任何文件
c:\abc ——禁止 C盘根目录下创建abc文件
c:\*\abc —— 禁止C盘任意目录下创建abc文件（不包括根目录）
火绒不支持 %systemdrive%
但是却支持 *:\
这个更屌有木有，一劳永逸啊

俗话说授之以鱼不如授之以渔，所以先教大家一下如何用火绒禁止自己不想装的软件自动装。
当然。。。首先得自己装一遍……或者可以通过沙箱、虚拟机、看别人机器、问别人等各种手段，目的是为了获悉软件的安装目录和创建的注册表，这样才可以禁

我以虚拟机里测试软件为例吧（其实不用这么麻烦，一般你自己装的时候别去改路径，这个路径记住放到规则里去就行了……我这里主要介绍下火绒剑，这个算是火绒剑的上手教程了……）
1、将火绒的所有防护暂时关掉（如果测毒不要关，我这里懒得点弹窗所以关了）
2、召唤神器火绒剑
3、点开动作过滤，只勾上我们想知道的创建文件和注册表

4、切换到进程标签，把你要监控的程序名复制进去
比如360卫士的安装程序（没有黑360的意思，只是这个正好适合举例，因为在线安装程序实际上就是后台下载静默安装嘛，只不过你是知情的）


5、确定后点开始监控，然后安装
就按默认路径好了，反正静默安装的时候是不会给你选路径的




我擦怎么才这么点。。。
因为这个是在线安装程序……想象下你双击了某个流氓下载器
不用慌！ 点开动作过滤把网络行为也勾上就行了
火绒剑监控的时候是监控所有行为的，你排除的也会监控只是不显示而已，根据需要勾上显示就是了




把网络监控也勾上后果断抓到了他 下载的程序名
接下来我们把刚才监控进程名改成 这个安装包的名字 setup_9.7.0.2001h.exe





哇哦，包括安装释放的临时文件在内一共创建的文件和注册表总数有 1632个>.<
你要是测试样本，样本做了什么一目了然

咳火绒剑上手教程就到这，该干正事了，规则我们只需要关键的几个就行了



可以看到360卫士主要名字 为 360safe
那么想禁止360卫士安装的2条规则

万能的火绒星号通配符！
*:\360safe\*
*:\*\360safe\*
这2个是禁止任何目录下创建卫士文件

*\360safe\*

禁注册表任何位置创建和360safe有关的东西

点火绒的实时防护，系统防护的小齿轮，自定义防护项目，添加规则，创建一个文件保护，下面勾选“创建”。创建一个注册表保护，勾选 “创建” “写入”






你要是想禁止360全家那就把  360safe 改成 360*


双击安装程序试试效果，安装了几秒就自动退出了……查看日志
操作程序：C:\Users\Test\Desktop\测试\setup_9.7.0.2001h.exe
触犯规则：禁止360创建文件
用户操作：已阻止
操作类型：创建
操作文件：C:\Users\Test\AppData\Roaming\360Safe


操作程序：C:\Users\Test\Desktop\测试\setup_9.7.0.2001h.exe
触犯规则：禁止360创建注册表
用户操作：已阻止
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\Software\360Safe\Liveup


双击在线安装程序试试，点都不让点了。。直接灰色

操作程序：C:\Users\Test\Desktop\测试\setup_9.7.0.2001h.exe
触犯规则：禁止360创建注册表
用户操作：已阻止
操作类型：创建
操作注册表：HKEY_LOCAL_MACHINE\Software\360Safe\Liveup


操作程序：C:\Users\Test\Desktop\测试\inst.exe
触犯规则：禁止360创建文件
用户操作：已阻止
操作类型：创建
操作文件：C:\Program Files\360\360safe\~dt2710.tmp




注意，这时候规则是不生效的！关闭后才生效

幽冥の龙

上面说了禁止安装，那么对于有些软件，既要用又不希望它流氓怎么办呢？
接下来就说利用火绒禁止软件运行不必要的程序

以YY来举例，要禁止自然先要知道它做了些什么
依旧打开火绒剑
这次先不做设置，直接点开始监控


把出来的进程全部右键排除，等到没有新程序跳出来后再启动YY，再点一下YY的“游戏特权”
这时候我们就可以看到我们启动YY之后发生的所有事情了……
当然，太多了乱七八糟的看不懂
我们需要过滤一下
点击过滤，动作选项里勾选
1、进程启动
2、进程退出
3、文件创建
4、创建进程
这些就够了，我们主要就是看他有没有偷偷启动我们根本不需要的程序和进程，是不是偷偷安装了我们根本不想要的东西……
一看发现启动YY后 拖家带口的一起启动了这些东西







yyrun.exe  不知道是什么
yylauncher.exe 貌似YY更新程序
yyexternal.exe 百度说是YY通讯客户端，下载广告等各种
yybrowser.exe YY浏览器？
instlauncher.exe  火绒剑注释：YY浏览器下载器
yypcgame.exe 臭名昭著的 欢聚游戏平台，曾经的超级大流氓，无限在桌面创建快捷方式，删掉还来，找到他所在文件夹删掉还会再下载，直接创建同名文件禁止访问，他还能换个路径下载，比木马还牛……后来收敛了似乎不创建快捷方式了，让用户眼不见心不烦……
通过火绒剑发现  yypcgame.exe  就是 yyexternal.exe 创建的，他还创建了其他N多东西……
AppData\Roaming\duowan\yy\yycomstore\2052  这个路径下所有东西都是它搞的

那么我们用火绒禁止除YY以外的所有东西执行行不行呢？
创建火绒规则 文件保护，加入这些程序名称，勾选执行，直接阻止（不打算直接阻止程序创建，怕出现未知问题）


退出YY ，清空火绒剑记录，重新启动YY


可以看到这些乱七八糟的全部启动失败自动退出了，打开任务管理器，只有一个yy.exe，干净无比有木有！


实测游戏特权打不开了，这个以前老版本的时候禁用欢聚平台后点游戏特权可以打开老版本的游戏特权，现在你禁用直接不让你打开了
但是我发现，可以点左边的游戏手柄图标，打开游戏大厅，然后从右上角的箭头选择各种功能，这些都是老版本的，不流氓，你退出它就退出了，你不启动它也不自启


这样就禁止了YY的一切流氓行为了

恢复快照后重新安装，在规则限制下，发现刚才创建的一大堆东西甚至都没有创建
AppData\Roaming\duowan\yy\yycomstore\2052  这个路径变的相当的干净！

惊喜的发现，规则限制下安装的纯净YY，因为根本就没被  安装什么欢聚平台，所以可以直接点游戏特权签到了，不会出现打不开的情况……

Eif-Hill

顶起，参观学习

KLLIMKNE

求个禁止百度卫士百度杀毒的，这是当务之急啊啊啊

陈正元

技术贴哦，顶一下楼主

幽冥の龙

KLLIMKNE 发表于 2014-11-18 09:54
求个禁止百度卫士百度杀毒的，这是当务之急啊啊啊

百度卫士文件
*:\BaiduAn\*
*:\*\BaiduAn\*
注册表
*\BaiduAn\*

杀毒
*:\baidusd\*
*:\*\baidusd\*

注册表
*\baidusd\*

KLLIMKNE

幽冥の龙 发表于 2014-11-18 10:01
百度卫士文件
*:\BaiduAn\*
*:\*\BaiduAn\*

谢了^_^

pbbh07

再加一条
?:\Program Files*\>提示规则可以防止大部分流氓安装
缺点就是正常安装也会提示

wre2010

太复杂，用不了。

幽冥の龙

wre2010 发表于 2014-11-18 11:23
太复杂，用不了。

晚点会写全一点规则，到时候直接导入就可以了