查看: 64310|回复: 123
收起左侧

[分享] 火绒3.0简易规则《实现部分AD功能》

  [复制链接]
电脑发烧友
发表于 2015-11-15 13:26:09 | 显示全部楼层 |阅读模式
本帖最后由 电脑发烧友 于 2015-11-27 19:26 编辑

win10慎用

我记得火绒论坛有一个规则叫做精钢盾,结果出来不到一天,因弹窗奇多,人称弹窗盾。但是3.0的HIPS方面有了两个令人欣喜的改变
支持定义动作发起者。
自动处理规则可用通配符。

这两点结合起来,加以利用,就可以减少大量的弹窗。

规则内容。
【文件组】系统关键目录
【文件组】特殊位置禁运
【文件组】风险程序禁运
【文件组】双后缀名欺骗
【文件组】系统引导程序
【文件组】图片\办公文档
【文件组】风险程序拦截
【文件组】程序创建监控
【文件组】常用软件保护
【注册表组】系统账户相关
【注册表组】安全模式相关
【注册表组】服务\驱动相关
【注册表组】详细安全策略
【注册表组】自启动项相关
【注册表组】系统图标相关
【注册表组】存储安全策略
【注册表组】网络协议相关
【注册表组】IE浏览器相关
【注册表组】特殊注册表项
【注册表组】网络保护相关


很遗憾,自动处理规则还是无法导出,需要我们手动设置。
我们点击左下角的——右上角的——输入*\Windows\*——下一步——
添加文件规则
    ?:\autorun.inf 禁止读取  
添加注册表规则  
    HKEY_LOCAL_MACHINE\SAM\SAM\Domains\*  禁止创建,写入删除。
    HKEY_LOCAL_MACHINE\SAM\SAM\LastSkuUpgrade\*   禁止创建写入删除   
    HKEY_LOCAL_MACHINE\SAM\SAM\RXACT\*     禁止创建写入删除
添加文件规则
    *   允许读写,创建,删除,执行。
添加注册表规则
    *   允许读写,创建,删除。

注意前后顺序,至于为什么,最后在说。


我们点击左下角的——右上角的——输入 ?:\Program Files\*  ——下一步
添加文件规则
    *   允许读写,创建,删除,执行。
添加注册表规则
    *   允许读写,创建,删除。

非×64系统不要看这行  我们点击左下角的—右上角的——输入?:\Program Files (x86)\*——下一步
添加文件规则
    *   允许读写,创建,删除,执行。
添加注册表规则
    *   允许读写,创建,删除。

我们点击左下角的——右上角的——输入System——下一步
添加文件规则
    *\Windows\*   允许读写,删除,创建,执行。


我们点击左下角的——右上角的——输入 *\>adb>.exe ——下一步
添加文件规则
    *\temp\*   允许读写,删除,创建,执行。
    ?:\Program Files (x86)\*    允许读写,删除,创建,执行。
    ?:\Program Files\*    允许读写,删除,创建,执行。
添加注册表规则
    *   允许读写,删除,创建。

我们点击左下角的——右上角的输入*╲>zip>╲*
添加文件规则
    *\temp\*  允许读写,删除,创建,执行。


基本就是这样了,以下是注意事项。




1.相信你已经发现了,这个规则有一个致命的弱点,就是权限放的太松了,Program Files下甚至允许全部操作,如果被恶意修改的化后果不堪设想,目前的解决方法就是。
,然后在自动处理里允许修改Program Files文件夹下的所有东西,允许修改临时目录和共享目录,还有一些常用的位置比如桌面。注册表方面例外允许临时项和网络方面,若触犯其他规则一律阻止。这样即使被注入,也不会有什么严重的后果。


2.在《【文件组】特殊位置禁运》规则中,禁运了临时目录,这样可以干掉大部分的流氓安装,但是也会影响正常的安装升级。如果直接双击压缩包内的文件,那么压缩软件会把文件拷贝到临时目录执行。所以自动处理允许了压缩软件修改执行临时目录。下载了安装包,在名字的任意一个位置添加“adb”三个字母即可进入“安装模式”,避免繁琐的弹窗。


3.嗯,打个广告,表介意

4.自动处理规则应该是阻止优先的,或者是从上到下读取,所以我说注意上下顺序。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 14经验 +20 原创 +1 人气 +15 收起 理由
deanweel + 1 版区有你更精彩: )
footman + 20 加分鼓励
绯色鎏金 + 1 原创内容
aiping + 1 此贴不加分待到何时
W.S.DREAMER + 1 很给力!

查看全部评分

电脑发烧友
 楼主| 发表于 2015-11-15 13:26:27 | 显示全部楼层
本帖最后由 电脑发烧友 于 2015-11-27 19:26 编辑

2015年11月27日 19:23:08加入规则 风险动作拦截,实现部分AD防御。以及高危程序名的禁运。


最新规则全部已经打包上传到一楼,请自行下载。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
学雷锋做人 + 1 持续更新原创规则,送上小小人气!

查看全部评分

wjy19800315
发表于 2015-11-15 13:46:56 | 显示全部楼层
样本区看你的配置是火绒+沙盘
你的wd开了吗
9chengwo
发表于 2015-11-15 13:48:21 | 显示全部楼层
支持火绒,虽然暂时还没用上
电脑发烧友
 楼主| 发表于 2015-11-15 13:52:45 | 显示全部楼层
wjy19800315 发表于 2015-11-15 13:46
样本区看你的配置是火绒+沙盘
你的wd开了吗


主机,目前为止只有火绒,前一段时间是单奔CFW,后来发现通配符方面似乎有问题,导致原本很好的规则愣是搞得正常软件跑不起来,换成火绒了。WD我刚才看了一下,不知道是什么时候关的。
清道夫900
发表于 2015-11-15 13:55:54 | 显示全部楼层
支持.EXE
corex
发表于 2015-11-15 14:06:40 | 显示全部楼层
感谢分享
funken
发表于 2015-11-15 14:23:53 | 显示全部楼层
果然是大神级别啊...
电脑发烧友
 楼主| 发表于 2015-11-15 14:28:24 | 显示全部楼层
funken 发表于 2015-11-15 14:23
果然是大神级别啊...

其实这些想学就能学会
funken
发表于 2015-11-15 14:37:11 | 显示全部楼层
火绒3.0貌似不能用系统变量写文件规则了,如%Windir%这样的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 04:19 , Processed in 0.144375 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表