秘书规则最终版_v3，4，5都适用__2010.0804悄悄更新下

秘书

原来的秘书规则帖子不小心被自己删掉了 汗一个 于是只能在写一个供大家分享(真的满累的)

长话短说,大体上没有很大的改变,主要还是精简,还有沿用第一版秘书规则的中文文件组(英语不好的筒子有福了),削减了全局规则（部分豆油反映太严），但是explorer还是没变（个人坚

持，有意见的自行修改）

本来想好不写规则了，应为comodo现有规则已经足够用了，不幸手滑点了删除 我晕

像局长，u版留下的规则至今所向披靡（拍马屁），但要想eq那样所谓的上至8旬下至3岁（汗一个），确实难产（期待某位大侠的出现）

ps1:再次申明黑名单的初衷是考虑到关闭d+的用户而已，并非不可或缺，

ps2:规则要有思路，不必可以相同，打磨属于自己的规则最重要，别人的始终是别人的，你拿来也不一定能发挥100的效用

言归正传，先来看一下这次的文件组大体没有改变，只调整了细微的路径，能用通配的都用上了（个人觉得自己打磨出来的规则，能用绝对路径就用）

部分豆油在套用规则后 因为黑名单的问题时常束手无策，这里给大家各提示（此版默认取消黑名单保护，需要的自行将黑名单组加入block file中）



杀软路径的添加地点




下载目录修改地点



杀软程序组修改地点



其他的如图所示





这里是我的保护文件图示，globe(全局)保护的话，根据自己需要巴，提示可能会多些
由于命名管道保护的歧义即需不需要加入我的保护文件中，考虑后加入也无妨



内容如图



内容如图







预设规则（懒人必看，实际规则中已改为中文）
主要包括（顺序由上到下）
1信任程序
2系统程序
3隔离程序
4受限程序
5联网程序
6本地程序
7下载

8聊天
9浏览器



联网预设图示，其他都不一一图示了

1整体权限，个人认为不松不紧



2run an executable allow中的网络程序组可以在group里添加你想套用的网络程序（只是为了美观，直接套也行）



3interprocess memory accesses,allow中允许输入法和explorer,block保护系统程序和安软程序



4hooks，全部允许



5process terminations,同样保护系统程序和安软为主



6protected com interfaces,特注\RPC Control\ntsvcs  Service Control Manager (\RPC Control\ntsvcs) 涉及到对服务的管理即scm,保护系统时间等



7protected registry keys



8protected files/folders,对关键位置的保护很重要









补充一：关于explorer权限

explorer规则图示(图中英文程序组为秘书感恩版规则可与中文版匹配)

如果要改本地连接属性
就要在Interprocess MemoryAccess的modify|allow中添加SVCHOST.EXE,
在Protected COMInterfaces的modify|allow中添加{9BA05972-F6A8-11CF-A442-00A0C90A8F39}









补充二：什么是Named Pipe？(引用自局长)

“命名管道”（Named Pipe）是一种比较可靠的进程间通信机制，可用在同一台计算机不同进程间，也可用在不同计算机的不同进程间，可以是单向的，也可以是双向的，WindowsNT、Windows 2000、Windows 95和Windows98均提供了对它的支持，而且在Unix下也有类似的概念。它是在Microsoft LAN管理器和IBMLAN服务器网络操作系统上实现的。

一般情况下普通程序不会使用Named Pipe ，所以阻止程序访问Named Pipe一般没有影响，如有影响可以根据日志添加例外。最好是事先将Named Pipe 组加入到my protectedfile的block中，否则提示会很多。新手注意可以不要对explorer进行namedpipe拦截，这样更便于使用，因为拦截explorer的话要排除的很多。






补充三防御U盘病毒






补充四all application权限

关于all application权限也是豆油们讨论的比较多的，我这里说下个人感受对于没有沙盘的豆油们，all application权限可以说是安装模式的最后一道防线，当然限制的太紧缺时没有必要 可以添加一些例外来达到目的，我只能说他很重要，有一定基础的豆油们可以看一下这个帖子
警惕恶软瞒天过海——注意all application权限防线






最后的最后 测试我就不测了 用过得都说好 嘻嘻

[ 本帖最后由 秘书 于 2009-2-6 14:27 编辑 ]

EAson7

沙发支持！！！

joshua

BD支持   

见到乃不由自主打成了BS

很晚了  小秘早点休息  明天来拜读  安安

卡饭饭盒

这么多。第一次看的时候，才只有2副图。
秘书写的规则都不错。之前用过。支持一下

一下子丫

顶顶，下载HOHO


0.0

[ 本帖最后由 一下子丫 于 2009-2-6 09:29 编辑 ]

秘书

睡觉了 累

yuyando

昨天下午试用了个你新加的，

没想到“你手滑”就删掉了

war3knight

这规则能在VISTA上用不？

amoy08

请问秘书，你的系统是什么版本的，且用的是什么版本的COMODO，我是VISTA 64SP1，COMODO是最新的CIS_Setup_3.8.61948.459_XP_Vista_x64_BETA，在导入你原先的规则后，系统开机到欢迎界面，一直重复开机，我只能GHOST回来，才正常，请告知下。
  目前我只知道，64位的注册表位置与32位的，路径有的不一样，是这个原因吗。
请见我的求助贴，注册表比较。http://bbs.kafan.cn/thread-417286-1-1.html

[ 本帖最后由 amoy08 于 2009-2-6 01:21 编辑 ]

1e3e

过来拍一下秘书的马屁，支持一下，辛苦了

hklwk

請問My Network Zones怎改?

liudianshui

支持啦。

KevinH

支持一下。

V!RTUAL

来晚了！支持一下

偶_偶

辛苦，感激分享

Arthurlong

太有才啦！！全民福气啊！

taishan

我现在还在自己打磨中，还是要感谢楼主的分享！

e_roamer

支持一下！

使用秘书规则有一段时间了，目前仍在调试学习中。在使用过程中碰到一些问题，在此向各位达人请教：
1. \SystemRoot\AppPatch\sysmain.sdb
   \SystemRoot\AppPatch\systest.sdb
很多程序都要访问以上两个文件，目前我都点允许，不知是否恰当？好像阻止也没有什么影响。不知道这两个程序有什么用？我在google上搜索过，没有找到满意的答案。

2. 杀毒软件在扫描文件后，会在D+日志里留下 Block File c:\program files\3721  c:\windows\system32\dllhost.exe的记录，而我已经给杀毒软件Trusted Application 的权限，为什么还会被Blocked？而我查看了c:\program files目录下并没有3721的文件夹，最后发现在局长黑名单1中有：*\3721* 和*\dllhost.exe.为什么没有3721这个文件夹也会被杀软扫出来并在D+日志里留下记录？为什么黑名单中就这两个项被扫出来而其他的却没有？

3.昨天安装了vidalia，在运行过程中它要访问\Device\NamedPipe\Win32Pipes*这些项，我点了阻止，发现不影响使用。这是我第一次碰到要访问命名管道的情况，在这里是否该点允许？点允许会有什么不同结果？

目前就碰到这些问题，在此先谢谢秘书和各位达人！

一下子丫

看图

[ 本帖最后由 一下子丫 于 2009-2-6 11:06 编辑 ]

Magis

1.作用等高手.....可以先阻止看效果，印象中沙盘程序可以阻止；
2.在更新至某个版本后（应该是），d+日志里开始提示这些。比如经常性的direct disk access xp 系统显示不出来的盘符。愿意深究原因可以上官网论坛问问。
3.大多数非系统程序访问NamedPipe的行为都可以block，某些系统程序访问NamedPipe的行为必须允许（比如\Device\NamedPipe\lsarpc etc.)如果要求严格可以先block，再排除。