本帖最后由 mxf147 于 2011-5-31 12:25 编辑
原来的秘书规则帖子不小心被自己删掉了 汗一个 于是只能在写一个供大家分享(真的满累的)
长话短说,大体上没有很大的改变,主要还是精简,还有沿用第一版秘书规则的中文文件组(英语不好的筒子有福了),削减了全局规则(部分豆油反映太严),但是explorer还是没变(个人坚
持,有意见的自行修改)
本来想好不写规则了,应为comodo现有规则已经足够用了,不幸手滑点了删除 我晕
像局长,u版留下的规则至今所向披靡(拍马屁),但要想eq那样所谓的上至8旬下至3岁(汗一个),确实难产(期待某位大侠的出现)
ps1:再次申明黑名单的初衷是考虑到关闭d+的用户而已,并非不可或缺,
ps2:规则要有思路,不必可以相同,打磨属于自己的规则最重要,别人的始终是别人的,你拿来也不一定能发挥100的效用
言归正传,先来看一下这次的文件组大体没有改变,只调整了细微的路径,能用通配的都用上了(个人觉得自己打磨出来的规则,能用绝对路径就用)
部分豆油在套用规则后 因为黑名单的问题时常束手无策,这里给大家各提示(此版默认取消黑名单保护,需要的自行将黑名单组加入block file中)
杀软路径的添加地点
下载目录修改地点
杀软程序组修改地点
其他的如图所示
这里是我的保护文件图示,globe(全局)保护的话,根据自己需要巴,提示可能会多些
由于命名管道保护的歧义即需不需要加入我的保护文件中,考虑后加入也无妨
内容如图
内容如图
预设规则(懒人必看,实际规则中已改为中文)
主要包括(顺序由上到下)
1信任程序
2系统程序
3隔离程序
4受限程序
5联网程序
6本地程序
7下载
8聊天
9浏览器
联网预设图示,其他都不一一图示了
1整体权限,个人认为不松不紧
2run an executable allow中的网络程序组可以在group里添加你想套用的网络程序(只是为了美观,直接套也行)
3interprocess memory accesses,allow中允许输入法和explorer,block保护系统程序和安软程序
4hooks,全部允许
5process terminations,同样保护系统程序和安软为主
6protected com interfaces,特注\RPC Control\ntsvcs Service Control Manager (\RPC Control\ntsvcs) 涉及到对服务的管理即scm,保护系统时间等
7protected registry keys
8protected files/folders,对关键位置的保护很重要
补充一:关于explorer权限
explorer规则图示(图中英文程序组为秘书感恩版规则可与中文版匹配)
如果要改本地连接属性
就要在Interprocess MemoryAccess的modify|allow中添加SVCHOST.EXE,
在Protected COMInterfaces的modify|allow中添加{9BA05972-F6A8-11CF-A442-00A0C90A8F39}
补充二:什么是Named Pipe?(引用自局长)
“命名管道”(Named Pipe)是一种比较可靠的进程间通信机制,可用在同一台计算机不同进程间,也可用在不同计算机的不同进程间,可以是单向的,也可以是双向的,WindowsNT、Windows 2000、Windows 95和Windows98均提供了对它的支持,而且在Unix下也有类似的概念。它是在Microsoft LAN管理器和IBMLAN服务器网络操作系统上实现的。
一般情况下普通程序不会使用Named Pipe ,所以阻止程序访问Named Pipe一般没有影响,如有影响可以根据日志添加例外。最好是事先将Named Pipe 组加入到my protectedfile的block中,否则提示会很多。新手注意可以不要对explorer进行namedpipe拦截,这样更便于使用,因为拦截explorer的话要排除的很多。
补充三防御U盘病毒
补充四all application权限
关于all application权限也是豆油们讨论的比较多的,我这里说下个人感受对于没有沙盘的豆油们,all application权限可以说是安装模式的最后一道防线,当然限制的太紧缺时没有必要 可以添加一些例外来达到目的,我只能说他很重要,有一定基础的豆油们可以看一下这个帖子
警惕恶软瞒天过海——注意all application权限防线
最后的最后 测试我就不测了 用过得都说好 嘻嘻
[ 本帖最后由 秘书 于 2009-2-6 14:27 编辑 ] | 
[复制链接]
发表于 2009-2-5 22:13:38
这么多。第一次看的时候,才只有2副图。
楼主
