V5-WIN7 X86骨架规则最终版。

xjiain

本规则将程序划分为
Windows系统应用程序：指与系统运行相关的程序，也包括驱动程序
Windows应用程序：指WIN7自带的软件，比如IE、WMPLAYER、画图、DVD Maker、WIN7自带游戏等软件
应用程序：指第三方浏览器、播放器、下载软件、聊天软件、输入法、编辑软件等。
游戏程序：单机游戏网络游戏
安装程序：指备份的驱动程序与安装程序
可信程序：指杀毒等安全软件。
套用规则，需要自己能分析日志，修改规则，对规则有所了解。

导入后，请将自己的软件路径，分别添加到文件组中：自定义可信程序 、 自定义应用程序、自定义游戏程序中

添加后，便可运行程序，本规则，不保证每个程序都能正常运行。

最终版：
1，放大了各个自定义程序的权限。
2，修改全局规则下，运行病毒时破坏文件的漏洞。（亲测出来的结果）
3，对规则作了小小的优化。


不知不觉，毛豆也跟我壹年了。。其中的乐趣，真的难望，特别是和病毒0距离的接触。呵呵。

前面很长的一断时间， 由于自身原因，无法上网，没有及时处理大家的短信，请原谅。现在，我将在空闲之余，帮助大家，与大家一起学习毛豆。



09\11\08更新内容：
1 去掉自己用的软件信息 只保留WIN7骑舰版 内置程序  与安装在D:\Program Files\Thunder\BIN\迅雷的规则。
2 细化WINDOWS应用程序 并修改了部分WINDOWS内置程序使用出来的故障。
3 修改资源管理器某些操作错误，以及添加了对桌面，文档等目录允许修改的权限。
4 加入通配路径，只需要自定义应用，游戏，信任程序的路径即可。

09\11\12 更新内容：
继续修正了部分WINDOWS应用程序使用不正常的小问题
修正WIN7经典模式下阻止资源管理器地址栏，运行窗口的痕迹问题
修正打开“设备与打印机”以及蓝牙一直处于搜索状态以及没有内容显示问题
增加对批处理与脚本的防范，阻止其对C盘、Windows目录的磁盘操作
增加分别对Svchost.exe rundll32.exe mmc.exe自定义管理权限（个人认为有点严，但目前未发现什么问题，如有问题请提出或自己修改下）
将自定义应用程序、游戏的键盘与屏幕访问改为询问

09\11\16更新内容：
修正系统还原设置出现错误问题
修改迅雷无法保存修改默认保存路径问题，更新至迅雷最新版（5.9.10.1144版）
将受保扩的文件组“可执行文件”改为“重要文件”并添加压缩，OFFICE，网页，PDF，光盘镜像，CHM等类型文件受保护
修改WINDOWS游戏无法保存问题

09\11\18更新内容：
独立添加Windows PowerShell组。（Windows PowerShell集成脚本环境，执行基本对象命令行函数）规则只遵循该程序本生运行需求，供学习之用。
添加WIN7手写设备Tablet PC的支持。
添加WIN7语音识别系统的支持。
**以上程序都能在开始菜单，附件中找到**
继续完善小问题。

09\11\21更新内容：
取消对xml、dat文件的保护,添加rtf文件受保护
调整rundll32与svchost程序规则。
修正非禁用规则下，安装软件出现错误的问题
修正IE无法连接网络时，“诊断连接问题”按钮无效或其它诊断按钮无效问题。
修正不能修改系统时间的问题

09\11\25更新内容：以定为正式版
调整rundll32.exe，mmc.exe，svchost.exe自定义规则程序的规则，能使其正常的使用。
将svchost.exe与explorer.exe程序单独内存保护，并建立“允许访问svchost.exe内存的程序”与“允许访问explorer.exe内存的程序”组，各个访问内存组也添加了svchost.exe与explorer，只需在“允许访问X.exe内存的程序”组中添加即可
explorer.exe规则修改可终止进程。任务栏即可关闭窗口或程序
自定义应用程序 与 应用程序创建的进程 以及 应用程序安装的钩子 已经加入  *\Program Files\*
自定义游戏程序 与 游戏程序创建的进程 以及 游戏程序进程间的内存访问 已经加入 *\Games\*  、  *\*游戏*\*

09\12\1更新内容：
只是修改了系统设置会错误的若干问题。

在计算机安全规则中，将自定义可信程序 上拉到WINDOWS系统应用程序的下方

09\12\08更新内容：
添加命名管道保护，并完善相关规则。（最近学习了下）
修正由于规则原因造成操作不便的问题。还有一些文件组的小更新。

（虽然添加了命名管道，但是毛豆对\Device\NamedPipe\lsass管道已经放行。关于这个管道，规则的阻止并不起作用。所以请尽量不要测试通过\Device\NamedPipe\lsass修改权限的样本程序。）



09\12\17更新内容：
添加OFFICE2007格式文档受保护
修改自定义应用与游戏程序发送消息权限可发向本组程序与WINDOWS应用程序组（向WINDOWS应用程序发送消息需自行添加，可见下图）
并添加“允许发送消息到WINDOWS应用程序的自定义应用与游戏程序”组。对于发送消息到其它组，规则是阻止的，其它程序组之间发送消息并不受影响。
(发送消息就意为着干扰，所以我不主张全部允许，并且在测试样本过程中也遇到过不少的样本会发送消息到IE与资源管理器，虽然不知道结果会怎样。对于发送消息到资源管理器，自定义应用与游戏程序是阻止发送）
以上问题就是大家提出的，如果默认浏览器为IE，在程序中调出主页或在QQ中调出QQ空间或邮箱，无法连接的问题。

修改 访问svchost.exe与explorer.exe内存程序组只针对自定义应用程序与游戏程序有效，对于其它组规则是允许的。（减少不必要的错误）


2010年第 1 次更新：
优化文件组，恢复默认文件组原样，将文件组划分为自定义程序，文件分类管理区 与 分类规则例外允许权限管理区
修改自定义Windows应用程序，自定义应用程序，自定义游戏程序规则中创建进程，内存访问2项权限允许对本组内所有程序的执行与访问。
独立IE规则，并将保留IE在Windows应用程序组中。使IE能执行迅雷与迷你迅雷。
注意：如果有朋友不能访问网络，请根据日志自行修改svchost.exe规则中“受保护的文件\目录”中允许的权限。

2010年第 2 次更新：
修改了一些错误。
去掉了在文件组中修改规则权限的文件组。
放大了一部分规则权限。
此版为自己使用自今的规则。

lookhandsome

没看到图呀？
等下测试规则

月光下的忍者

如果你是IE8，请点击菜单栏的工具——IE选项——安全标签——自定义

将文件上传服务器包含本地路径——启用

OK

xjiain

原帖由 月光下的忍者 于 2009-11-6 14:44 发表
如果你是IE8，请点击菜单栏的工具——IE选项——安全标签——自定义

将文件上传服务器包含本地路径——启用

OK

谢谢

lookhandsome

原帖由 xjiain 于 2009-11-6 14:47 发表


谢谢

嗯，有图了。
[:26:]

还是附件，还得再编辑一下

[ 本帖最后由 lookhandsome 于 2009-11-6 15:16 编辑 ]

xjiain

原帖由 lookhandsome 于 2009-11-6 15:14 发表

嗯，有图了。
[:26:]

还是附件，还得再编辑一下

我就是不知道怎么把图放在文本当中，而不是在最下面。。。

dos1987

貌似是权限问题，规则收藏了  回家再win7的本本上试试

lookhandsome

原帖由 xjiain 于 2009-11-6 15:17 发表



我就是不知道怎么把图放在文本当中，而不是在最下面。。。

编辑时可以这样

Beloved

AD  部分没啥可看的，比较好搞，而且你的 规则，AD 那搞的。。。。。。



RD，FD 的上图 看看 ？

R.T

RD不用吧