简单规则Ⅱ【终版+普通版+加强版】Sp1，让病毒来得更猛烈吧，4.14小更新

zxzy

前言：规则仅供参考，请勿抛弃了HIPS的“简单、方便、有效”宗旨。     
                                         
            目录：1L规则的各种注意事项

               15L AKLT测试小说明

               256L弹窗规则介绍以及入门概述 by huangzhifan1

               利用FD做点有意义的事


（一）新规则特点：                            

      映像劫持保护;            
      私人文件保护;
      防盗号;
      利用黑名单,达到精简程序,防流氓的目的;
      办公文件保护;
      简化的注册表防护;
      目录操作(属性修改等);
      大部分程序的规则靠下面的几条规则;
      未知盘符程序禁运;
      部分系统程序单独降权;
      防流氓;   
         主页保护;
      增强的注册表;                  新增防止流氓软件修改的注册表组
      ……
     
      





（二）规则使用注意事项：

1.导入后，请到文件组中修改路径。如果不能下载东西，请在下载目录中加入你的下载目录.
2.修改完成，请把防火墙设置改为自定义模式。D+改为疯狂模式.
3.本规则只支持32位的Win7.
4.如果要安装程序,请禁用D+.检查黑名单程序是否会阻止安装.
5.弹窗不是用来允许的。。是用来判断的。。
6.个人建议搭配一款杀软，聊胜于无。
7.使用本规则至少要会排除……


8.程序需要安装在任意盘符的Program Files目录下。


9.ARP防御：http://bbs.kafan.cn/thread-820612-1-1.html

10.使用Comodo常用排除方法简介。


规则：
终版：

旧版：（新手建议使用普通版。普通版与加强版最大的区别就在于FD部分，普通版采用的是*.*加上一些管道的监控，加强版多了?:\*，且在注册表部分有所加强。。）
（三）规则更新日志：

2011.1.2日小更新：将规则中的绝对路径改为了通配符。
2011.1.3日更新：重建规则中的过滤组，放宽了权限，方便没有在组里的程序使用。修改了全局。去掉了一个小漏洞（感谢群星璀璨的测试反馈）。
2011.1.3日重大更新:修正浏览器组中IE浏览器路径出错的问题,同时修正了Program Files目录通配符写法的错误.(感谢秦王扫六合的测试反馈).

2011.1.7日小更新:修改通配符,只要规则中有在Program Files目录下的程序,不管是哪个盘符,都能识别.
2011.1.12日更新：把部分规则弄成组，方便修改。
2011.1.20日更新：优化了规则的设置，把部分路径改为通配符。
2011.1.22日小更新：鉴于有些规则的失效，重新导入了防火墙规则，并且修正和优化了驱动程序组中的路径和文件。
2011.1.23日更新：放宽了规则中的过滤组。
2011.1.25日更新：修正了规则中办公软件的问题。使用办公软件前需要添加到办公组和常用软件组。新建了音频/视频文件组，加强了易用性。
2011.1.26日重大更新：精简并加强了部分组（主要是文档类），一些权限的调整。
2011.1.27日更新：重写了规则，与之前的规则变化很大。。防御装备组失效的问题，重写了规则依旧没法解决。。看来是版本问题了。。等待官方解决吧。。。。。后续，更新了一些程序的规则。。。。

*************************************************************************
新版规则横空出世。。

2011.1.30更新：规则中有些小问题，紧急修正！
2011.2.1更新：进一步优化规则 。。。修正了services这个程序的规则。。并且在非系统程序的FD部分加入了“放行”这个组，在RD部分去掉了自动启动这个组（附上方法：删除services这个程序的规则，然后找到Windows系统程序组加入%windir%\System32\services.exe..还有在预定义规则里找到非系统程序组，在FD部分加入放行这个组，在RD部分去掉自动启动）  
2011.2.6更新：新增了不少组，增加了安全性。。对非系统程序的部分程序进行了降权。。。修改了过滤组的权限。。修改了部分权限。。还有什么。。。忘记了- - 。。修正了忘记在我的受保护文件里添加命名管道的问题。。貌似就这么多了。。

后续更新。。都不记得了。。不便之处，敬请原谅。

2011.3.29更新内容请看规则特点。
2011.4.14小更新：修改IE路径，防止IE崩溃（无法挂钩）。新增例外规则-允许运行ie的程序（使用时需要在这个地方和其他组内添加程序路径）

（四）原规则教程：                                              
或许很多人看到上面的规则特点会感到奇怪，过滤组有什么用？ 过滤组当然有用，下面就来跟我一起看看这个过滤组的用处吧。如图所示，找到过滤组1，就可以看到里面的设置了。这个过滤组的过滤的文件都是在Program Files目录下的，也就是说，只要在这个目录下的程序，如果不在上面的规则中，就会受到过滤组的限制。至于限制是什么，就可以在过滤组中看到。AD、RD方面的设置，我想应该没必要怎么说明。重点是FD部分。可以看到，过滤组1中阻止修改了很多程序组。为什么要这样做呢？这时候我们再看看过滤组2的FD部分，过滤组2的FD部分只有一条，就是允许修改Program Files目录下的程序。这样做的目地是为了当一个未知的程序出现在Program Files目录下时，它并不能修改已经在规则中的程序文件，但是它能够自己创建文件夹，修改那些没有在规则中的文件，也就是说，没在规则中的程序虽然不能够修改其他程序，但是却能够修改自己的文件，达到能够正常使用。另外，被过滤的程序最后还是会受到全局规则的限制。（根据优先级）
****************************************************************************
教程又来咯。因为我们只研究D+部分，所以防火墙禁用，
不知道是不是因为我讲的太复杂，导致有些人没看懂上面的。。那这回我们拿个程序来当实验吧。
[:27:]开始之前，先把月光MM总结的优先级搬出来。

COMODO优先级总结：

                1. ask忽略，继续向下搜索相关内容~（若下面没有相关的allow或者Block，则弹窗询问~）

                2.  从上往下搜索，发现相关allow或者Block，停止搜索~（下面有一万个小兔子也没用了~）

                3. 同一条规则的同一个权限中，Allow栏里的内容优先Block栏里的内容~~

         简单一点：上到下，  Allow>Block>ask

现在，我们再回来看。就以酷狗播放器为例，安装时如果没变动的话，应该会装在Program Files目录（触发过滤组的条件），那就会收到规则限制了。下面我就以一个对Comodo新手为标准。
酷狗已经装好了，规则说了要在规则的文件组中添加，可是，什么是文件组？算了，直接运行试试吧。
熟悉的声音：Hello~Kugou~成功了。。放首歌先，一切正常。


  这过滤组真神奇，我也想学学。找到过滤组，打开一看怎么这么多询问？[:27:]对了上面的优先级总结又有说：1. ask忽略，继续向下搜索相关内容~（若下面没有相关的allow或者Block，则弹窗询问~）。那也就是说会继续往下寻找规则。做为一名Comodo的使用者我还是会看规则的。不过看到受保护的文件/目录那里我晕了，怎么这么多阻止，就连其他在Program Files目录下的程序也阻止了。。算了，不看这条了我去看下一条，这一条规则的受保护的文件/目录排除的真是简单，就一条，允许修改其他Program Files目录下的程序。上面那条又说阻止，现在又允许，到底什么意思？？


现在，我换个方法说明。
加入，有客人来你家了，你又不确定这人是好是坏。于是，你给你的管家下命令，不允许陌生人破坏家里的一切东西（定下规则，不允许修改那些已经在这里的程序），但是允许他在这里做其他的事情（允许陌生程序自己建立属于自己的目录），达到既不会给家里添加麻烦又不会失礼的目的（达到既安全又不会减少易用性）。
  其他的AD、RD部分我就不说了，看得明白的。
***********************************************

   用了这个规则不会用？那就看看这个教程吧。   防火墙部分没什么好讲的，需要深入探索的可以去找lorchid一起探讨。
   D+部分，可以看到预定义规则没什么规则，都是些主要的精确配置的规则。
   主要是D+的规则，可以从首要过滤开始看，里面都是询问，然后有阻止。
   这样做的话，当遇到一个程序运行时，D+就会从上面的程序搜索到下面的程序，直到出现精确配置或者搜索完才停止，如果搜索完还是没有精确配置就会弹窗询问用户。
   至于先来个“*”过滤，里面的排除都是一些高危的东西，这样就不会受到下面的程序的例外允许而影响。
   接下来的一大堆文件组都可以看到只是一些排除罢了。重点就在于后面的第二道过滤和第三道过滤还有最后面的全局。
   根据询问搜索下来就会对第二道过滤和第三道过滤进行配置，最后再经过全局。注意：这里经过第二道过滤和第三道过滤的程序都是第二道过滤和第三道过滤文件组中包含的目录及程序。
   那么如果不是在这两道过滤中的程序就只会经过首要过滤和全局，所以才建议程序安装在Program Files目录下。
   最后附上过滤图：



（五）下面附上各种工具测试的结果：



CLT：



APT:


TestRegmon:

其他东西，就自己测试吧~



最后写一些项目供大家修改规则：


1.IE过滤里禁止运行ie的，不过后面的规则放行了其他浏览器的运行。。如果需要运行ie可以自己修改一下。。同样，clt测试也会不能拿满分。。

2.关于消息攻击器，我这里只保护杀软组。。需要更多的话请自行修改。

3.第二道过滤和第三道过滤里的程序可以自己添加修改。。就好像温馨规则中，程序规则和下面那个规则一样，添加一些自己常用的目录。

huangzhifan1

前来支持下 呵呵 不容易呀[:26:]

zxzy

回复 2楼 huangzhifan1 的帖子

这规则我用了差不多半年了，在自己的电脑上没有任何问题。

群心璀璨

zxzy 发表于 2011-1-2 16:10
把一个在自己电脑上用的规则放出来给大家试试。本规则只支持Win7！！
欢迎大家反馈。

哈哈，前排支持，终于出手了哈~

zxzy

群心璀璨 发表于 2011-1-2 16:30
哈哈，前排支持，终于出手了哈~

其实早就想出手了，只不过太忙，没时间修复一些在别人电脑上用可能会出现的Bug，现在有时间了，所以就出手了。

huangzhifan1

很多值得学习的地方 基本权限限组 还有上网冲浪的注册表确实很细致呀

zxzy

huangzhifan1 发表于 2011-1-2 16:35
很多值得学习的地方 基本权限限组 还有上网冲浪的注册表确实很细致呀

注册表方面个人觉得没必要用*监控，所以弄多了不少注册表，以后看情况增加。

huangzhifan1

防火墙部分建议还是用黑色的 个人觉得纯黑色的防火墙 安全性和易用性做的比较好  

zxzy

huangzhifan1 发表于 2011-1-2 16:43
防火墙部分建议还是用黑色的 个人觉得纯黑色的防火墙 安全性和易用性做的比较好

个人已经用习惯了lorchid的，我修改下帖子吧。

超现实主义

我还在XP中。

zxzy

超现实主义 发表于 2011-1-2 16:56
我还在XP中。

xp的规则我记得我以前有，但是现在已经不知道去哪里了。。

Alienlisen

win7............

群心璀璨

既然打算长期更新，有时间的话建议写一下简要说明。另外，取个名字吧~X Y=Z，呵呵~

zxzy

群心璀璨 发表于 2011-1-2 17:46
既然打算长期更新，有时间的话建议写一下简要说明。另外，取个名字吧~X Y=Z，呵呵~

简要说明还没想好怎么写。。有空会写的。。现在想改名字也改不了啊。。

zxzy

                                                                          关于AKLT测试小说明  

  AKLT可以用来测试规则，但是在制定Comodo的规则中，就算禁止访问键盘，DirectX这一项还是过不了 - -。实测证明只要在加载钩子的地方禁止%windir%\system32\DINPUT.dll和%windir%\system32\DINPUT8.dll这两个钩子就可以过这一关了。。

huangzhifan1

正在研究你的规则 只是不是自己用 欢迎兄弟来清风群 我觉得大家一起打造个规则比一个人搞规则好 纯黑色估计这两天会出新规则 一个人搞规则太寂寞了 清风的规则可以说最少是4个人讨论后搞出的规则  最起码一些bug 是大家一起给排除 的一个人搞搞半年都搞不出来 像清风群的 毛豆D+ 峰 陆白 还有龙马等都排除很多bug 现在纯黑色老大正在整理常用的com组件
比如迷你迅雷吧 要调用的com组件
DownloadServer.XLDownloadService.1
Microsoft.XMLDOM.1.0
{00000000-0000-0000-0000-000000000000}
\RPC Control\*
LocalSecurityAuthority.LoadDriver
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}
{807553E5-5146-11D5-A672-00B0D022E945}
{00000338-0000-0000-C000-000000000046}
\LsaAuthenticationPort
{275C23E2-3747-11D0-9FEA-00AA003F8646}
{00000339-0000-0000-C000-000000000046}
*\Windows\ApiPort

聊天组com组件通用 欢迎大家总结



{00000000-0000-0000-0000-000000000000}
LocalSecurityAuthority.LoadDriver
\LsaAuthenticationPort
{275C23E2-3747-11D0-9FEA-00AA003F8646}
\RPC Control\*
Msxml2.DOMDocument
*\Windows\ApiPort
Shell.Explorer.2
{62BE5D10-60EB-11D0-BD3B-00A0C911CE86}
{3050F3BC-98B5-11CF-BB82-00AA00BDCE0B}
LocalSecurityAuthority.IncreaseBasePriority
{529A9E6B-6587-4F23-AB9E-9C7D683E3C50}
{DCB00C01-570F-4A9B-8D69-199FDBA5723B}
TXPlatform.TXAppManager.1
{860BB310-5D01-11D0-BD3B-00A0C911CE86}
htmlfile
{3050F406-98B5-11CF-BB82-00AA00BDCE0B}
{7B8A2D94-0AC9-11D1-896C-00C04FB6BFC4}
JScript
{42AEDC87-2188-41FD-B9A3-0C966FEABEC1}
{00000323-0000-0000-C000-000000000046}
{FF393560-C2A7-11CF-BFF4-444553540000}
{871C5380-42A0-1069-A2EA-08002B30309D}
{50D5107A-D278-4871-8989-F4CEAAF59CFC}
{6C736DB1-BD94-11D0-8A23-00AA00B58E10}
Trident.HTMLEditor.1
TXFTNActiveX.FTNUpload.1
Microsoft.XMLHTTP.1.0
{8F6B0360-B80D-11D0-A9B3-006097942311}
PeerFactory.PeerFactory.1
{3050F3B2-98B5-11CF-BB82-00AA00BDCE0B}
ImgUtil.CoMapMIMEToCLSID.1
Msxml2.XMLHTTP
{603D3800-BD81-11D0-A3A5-00C04FD706EC}
{03C036F1-A186-11D0-824A-00AA005B4383}
BehaviorFactory.Microsoft.DXTFilterFactory.1

秦王扫六合

zxzy 发表于 2011-1-2 16:10
把一个在自己电脑上用的规则放出来给大家试试。

防御装备部分programfile通配符错误，中间无空格
PS:进清风群不反对，但反对弄成XP 7通用的呵呵

群心璀璨

zxzy 发表于 2011-1-2 21:07
怎么没人

标题不够长，不吸引眼球哈~呵呵~
看了一会儿你的规则，比较细，尤其是rd&com部分，总体上感觉比较严格。有几点个人想法，说出来探讨探讨~
1规则里有?:\program files\*,*\program files\*两组通用放行，很多程序规则中没有但能运行，和抓抓以及我那规则差不多。我感觉这个通用规则比较重要，而且很多人的程序都不在那个文件夹下，直接就放到d 规则版面里路径都改不了，又没预设规则套用感觉不太好，所以建议建两个组吧~
2感觉路径通配的范围有点大，金山的那个?:\program files\kingsoft\*，这个范围有点大，毕竟网盾，词霸，wps什么的都在里面了。另外，我感觉用\*作么路径的结尾就放行了好多程序的小动作，不容易做到细化。
3话说你也搞了全局禁运，呵呵。
几点不成熟的想法，共同探讨下~

募然花已落

我的慢慢学习

zxzy

huangzhifan1 发表于 2011-1-2 21:11
正在研究你的规则 只是不是自己用 欢迎兄弟来清风群 我觉得大家一起打造个规则比一个人搞规则好 纯黑 ...

这也太多了吧。。有些东西没必要分这么细（个人观点），我的com接口组中有一个“建议保护和阻止”，里面已经包括了一些高危的com接口。当然，把com接口分的细也不是什么坏事情，不过添加com接口很慢。。  清风群我进过。。里面什么都有，搞得我不得不退出。。