查看: 68961|回复: 461
收起左侧

[规则] 简单规则Ⅱ【终版+普通版+加强版】Sp1,让病毒来得更猛烈吧,4.14小更新

  [复制链接]
zxzy
发表于 2011-1-2 16:10:27 | 显示全部楼层 |阅读模式
本帖最后由 zxzy 于 2011-7-22 16:51 编辑

前言:规则仅供参考,请勿抛弃了HIPS的“简单、方便、有效”宗旨。     
                                         
            目录:1L规则的各种注意事项

               15L AKLT测试小说明

               256L弹窗规则介绍以及入门概述 by huangzhifan1

               利用FD做点有意义的事


(一)新规则特点:                            

      映像劫持保护;            
      私人文件保护;
      防盗号;
      利用黑名单,达到精简程序,防流氓的目的;
      办公文件保护;
      简化的注册表防护;
      目录操作(属性修改等);
      大部分程序的规则靠下面的几条规则;
      未知盘符程序禁运;
      部分系统程序单独降权;
      防流氓;   
         主页保护;
      增强的注册表;      
            新增防止流氓软件修改的注册表组
      ……

     
      






(二)规则使用注意事项

1.导入后,请到文件组中修改路径。如果不能下载东西,请在下载目录中加入你的下载目录.
2.修改完成,请把防火墙设置改为自定义模式。D+改为疯狂模式.
3.本规则只支持32位的Win7.
4.如果要安装程序,请禁用D+.检查黑名单程序是否会阻止安装.
5.弹窗不是用来允许的。。是用来判断的。。
6.个人建议搭配一款杀软,聊胜于无。
7.使用本规则至少要会排除……


8.程序需要安装在任意盘符的Program Files目录下。


9.ARP防御:http://bbs.kafan.cn/thread-820612-1-1.html

10.使用Comodo常用排除方法简介


规则:
终版:

旧版:(新手建议使用普通版。普通版与加强版最大的区别就在于FD部分,普通版采用的是*.*加上一些管道的监控,加强版多了?:\*,且在注册表部分有所加强。。)
(三)规则更新日志:

2011.1.2日小更新:将规则中的绝对路径改为了通配符。
2011.1.3日更新:重建规则中的过滤组,放宽了权限,方便没有在组里的程序使用。修改了全局。去掉了一个小漏洞(感谢群星璀璨的测试反馈)。
2011.1.3日重大更新:修正浏览器组中IE浏览器路径出错的问题,同时修正了Program Files目录通配符写法的错误.(感谢秦王扫六合的测试反馈).

2011.1.7日小更新:修改通配符,只要规则中有在Program Files目录下的程序,不管是哪个盘符,都能识别.
2011.1.12日更新:把部分规则弄成组,方便修改。
2011.1.20日更新:优化了规则的设置,把部分路径改为通配符。
2011.1.22日小更新:鉴于有些规则的失效,重新导入了防火墙规则,并且修正和优化了驱动程序组中的路径和文件。
2011.1.23日更新:放宽了规则中的过滤组。
2011.1.25日更新:修正了规则中办公软件的问题。使用办公软件前需要添加到办公组和常用软件组。新建了音频/视频文件组,加强了易用性。
2011.1.26日重大更新:精简并加强了部分组(主要是文档类),一些权限的调整。
2011.1.27日更新:重写了规则,与之前的规则变化很大。。防御装备组失效的问题,重写了规则依旧没法解决。。看来是版本问题了。。等待官方解决吧。。。。。后续,更新了一些程序的规则。。。。


*************************************************************************
新版规则横空出世。。

2011.1.30更新:规则中有些小问题,紧急修正!
2011.2.1更新:进一步优化规则 。。。修正了services这个程序的规则。。并且在非系统程序的FD部分加入了“放行”这个组,在RD部分去掉了自动启动这个组(附上方法:删除services这个程序的规则,然后找到Windows系统程序组加入%windir%\System32\services.exe..还有在预定义规则里找到非系统程序组,在FD部分加入放行这个组,在RD部分去掉自动启动  
2011.2.6更新:新增了不少组,增加了安全性。。对非系统程序的部分程序进行了降权。。。修改了过滤组的权限。。修改了部分权限。。还有什么。。。忘记了- - 。。修正了忘记在我的受保护文件里添加命名管道的问题。。貌似就这么多了。。

后续更新。。都不记得了。。不便之处,敬请原谅。

2011.3.29更新内容请看规则特点。
2011.4.14小更新:修改IE路径,防止IE崩溃(无法挂钩)。新增例外规则-允许运行ie的程序(使用时需要在这个地方和其他组内添加程序路径)

(四)原规则教程:                                              
或许很多人看到上面的规则特点会感到奇怪,过滤组有什么用? 过滤组当然有用,下面就来跟我一起看看这个过滤组的用处吧。如图所示,找到过滤组1,就可以看到里面的设置了。这个过滤组的过滤的文件都是在Program Files目录下的,也就是说,只要在这个目录下的程序,如果不在上面的规则中,就会受到过滤组的限制。至于限制是什么,就可以在过滤组中看到。AD、RD方面的设置,我想应该没必要怎么说明。重点是FD部分。可以看到,过滤组1中阻止修改了很多程序组。为什么要这样做呢?这时候我们再看看过滤组2的FD部分,过滤组2的FD部分只有一条,就是允许修改Program Files目录下的程序。这样做的目地是为了当一个未知的程序出现在Program Files目录下时,它并不能修改已经在规则中的程序文件,但是它能够自己创建文件夹,修改那些没有在规则中的文件,也就是说,没在规则中的程序虽然不能够修改其他程序,但是却能够修改自己的文件,达到能够正常使用。另外,被过滤的程序最后还是会受到全局规则的限制。(根据优先级)
****************************************************************************
教程又来咯。因为我们只研究D+部分,所以防火墙禁用,
不知道是不是因为我讲的太复杂,导致有些人没看懂上面的。。那这回我们拿个程序来当实验吧。
[:27:]开始之前,先把月光MM总结的优先级搬出来。

COMODO优先级总结:

                1. ask忽略,继续向下搜索相关内容~(若下面没有相关的allow或者Block,则弹窗询问~)

                2.  从上往下搜索,发现相关allow或者Block,停止搜索~(下面有一万个小兔子也没用了~)

                3. 同一条规则的同一个权限中,Allow栏里的内容优先Block栏里的内容~~

         简单一点:上到下,  Allow>Block>ask

现在,我们再回来看。就以酷狗播放器为例,安装时如果没变动的话,应该会装在Program Files目录(触发过滤组的条件),那就会收到规则限制了。下面我就以一个对Comodo新手为标准。
酷狗已经装好了,规则说了要在规则的文件组中添加,可是,什么是文件组?算了,直接运行试试吧。
熟悉的声音:Hello~Kugou~成功了。。放首歌先,一切正常。


  这过滤组真神奇,我也想学学。找到过滤组,打开一看怎么这么多询问?[:27:]对了上面的优先级总结又有说:1. ask忽略,继续向下搜索相关内容~(若下面没有相关的allow或者Block,则弹窗询问~)。那也就是说会继续往下寻找规则。做为一名Comodo的使用者我还是会看规则的。不过看到受保护的文件/目录那里我晕了,怎么这么多阻止,就连其他在Program Files目录下的程序也阻止了。。算了,不看这条了我去看下一条,这一条规则的受保护的文件/目录排除的真是简单,就一条,允许修改其他Program Files目录下的程序。上面那条又说阻止,现在又允许,到底什么意思??


现在,我换个方法说明。
加入,有客人来你家了,你又不确定这人是好是坏。于是,你给你的管家下命令,不允许陌生人破坏家里的一切东西(定下规则,不允许修改那些已经在这里的程序),但是允许他在这里做其他的事情(允许陌生程序自己建立属于自己的目录),达到既不会给家里添加麻烦又不会失礼的目的(达到既安全又不会减少易用性)。
  其他的AD、RD部分我就不说了,看得明白的。

***********************************************

   用了这个规则不会用?那就看看这个教程吧。   防火墙部分没什么好讲的,需要深入探索的可以去找lorchid一起探讨。
   D+部分,可以看到预定义规则没什么规则,都是些主要的精确配置的规则。
   主要是D+的规则,可以从首要过滤开始看,里面都是询问,然后有阻止。
   这样做的话,当遇到一个程序运行时,D+就会从上面的程序搜索到下面的程序,直到出现精确配置或者搜索完才停止,如果搜索完还是没有精确配置就会弹窗询问用户。
   至于先来个“*”过滤,里面的排除都是一些高危的东西,这样就不会受到下面的程序的例外允许而影响。
   接下来的一大堆文件组都可以看到只是一些排除罢了。重点就在于后面的第二道过滤和第三道过滤还有最后面的全局。
   根据询问搜索下来就会对第二道过滤和第三道过滤进行配置,最后再经过全局。注意:这里经过第二道过滤和第三道过滤的程序都是第二道过滤和第三道过滤文件组中包含的目录及程序。
   那么如果不是在这两道过滤中的程序就只会经过首要过滤和全局,所以才建议程序安装在Program Files目录下。
   最后附上过滤图:



(五)下面附上各种工具测试的结果:



CLT:



APT:


TestRegmon:

其他东西,就自己测试吧~



最后写一些项目供大家修改规则:


1.IE过滤里禁止运行ie的,不过后面的规则放行了其他浏览器的运行。。如果需要运行ie可以自己修改一下。。同样,clt测试也会不能拿满分。。

2.关于消息攻击器,我这里只保护杀软组。。需要更多的话请自行修改。

3.第二道过滤和第三道过滤里的程序可以自己添加修改。。就好像温馨规则中,程序规则和下面那个规则一样,添加一些自己常用的目录。





本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 8经验 +33 魅力 +1 人气 +9 收起 理由
羽化仙 + 1 精品文章
mxf147 + 1 坚持更新
qqq123123 + 1 版区有你更精彩: )
思梦潮 + 1 感谢分享
月光下的忍者 + 33 期待继续打磨完美~

查看全部评分

huangzhifan1
发表于 2011-1-2 16:24:43 | 显示全部楼层
前来支持下 呵呵 不容易呀[:26:]
zxzy
 楼主| 发表于 2011-1-2 16:25:56 | 显示全部楼层
回复 2楼 huangzhifan1 的帖子

这规则我用了差不多半年了,在自己的电脑上没有任何问题。
群心璀璨
发表于 2011-1-2 16:30:12 | 显示全部楼层
zxzy 发表于 2011-1-2 16:10
把一个在自己电脑上用的规则放出来给大家试试。本规则只支持Win7!!
欢迎大家反馈。

哈哈,前排支持,终于出手了哈~
zxzy
 楼主| 发表于 2011-1-2 16:34:03 | 显示全部楼层
群心璀璨 发表于 2011-1-2 16:30
哈哈,前排支持,终于出手了哈~

其实早就想出手了,只不过太忙,没时间修复一些在别人电脑上用可能会出现的Bug,现在有时间了,所以就出手了。
huangzhifan1
发表于 2011-1-2 16:35:13 | 显示全部楼层
很多值得学习的地方 基本权限限组 还有上网冲浪的注册表确实很细致呀
zxzy
 楼主| 发表于 2011-1-2 16:37:08 | 显示全部楼层
huangzhifan1 发表于 2011-1-2 16:35
很多值得学习的地方 基本权限限组 还有上网冲浪的注册表确实很细致呀

注册表方面个人觉得没必要用*监控,所以弄多了不少注册表,以后看情况增加。
huangzhifan1
发表于 2011-1-2 16:43:10 | 显示全部楼层
防火墙部分建议还是用黑色的 个人觉得纯黑色的防火墙 安全性和易用性做的比较好  
zxzy
 楼主| 发表于 2011-1-2 16:44:13 | 显示全部楼层
huangzhifan1 发表于 2011-1-2 16:43
防火墙部分建议还是用黑色的 个人觉得纯黑色的防火墙 安全性和易用性做的比较好

个人已经用习惯了lorchid的,我修改下帖子吧。
超现实主义
发表于 2011-1-2 16:56:06 | 显示全部楼层
我还在XP中。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-22 17:48 , Processed in 0.140663 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表