鉴于PS新版久久未能粉墨登场，现将本人1.43版规则奉上，以资交流。

FD、RD和官方规则及其他规则有较大不同，加载库规则也有自己的一些特点。

最新播报：【黑名单库】已过1400条。

【黑名单库】并非单纯的收集行为，最强大的是根据黑名单和白名单而做的通配符规则。实现主动防御和“家长级”控制。


近期不打算更新【黑名单库】，只整理、提炼、简化，并完善提示框威胁信息。后期打算针对病毒衍生物制作【黑名单】，这是一个复杂、长期的过程。由于各种原因，停止发布【黑名单库】，谢谢理解和支持！

黑名单库的制作方法已在下文说明。



                                  pils

                             2008.6.19

规则理念：思路清晰、效率安全。

本规则：

1.“十三字方针”A：低入口、高过滤、程序设定最优先。

解释：允许所有（低级），询问过滤（优先级），禁止特别（高优先级），程序设定例外。

低门槛，机会平等，行为无限制，但有身份检查关。自定义组原则上必须接受检查，但可根据身份特殊处理----另有通道，贵宾组（信任）原则无限制，但可自定义严格标准。此为CA/Tiny规则模式。


2.“十三字方针”B：高入口、低过滤、程序设定最优先。

解释：即禁止所有（低级）、允许个别（优先级），程序设定有例外。一切非准入，仅有自定义特殊通道。信任无限制，但可自定义严格标准。


3.FD遵循“十三字方针”A；


4.RD遵循“十三字方针B”（玩级）和“十三字方针”A（普级）。

必要说明：根据个人系统环境自定义规则为上策，本规则最多只是提供理念和思路。本规则突出之处：两个“十三字方针”和文件名“黑名单”及其他。

没有时间作图，尽量用文字表述，见谅：

一、AD

（一）AD部分规则基本是默认设置。

（二）规则制定原则：如果追求效率和安全，应尽量减少“信任程序”；如果设定FD/RD全局(禁止）严厉规则，则可适当增加“信任程序”范围，以减少制定规则和询问提示框。

（三）设置技巧：
               1.对于“信任程序”，【进程保护&执行】、【文件（夹）规则】、【注册表规则】、【钩子规则】、【可执行库规则】均可自定义，默认级别“优先级”。

               2.对于“自定义程序”，【进程保护&执行】、【进程访问控制】、【文件（夹）规则】、【注册表规则】、【钩子规则】、【可执行库规则】均可自定义，默认级别“优先级”。


（四）AD规则快照：

二、FD

（一）规则设置思路（十三字方针A）

1.低入口：默认规则，允许所有操作行为（最低级）；

2.高过滤：依次设定其他涉及全局性规则，进行不安全性过滤；

3.程序设定最优先：在“程序设定”（“文件保护”之下）里，可通过【文件（夹）规则】再次设定，可破可立：排除全局FD之例外规则。

必要说明：全局规则对于“信任组”程序默认全允许，但“信任组程序”可设立对其限制性等行为。全局规则对于“自定义组”默认有效，但“自定义组”亦可通过【文件（夹）】设置例外。

（二）FD规则快照








（三）FD规则略解

（1）Default setting for All Applications（优先级：9级）

1.低入口，允许所有操作：规则?:\*（优先级：最低）；

2.将“*.exe”规则列入“默认规则”（修改询问、删除询问），基于程序安装效率和安全之考虑；

3.拨号文件规则：“隐私+安全”之考虑；

4.桌面规则和最近文档规则：“隐私+安全+清洁”之考虑；

5.规则图示：





（2）Asks when attempt to add or modify file in the Startup folder（优先级：8级）

“开始菜单”监控

规则图示：






（3）Asks when attempt to change files in Windows dir and its subdirs（优先级：7级）

windows文件夹监控，监控文件创建、防止系统文件被更改、删除

规则图示：






（4）Asks when attempt to create some files（优先级：5级）

高危文件（创建、写、删）、重要文件（写、删）监控

说明：对于autorun.inf文件，本规则仅对文件建立、写进行监控。对文件夹的监控似有繁琐，如禁止创建文件夹，则多数安装程序在默认状态下无法运行。


规则图示：







（5）Prevents access to Repair\Config folders and other files（优先级：4级，可调至2级）

系统保护，重要、特别文件只读








（6-8）Prevents to create nasty or illeagle files at all Drivers（优先级2-4）

文件名及文件后缀“黑名单”：

1.对于木马、病毒类，文件名“黑名单”有点像“马其顿防线”；即使是“马其顿防线”，也能在某种程度上起到震慑和防御作用；



规则图示：







2.对于流氓、广告、风险程序，文件名“黑名单”有一定的作用，因为这些程序多出自公司手笔，即使面对封杀很少“改名换姓”。

规则图示：





3.对于某些病毒，用“通配符+后缀”和“通配符+文件名”，相对有效地防御病毒创建和执行。比如*女*.exe\*写真*.bat\porn*.pif\*.a*等。其他病毒文件名请自己归纳补充。

某些病毒后缀比较特殊，故有规律可循；有些病毒伪装成系统文件（名）；还有一些病毒利用某些特殊心理伪装成可执行文件；有些是可疑程序，比如1.exe，2.exe，x.exe等可直接禁止。

？表示任意单一字符；*无限多字符；

文件名过短，一般是可疑程序，可用通配符：?.exe（单字符文件名）----??.exe（双字符文件名），可以禁止所有单字符文件名和双字符文件名，无需单个列出具体文件名。

*也可表示无穷文件后缀名（过于严厉），不过可以再设置例外规则排除。比如，禁止 *女*.*-----------说明：禁止包含“女”字符的任意文件，然后可以设置规则允许*女*的doc\pdf文件（优先级）。


有很多伪装系统文件，比如svohost.exe/lssas.exe/servers.exe等，可直接banned。





规则图示：










（四）程序设定最优先

（1）IE

1.将网络文件夹及关涉IE规则直接纳入“程序设定”；

2.拒绝IE创建文件行为（优先级：最低）；

3.允许IE相关行为，比如“收藏夹”等（优先级）；

4.网络临时文件夹规则：a.允许一切创建行为；b.禁止创建某类型文件（优先级）；

规则图示：






5.cookie文件规则：a.禁止一切*.txt文件；b.允许某特定*.txt文件（需要自定义，如“账户名@bbs.kafan[1].txt）（优先级）；

规则图示：






6.其他




（2）Explorer

1.添加“全局规则组”；

规则图示：




2.特殊文件（夹）保护，全部禁止：

规则图示：





（3）Thunder5.exe

四个规则：

a.临时文件夹禁建；
b.Program Files/Thunder禁建；
c.system32文件夹下两个文件三个禁止。

三、RD

1.RD部分分两种模式：玩级和普级。（玩级模式，十三字方针B：高入口、低过滤、程序设定最优先；普级模式：十三字方针A）





2.“玩级”对Software/System键值全局禁止，“非信任、自定义组”程序在默认状态下，不能对该键值进行任何操作。对于“自定义组”程序可单置例外规则；建议非熟练者勿采此级，否则系统会出现紊乱。





3.“普级”，Software/Systme键值修改、删除询问；其他；


必要说明：下图中的Proxy* 键值很重要，程序外联，弹出“宽带拨号”界面，一般都会与此有关，设置、创建、修改、删除全banned。







4.遵循：“高入口、低限制、程序设定最优先”和“低入口、高过滤、程序设定最优先”原则；

“自定义组程序”可自定义【注册表规则】，默认优先级，破除全局规则限制或自立限制规则。如果采取“玩级”模式，要注意“services.exe”、“Svchost.exe”，规则文件已设置。

信任组程序不受全局规则限制。







Services.exe规则：
（如果规则中和此图有差异，请补上此图的规则内容）

四、OLE规则

DDE/OLE/COM控制，监控程序调用这种组件进行数据传输，Svchost.exe等调用。

如图示：

五、钩子规则和加载库规则

（1）钩子规则

钩子（hook），指利用api来提前拦截并处理windows消息的一种技术。 如键盘勾子，许多木马都有这东西，监视你的键盘操作。

钩子的本质是一段用以处理系统消息的程序，通过系统调用，将其挂入系统。钩子的种类有很多，每种钩子可以截获并处理相应的消息，每当特定的消息发出，在到达目的窗口之前，钩子程序先行截获该消息、得到对此消息的控制权。此时在钩子函数中就可以对截获的消息进行加工处理，甚至可以强制结束消息的传递。

全局钩子函数必须以DLL（动态连接库）为载体进行封装，VC6中有三种形式的MFC DLL可供选择，即Regular statically linked to MFC DLL（标准静态链接MFC DLL）、Regular using the shared MFC DLL（标准动态链接MFC DLL）以及Extension MFC DLL（扩展MFC DLL）。


推荐文章：http://bbs.kafan.cn/viewthread.php?tid=127393

规则图示：







（2）加载库规则

dll被成为windows基石，Dll能被应用程序载入内存。有人称：“EXE是包工头，DLL时建筑工”。程序将要调用的插件DLL中必须包含函数名称及相关的参数规则，程序员在编写这个程序的插件时就根据这个插件的标准来编写DLL的输出函数。现在采用线程注射的dll木马和恶意程序已经比较普遍。“广外幽灵”开创了dll木马时代。

对于DLL规则来说，重要的问题是：

1.鉴别Dll自身合法性，禁止不合法DLL创建（MD5和FD规则）；

2.Dll加载过滤：拒绝或询问；

本规则采取FD和DLL过滤：监控rasman.dll，Jscript.dll（脚本）等等。

系统中的某些DLL对于第三方程序非常重要，如禁止加载某些Dll，第三方多数程序无法运行。鉴于效率与安全之目的，没有采用这些Dll规则。

本规则暂将jscript.dll设置为允许加载，如果禁止网页脚本执行，可将jscript.dll设置为禁止加载。

暂时写到这些。

附规则（补充：因对单个规则未做过多说明，故规则文件稍小。另：如果规则中和此图有差异，请补上此图的规则内容）：

[/quote]




[quote] 6.16更新

【6.19更新】如果需要最新的【黑名单库】，就回复吧，看人数而定

启发式（把提示框设置成下图模式，顺便建议增加一条：*time*.exe）：

[ 本帖最后由 pils 于 2008-6-29 23:38 编辑 ]

未尽事宜，再做补充。

累了，睡先。




[ 本帖最后由 pils 于 2008-6-16 01:51 编辑 ]

写的很详细了，谢谢楼主

顶一下，辛苦了。

楼主辛苦了啊
不知道你的规则和置顶的规则哪个防护更加全面呢？

辛苦了，不过要等到新版出来再装了

ps不能像eq普及 很大一个原因就是缺少规则。。。

这个规则可以拿来就用，不错~不过有些规则是不是会造成询问过多~

其实应该等等新的版本..规则虽好.可是到新版上.恐怕又要修改不少的..

黑名单,,,很郁闷..还是不要的好..

到时AD可以通配符了..所有的规则都会改变到最简化.

应该比默认规则少。

默认规则默认模式：?:\*   询问、询问、询问.................

不过，对于有些特殊文件，设置有高过滤，创建提示、写提示。

而一些可疑文件、流氓程序等直接ban掉。




要想减少提示框，很简单：FD：禁止所有，然后在“程序设定”里自定义就OK了。


RD亦同。