关于默认规则_"防病毒标准保护:禁止远程创建/修改可执行文件和配置文件"

jone_jys

防病毒标准保护:禁止远程创建/修改可执行文件和配置文件

此默认规则，所有咖啡迷几乎都是修改过的，关于“阻止的文件或文件夹”貌似官方文档叙述的与实际并不相符：

我自己修改后的规则如下：

禁止远程创建/修改可执行文件和配置文件
要包含的进程：*.*
要排除的进程：*\**\Program Files (x86)\**.exe, *\**\Program Files\**.exe, *\*\mrtstub.exe, C:\Windows\Microsoft.NET\Framework\v?.?.**\*.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\MRT.exe, C:\Windows\System32\poqexec.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\vssvc.exe, explorer.exe, services.exe, svchost.exe
要阻止的文件或文件夹名：？？？？？？？？
要禁止的文件操作：创建 写入 删除

上面“要阻止的文件或文件夹”暂时用？替代。 因为官方文档叙述为：“*.exe, *.scr, *.ocx, *.dll, *.pif”（墨池详解）
C:\Windows\*.*, C:\*.*, %systemdrive%\*.ini （貌似是storyhare同学新增）。

但，实际从触犯规则日志来看还不止包含上述文件或文件夹：

触犯日志：

2011/9/20        8:45:31        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\powercfg.exe        C:\Windows\System32\config\systemprofile\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入

2011/9/20        8:45:32        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\powercfg.exe        C:\Windows\Temp\Temporary Internet Files\Content.IE5\index.dat        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入

2011/9/20        14:10:48        已由访问保护规则禁止         lisa-PC\lisa        C:\Windows\system32\NOTEPAD.EXE        C:\Users\lisa\AppData\LocalLow\SogouPY\env.ini        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 写入

2011/9/20        15:24:19        已由访问保护规则禁止         NT AUTHORITY\LOCAL SERVICE        C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe        C:\Windows\ServiceProfiles\LocalService\AppData\Local\FontCache3.0.0.0.dat        防病毒标准保护:禁止远程创建/修改可执行文件和配置文件        已阻止的操作: 删除

综上，“阻止的文件或文件夹名”实际保护为：

目前，完整的是：*.exe, *.scr, *.ocx, *.dll, *.pif， C:\*.*,C:\Windows\**, %systemdrive%\**\*.ini

jone_jys

欢迎讨论指正。。。

jone_jys 发表于 2011-9-20 19:02
欢迎讨论指正。。。

呃～～其实，那个也是不完全的（指本人写的那个）；那其实是在墨池的详解中略加了一些（但由于一些原因，并没有加全）

目前，完整的是：*.exe, *.scr, *.ocx, *.dll, *.pif， C:\*.*,C:\Windows\**, %systemdrive%\**\*.ini

jone_jys

storyhare 发表于 2011-9-20 21:48
呃～～其实，那个也是不完全的（指本人写的那个）；那其实是在墨池的详解中略加了一些（但由于一些原因， ...

哦，原来如此。。。

原来包含了系统盘下所有。。。

jone_jys 发表于 2011-9-20 22:01
哦，原来如此。。。

原来包含了系统盘下所有。。。

呃，刚才写错了一点，现改正了～～

462588842

我用墨老大的里面是**叶知对默认规则有很高的见解

墨池

默认规则的阻止只有官方最清楚，好多规则远不止官方说明那么简单。按楼主日志，还有部分*.dat，但又没有*.tet、*.log等，所以也不是所有。。。。神秘！默认是防远程的，个人觉得改成入口防御很合适。

墨池 发表于 2011-9-21 10:06
默认规则的阻止只有官方最清楚，好多规则远不止官方说明那么简单。按楼主日志，还有部分*.dat，但又没有*.t ...

*.exe, *.scr, *.ocx, *.dll, *.pif， C:\*.*,C:\Windows\**, %systemdrive%\**\*.ini
目前而言，符合所有的日志结果（病毒实验结果）

jone_jys

墨池 发表于 2011-9-21 10:06
默认规则的阻止只有官方最清楚，好多规则远不止官方说明那么简单。按楼主日志，还有部分*.dat，但又没有*.t ...

*.exe, *.scr, *.ocx, *.dll, *.pif， C:\*.*,C:\Windows\**, %systemdrive%\**\*.ini
目前而言，符合所有的日志结果（病毒实验结果）

storyhare,上述所说貌似有道理的，触犯的日志确实包含诸如.log，我只是没有贴出来。。。

感谢人妻。。。

墨池

jone_jys 发表于 2011-9-21 11:18
storyhare,上述所说貌似有道理的，触犯的日志确实包含诸如.log，我只是没有贴出来。。。

感谢人 ...

嘿嘿。。。。