凶的伙们来起 我来一程序规则 ‐AD‐本地权限组 lsass.exe for XP 更新

zh94518

lsass.exe 是系统关键程序 也是木马使用的进程之一

实际我已经搞了很多系统程序的规则了 但怕黑客也看规则 所以就不打算放上我的超级规则了

以程序的方式一点一点放上来吧 而且不一定放完 但大家可以学习学习规则的编辑和防黑思路的。

文件规则


注册表

HKUS\*\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\ParseAutoexec
HKEY_LOCAL_MACHINE\SYSTEM\ControlSet00?\Control\Lsa\LsaPid
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\IPSecPolicyAgent\stdout*
HKEY_LOCAL_MACHINE\SAM*
HKEY_LOCAL_MACHINE\SECURITY*
HKLM\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Tracing\Microsoft\IPSecPolicyAgent\LogSessionName

“COM”和“消息”还没做 不好排除（消息应该很简单的自己就能做） 看其他高手了 你要有就放在回贴里吧 非常希望大家一起来完善规则。


保护设置


进程间内存访问排除
C:\WINDOWS\system32\csrss.exe

进程终止排除
C:\WINDOWS\system32\csrss.exe

窗口消息排除
C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\system32\winlogon.exe

对于文件一栏 中的命名管道防御）说明：
此项并不安全 只是为了更快打磨好LSASS.EXE规则而加入的 怕机器启动不起 。大家可以一个一个删除来打磨 那次启动不起就说明需要那个命名管道，直到排除完所有命名管道防御很简单了。

梦中明月

这个不是很懂，等其他人用看再说，我比较懒只用默认

olda

用电脑本来想方便生活，但现在总被电脑折腾了。

sanhu35

。。。。不错  不过太细了