本帖最后由 qqq123123 于 2011-11-18 15:49 编辑
---------------------------------------------------------------------------------------------------
★咖啡规则总思路畅想:
1、对于写入、创建、删除、执行等操作赋予不同的规则,也就是能创建不一定能删除,能执行不一定能新建;
★类似于入口防御,采用交叉的方式进行过滤
2、对于常见的资料文档和所有可执行程序进行单独防护,无视其他规则,直接禁止写、创、删等操作;
★将第一层过滤后的程序再次进行权限限制,防护资料和可执行程序
3、完善系统目录防护,禁止写、创、删系统目录文件或文件夹
★将第二层过滤后的程序再次进行权限限制,防护系统目录文件和文件夹
4、第四层过滤:加入D、E、F、G等读取限制,即使是最特殊的软件,最多也就需要读取1个盘而已;
★力求将损失降到最低
5、第五层过滤:加入隐私和重要文件等读取限制,在第四层的基础上再次过滤,再次降低损失;
★加入隐私和重要文件等读取限制
---------------------------------------------------------------------------------------------------
1:防止爆发病毒时资料文件被破坏
规则名称:★禁止修改任何目录文档资料001
要包含的进程:*
要排除的进程:360zip.exe, explorer.exe, winrar.exe, winword.exe
要阻止的文件或文件夹:**\*.doc
操作:写、创、删
------------------------
规则名称:★禁止修改任何目录文档资料002
要包含的进程:*
要排除的进程:360zip.exe, excel.exe, explorer.exe, winrar.exe
要阻止的文件或文件夹:**\*.xls
操作:写、创、删
------------------------
规则名称:★禁止修改任何目录文档资料003
要包含的进程:*
要排除的进程:360zip.exe, explorer.exe, powerpnt.exe, winrar.exe
要阻止的文件或文件夹:**\*.ppt
操作:写、创、删
---------------------------------------------------------------------------------------------------
2:防止病毒爆发时可执行文件被破坏
规则名称:★a监控可执行程序01
要包含的进程:*
要排除的进程:360zip.exe, explorer.exe, winrar.exe, winword.exe
要阻止的文件或文件夹:**\*.exe
操作:写、创、删
(备注:其余可执行文件的保护可以借鉴下我规则里面的设置,这里只给出样例)
---------------------------------------------------------------------------------------------------
3:全局写入、创建、删除、执行过滤
规则名称:3q>03全局删除过滤01☆
要包含的进程:*
要排除的进程:*\windows\**,360zip.exe,excel.exe,powerpnt.exe,winword.exe,*\Program Files\McAfee\**
要阻止的文件或文件夹:**
操作:删
(备注:其余的行为模仿3q>03全局删除过滤01☆新建规则即可,这里只给出样例)
--------------------------------------------------------------------------------------------------- |
[复制链接]
发表于 2011-11-15 22:10:25
楼主
人妻明天奉上!···那条全局禁运的规则足以秒杀99%的小马了···什么入口防御啊都是浮云···而且这条规则是非联网的,换句话说就算能运行还要过联网这一关才可以···
但是咖啡么得防注入等功能···⊙﹏⊙b汗
你的自定义规则太多了,会死人啊
不能这样想啊,否则就不会有HIPS了- -!···