3Q咖啡区巡演，2L给出了思路规则，还请各位不吝赐教！···

常驻网络

qqq123123 发表于 2011-11-16 15:47
只要不影响易用性和安全性随便多少条，但是要考虑执行效率的问题！···

那就期待你下一个力作了

462588842

亮点三：禁止执行系统目录程序

规则名称：★企图非法执行SystemRoot目录文件

要包含的进程：*

要排除的进程：**\WINDOWS\**

要阻止的文件或文件夹：**\WINDOWS\**

操作：执行
这条规则有意思，自己封自己！好比端口规则开始1结束1的感觉、
一个病毒通过防病毒爆发（即全局读写防问）后，然后你这条规则才能起作用吧？
请指教

qqq123123 发表于 2011-11-16 15:40
限制读取会不会造成很多程序无法运行？是否可以限制cmd和rundll32这些程序来封堵？

cmd可以禁止；rundll32，不能，因为几乎每个进程都会用到，禁止后带来的后果无法预料（不过，正因为无法预料，也可以试试....）

即：考虑具体限制某一个系统进程时，要考虑的东西很多，而且需要用来观察的时间也需要很长（对于rundll32.exe这个进程，我用规则观察了半个月.....才相对清楚了一些用处）

qqq123123

storyhare 发表于 2011-11-16 15:54
cmd可以禁止；rundll32，不能，因为几乎每个进程都会用到，禁止后带来的后果无法预料（不过，正因为无法预 ...

观察半个月？额，cmd和rundll32偶准备对他们下手了···

462588842

storyhare 发表于 2011-11-16 15:54
cmd可以禁止；rundll32，不能，因为几乎每个进程都会用到，禁止后带来的后果无法预料（不过，正因为无法预 ...

我禁用Rundll32后，用网银，差点就把电脑砸了。

qqq123123

462588842 发表于 2011-11-16 15:57
我禁用Rundll32后，用网银，差点就把电脑砸了。

我的思路是只放行windows目录，其余封死

462588842 发表于 2011-11-16 15:57
我禁用Rundll32后，用网银，差点就把电脑砸了。

恩，这个进程，干的事太多了（正常的，不正常的）；需要很小心的，特别是，系统空闲时的操作主要靠它来实现.....一旦限制，系统可能长期运作后出问题....

墨池

常驻网络 发表于 2011-11-16 15:36
那么规则里的*\**\?有关这条的是多余的也是无效的.何况有全局禁运了,也包括他所说的*\**\?了

Q大这条规则目前尚不明白是什么意思，也不知用意。

462588842

storyhare 发表于 2011-11-16 16:00
恩，这个进程，干的事太多了（正常的，不正常的）；需要很小心的，特别是，系统空闲时的操作主要靠它来 ...

抱歉，不是故意的你删一个吧！
刚才就想说，你转正了！呵呵
rundll32动不动就红，不排还不行。

qqq123123

墨池 发表于 2011-11-16 16:01
Q大这条规则目前尚不明白是什么意思，也不知用意。

http://bbs.kafan.cn/forum.php?mo ... &fromuid=484533主要防防无后缀程序，虽然规则已经限制的比较严格了，另外联网行为也严格限制，单独列出只是在定制规则的时候想到的