本帖最后由 常驻网络 于 2011-12-16 20:05 编辑
前言:
本人较懒,排除多数用了此类:*\Program Files (x86)\**\*.*, *\Program Files\**\*.*,
*\WINDOWS\**\*.*
所以有耐心的你一定要改成进程名,最好还是全路径排除.
本规则有点懒,安全性有点安全,适用性有点适用(开玩笑)
话说本规则没什么特点,默认规则改来改去也就那么个样子,
没啥好介绍的,欢迎大家有意见给意见,有砖请拍砖.
规则适用于:WINDOWS XP SP3 32位 WINDOWS 7 32位
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无
规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程: C:\Windows\system32\lsass.exe
规则名称:禁止远程创建/修改可执行文件和配置文件(请以进程名排除,经过几个老毒的测试,此项才是最重要防线)
要包含的进程:*.*
要排除的进程: QQ.exe
规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无
规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*
规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\**\KSafeSvc.exe
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\**\thunderplatform.exe
规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:无
规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:*\**\KSafeSvc.exe
《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:explorer.exe
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
《防病毒爆发控制》
规则名称:将所有共享项设为只读 (修改此项为如下)
要包含的进程:*.*
要排除的进程:*\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
规则名称:阻止对所有共享资源的读写访问 (之前与自定义规则重要,现改为如下)
要包含的进程:system:remote
要排除的进程:无
《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程: *\**\FrameworkService.exe, *\**\McTray.exe, C:\Windows\system32\services.exe
规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程: *\**\FrameworkService.exe, *\**\McTray.exe, C:\Windows\system32\services.exe
规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\**\FrameworkService.exe, *\**\McTray.exe
规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:
规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程: *\**\AliUpdate.exe
规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*
规则名称:保护网络设置
要包含的进程:*
要排除的进程: C:\Windows\system32\svchost.exe
规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:iexplore.exe
规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
规则名称:Prevent hooking of McAfee processes
要包含的进程:*
要排除的进程: 无
规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程: 无
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程: *\**\KSafeSvc.exe, *\WINDOWS\**\*.*
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程: 无
规则名称:禁止在 Program Files 文件夹中创建新的可执行文件(去掉相应的非32/64排除)
要包含的进程:*
要排除的进程: *\**\FrameworkService.exe
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无
规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:*\Program Files (x86)\**\*.*, *\Program Files\**\*.*
规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
《用户定义的规则》总共9条
---可执行区域---
1.
规则名称:★---全局禁止读取-禁运规则---★ (还是挺好用的一条规则,既防读取又防执行,跟着大众走了)
要包含的进程:*
要排除的进程: *\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\Windows\**\*.*,
System (方便懒人用的排除)
话说本人用的排除:*\BaiduPlayer\**, *\McAfee\**, *\VMware workstation\**, *\Windows\**\*.*, 360chrome.exe, ACDSee5.exe, alicsrv.exe, AliFileCheck.exe, AliIM.exe, AliLogHelper.exe, AlipayUpdater.exe, AliPluginErrRpt.exe, AliUpdate.exe, Android PC Suite.exe, AndroidInterface.exe, ApkInstaller.exe, auclt.exe, AutoUpgrade.exe, BugReport.exe, c20ukdrwsvr.exe, ComyTool20.exe, dmdeskinfo.exe, Dreamweaver.exe, dtws.exe, DuoMi.exe, ErrorReport.exe, EXCEL.exe, F:\Program Files\Netease\网易闪电邮\Start.exe, Fetion.exe, Fireworks.exe, FlashMail.exe, Funshion.exe, FunshionService.exe, GacRunner.dll, GP_SLC.exe, IDBSvr.exe, iexplore.exe, ImeUtil.exe, jfCacheMgr.exe, KankanLiteLiveUD.exe, KSafe.exe, ksafecoincide.exe, KSafeSvc.exe, KSafeTray.exe, kvipupd.exe, KwSing.exe, KwTE.exe, launcher.dll, Launcher.exe, Mcafee_Assistant.exe, MD5Checker.dll, MWICBCUKeyToolU.exe, PIPIPlayer.exe, PPLive.exe, PPStream.exe, QQ.exe, QQExternal.exe, QQLive.exe, QQMusic.exe, QQMusicIE.exe, QQMusicSvr.exe, QQPetAgent.exe, QQWubiConfig.exe, QvodNotes.exe, QvodPlayer.exe, QvodTerminal.exe, QvodTips.exe, QzoneMusic.exe, scdreg.exe, SendReport.dll, sogouexplorer.exe, sqlwriter.exe, System, tencentdl.exe, Thunder.exe, ThunderLiveUD.exe, thunderplatform.exe, ThunderPreload.exe, ThunderServiceLite.exe, TXPlatform.exe, txupd.exe, UrlWatcher.exe, utool.exe, UUSeeLUS.exe, UUSeeMediaCenter.exe, UUSeeMini.exe, uutran.exe, UUUpgrade.exe, WinRAR.exe, WINWORD.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WnUserPage.exe, WubiUp.exe, XMP.exe, XmpTipWnd.1.0.0.7.exe, XmpTipWnd.exe, XueTr.exe, YY.exe, yybrowser.exe, yylauncher.exe, yyrun.exe
要阻止的文件或文件夹名:*
要禁止的文件操作:读取
---文件保护---
2.
规则名称:禁止修改-创建-删除根目录文件
要包含的进程:*
要排除的进程:*\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:\*
要禁止的文件操作:创建 写入 删除
以下来几条比较重要的后缀防御.即使中招也无法感染此类后缀的程序.定心丸.你强我更强.
3.
规则名称:全局禁止修改-创建-删除exe文件 (防写入.三防:创建 写入 删除)
要包含的进程:*
要排除的进程:Android PC Suite.exe, FrameworkService.exe, KSafe.exe, KSafeSvc.exe, KSafeTray.exe, mscorsvw.exe, QiyiUpdate.exe, Thunder.exe, thunderplatform.exe, ThunderServiceLite.exe, uutran.exe, XMP.exe
要阻止的文件或文件夹名:**\*.exe
要禁止的文件操作:创建 写入 删除
4.
规则名称:全局禁止修改-创建-删除dll文件 (防写入.三防:创建 写入 删除)
要包含的进程:*
要排除的进程:AliIM.exe, Android PC Suite.exe, csc.exe, FrameworkService.exe, GoogleUpdate.exe, KSafe.exe, KSafeTray.exe, mscorsvw.exe, QiyiClient.exe, QiyiUpdate.exe, svchost.exe, Thunder.exe, thunderplatform.exe, ThunderServiceLite.exe, XMP.exe
要阻止的文件或文件夹名:**\*.dll
要禁止的文件操作:创建 写入 删除
5.
规则名称:全局禁止修改-创建-删除sys驱动
要包含的进程:*
要排除的进程:*\**\GP_CLT.exe, *\**\GP_SLC.exe, *\Program Files (x86)\**\*.*, *\Program
Files\**\*.*
要阻止的文件或文件夹名:**\*.sys
要禁止的文件操作:创建 写入 删除
6.
规则名称:全局禁止修改-创建-删除cmd文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:*.cmd
要禁止的文件操作:创建 写入 删除
---端口连接保护---
7.
规则名称:所有网络端口连接规则 (经典规则,必须的)
要包含的进程:*.*
要排除的进程:360chrome.exe, AliIM.exe, AliLogHelper.exe, AliUpdate.exe, Android PC Suite.exe, AndroidInterface.exe, apkinstaller.exe, auclt.exe, AutoUpgrade.exe, BaiduP2PService.exe, BaiduPlayer.exe, bdupdate.exe, cmdagent.exe, dtws.exe, DuoMi.exe, FireSvc.exe, FrameworkService.exe, Funshion.exe, FunshionService.exe, GacRunner.dll, IEXPLORE.EXE, jfCacheMgr.exe, KankanLiteLiveUD.exe, KSafe.exe, ksafecoincide.exe, KSafeSvc.exe, KSafeTray.exe, KwTE.exe, launcher.dll, McScript_InUse.exe, PIPIPlayer.exe, PPLive.exe, PPStream.exe, QQ.exe, QQExternal.exe, QQLive.exe, QQMusic.exe, QQMusicIE.exe, QQWBLiveUp.exe, QQWubiConfig.exe, QvodPlayer.exe, QvodTerminal.exe, QvodTips.exe, sogouexplorer.exe, StatReport.exe, svchost.exe, Thunder.exe, ThunderLiveUD.exe, ThunderPlatform.exe, ThunderServiceLite.exe, txupd.exe, UUSeeLUS.exe, UUSeeMediaCenter.exe, UUSeeMini.exe, uutran.exe, UUUpgrade.exe, vmnat.exe, vmware-authd.exe, vmware-hostd.exe, vmware.exe, WubiUp.exe, XMP.exe, XmpTipWnd.1.0.0.7.exe, XmpTipWnd.exe, YY.exe, yybrowser.exe, yylauncher.exe
要阻止的端口:开始端口 1 结束端口 65535
方向:
√入站
√出站
---注册表保护---
啥都防了不可能不防下面的.
8.
规则名称:所有注册表项保护规则
要包含的进程:*
要排除的进程:*\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项:HKALL /**
要保护的注册表项:项
要禁止的文件操作:创建 写入 删除
9.
规则名称:所有注册表值保护规则
要包含的进程:*
要排除的进程:*\Program Files (x86)\**\*.*, *\Program Files\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项:HKALL /**
要保护的注册表项:值
要禁止的文件操作:创建 写入 删除
---至此结束---
话说此规则无法防御:硬盘炸弹,小浩这两只 (磁碟机,机器狗,熊猫,小浩,硬盘炸弹,鬼影,实测得出结果,日记忘记复制了,只能在这里打打字),其他的默认规则可以搞定的太多了,前提是要用绝对路径排除,这个是重点!
附上规则:
只去掉三个后缀保护的规则
|
[复制链接]
发表于 2011-11-18 03:21:15
楼主
