版主来 一下

462588842

要包含的进程：*
要排除的进程：
*\Program Files\**\*.exe, *\Windows\system32\csrss.exe, *\Windows\system32\wbem\WMIADAP.EXE, *\Windows\system32\winlogon.exe, C:\ProgramData\DatacardService\**, C:\Users\lenovo\AppData\**, C:\Windows\Explorer.EXE, C:\Windows\hh.exe, C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\*\update\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.*, C:\Windows\system32\aitagent.EXE, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\cmd.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\control.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\Dwm.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe, C:\Windows\System32\mobsync.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\System32\nvcplui.exe, C:\Windows\system32\nvvsvc.exe, C:\Windows\system32\regsvr32.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\sc.exe, C:\Windows\system32\schtasks.exe, C:\Windows\System32\sdclt.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\SndVol.exe, C:\Windows\system32\SnippingTool.exe, C:\Windows\System32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\UserAccountControlSettings.exe, C:\Windows\system32\userinit.exe, C:\Windows\system32\vssvc.exe, C:\Windows\system32\wbem\WmiApSrv.exe, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\werfault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\System32\wsqmcons.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\system32\WUDFHost.exe, System


要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：全勾



第二个
要包含的进程：*\Windows\**
要排除的进程：*\Windows\system32\csrss.exe, *\Windows\system32\wbem\WMIADAP.EXE, *\Windows\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\hh.exe, C:\Windows\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\*\update\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.*, C:\Windows\system32\aitagent.EXE, C:\Windows\system32\AUDIODG.EXE, C:\Windows\system32\calc.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\cmd.exe, C:\Windows\system32\conhost.exe, C:\Windows\system32\consent.exe, C:\Windows\system32\control.exe, C:\Windows\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\System32\dinotify.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\Dwm.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\lpremove.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\Macromed\Flash\FlashUtil11e_ActiveX.exe, C:\Windows\system32\makecab.exe, C:\Windows\System32\mobsync.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\mspaint.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\System32\nvcplui.exe, C:\Windows\system32\nvvsvc.exe, C:\Windows\system32\regsvr32.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\runonce.exe, C:\Windows\system32\sc.exe, C:\Windows\system32\schtasks.exe, C:\Windows\System32\sdclt.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\SndVol.exe, C:\Windows\system32\SnippingTool.exe, C:\Windows\System32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\UserAccountControlSettings.exe, C:\Windows\system32\userinit.exe, C:\Windows\system32\vssvc.exe, C:\Windows\system32\wbem\WmiApSrv.exe, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\WerFault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\winsat.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\System32\wsqmcons.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\system32\WUDFHost.exe

要阻止的文件或文件夹名：**
要禁止的文件操作：全勾


第三个


要包含的进程：*
要排除的进程：*\Program Files\**\*.exe, *\Windows\system32\csrss.exe, C:\ProgramData\DatacardService\**, C:\Users\lenovo\AppData\**, C:\Windows\Explorer.EXE, C:\Windows\hh.exe, C:\Windows\Microsoft.Net\Framework\v3.0\WPF\PresentationFontCache.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\regedit.exe, C:\WINDOWS\SoftwareDistribution\Download\*\update\update.exe, C:\Windows\SoftwareDistribution\Download\Install\*.*, C:\Windows\system32\conhost.exe, C:\Windows\system32\consent.exe, C:\Windows\System32\control.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\dfrgui.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\DrvInst.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchFilterHost.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\Windows\system32\SnippingTool.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskeng.exe, C:\Windows\system32\taskhost.exe, C:\Windows\system32\taskmgr.exe, C:\Windows\system32\UserAccountControlSettings.exe, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\werfault.exe, C:\Windows\system32\wermgr.exe, C:\Windows\SYSTEM32\WISPTIS.EXE, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe

要阻止的文件或文件夹名：**\Program Files\**
要禁止的文件操作：全勾


关于为什么要比对主要是为了安全着想。我现在经常使用网银


麻烦你抽点时间比对 一下。非常感谢

busihou

不是版主的可以来不,帮顶一下

问一下～多排除，你所认为的后果是什么？？
-
我是这样认为的：
1、多排除，即使用中，所用系统功能较多，所以排除进程多
2、只要不是无关进程，多排除，没有安全上的差异（只要是路径排除的）
-
你的这个排除，看了一下～
1、如果就与我自己的对比而言，多了20%；但因为，我是关闭了很多系统组件（如文件搜索等）
2、那个排除中『C:\Users\lenovo\AppData\**』，是否进行了相应限制？

462588842

storyhare 发表于 2011-12-6 19:51
问一下～多排除，你所认为的后果是什么？？
-
我是这样认为的：

2、那个排除中『C:\Users\lenovo\AppData\**』，是否进行了相应限制？
软件组已经全绝对路径！

在排除系统组，就是怕被病毒“调用”

462588842

busihou 发表于 2011-12-6 18:52
不是版主的可以来不,帮顶一下

又来取笑我了………给点建议！如何？

462588842 发表于 2011-12-6 22:32
2、那个排除中『C:\Users\lenovo\AppData\**』，是否进行了相应限制？
软件组已经全绝对路径！

恩，『被病毒调用』，的确是一个头疼的问题（即使是HIPS，也不能完善地解决～）
所谓“调用”，有2种形式：
1、文件操作的“执行”（即：被调用程序，未加入进程）——这个咖啡可以拦截
2、内存中的“调用”（已加入进程的程序的调用）——咖啡似乎不能防范

～那么，如何防范？

1、文件操作的“执行”——使用规则中的“执行”直接限制（我个人的病毒测试是：可以直接拦截80%以上的病毒攻击）

规则名称：禁止执行Windows进程
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：C:\Windows\**.exe
要禁止的文件操作：执行

2、内存中的“调用”——使用规则，限制系统常驻进程的“执行权限”（很少用到，但“防范于未然”）

规则名称：禁止系统常驻进程访问执行高权进程（此，包含数十个规则）
要包含的进程：conhost.exe, csrss.exe, explorer.exe, smss.exe, svchost.exe, taskhost.exe, wininit.exe, winlogon.exe
要排除的进程：
要阻止的文件或文件夹名：csc.exe（此为“禁止执行Windows进程”中的排除进程，共含有数十个，如：services.exe/smss.exe/svchost.exe等）
要禁止的文件操作：写入 执行

----其实，一般只需要『文件操作的“执行”』中的相应规则，便可以达到预期的防御目的～

所以，如果，你使用了那个规则，便基本，不需要担心这类问题......

----如果，认为，安全没有达到100.000000%，那么，可以使用『内存中的“调用”』中的相关规则

-------------------------------------------

回到你的这个问题～多排除，是否更容易被调用！

1、所谓“多排除”，指一些不是很常用的系统进程，且，其不是系统常驻进程——即：不存在，在内存中直接被调用的可能性～

>那么就这个非系统常驻进程的安全性，给予讨论：
    >>如果被调用～那么，会有其他进程给予“文件操作中的执行”（病毒本体或其他已存在的系统进程）；而，如果启用了『文件操作的“执行”』中的相应规则，那么，只能使用已存在的系统进程进行调用——这里有一个前提，系统进程为何会无故调用？～除非，已经被病毒本体调用！！
    >>继上，如果系统常驻进程已经被调用（内存），那么，只有使用『内存中的“调用”』中的相关规则，才能防御

>那么，结论～～如果使用了『文件操作的“执行”』中的相应规则，那么，这个“多排除”，安全性上，不会有太大的区别

2、附：对于，系统进程被调用～病毒，一般是对系统常见进程进行调用（如：explorer.exe/scvhost.exe等），而对于“多排除”的进程而言，它们属于被病毒“无视”的进程（因为不常用～）——所以，回到原始：这个“多排除”，安全性上，不会有太大的区别

462588842

storyhare 发表于 2011-12-6 23:36
恩，『被病毒调用』，的确是一个头疼的问题（即使是HIPS，也不能完善地解决～）
所谓“调用”，有2种形式 ...

不敢要求100%，用咖啡主要是DIY有趣 。用别的杀软。还真不习惯了~


我个人的排除很宽松。一般来说安全的软件直接 就排除了！

所以心里上。。。有点。。。。前怕锒 。后怕虎的感觉