加强规则（更新8-4）

柯林

一些小地方的调整，请参看1楼的补充说明。
顺便说明，如果你用破解程序，需要使用映像劫持的，请修改置顶规则或删除。
注册表、com、以及其他方面的细化，自己打磨，本帖只是提供一个思路而已。

dqs0901

win7系统下，32位系统用的还不错

angelfish

支持柯大。。。。出新规则

蓝核

柯大更新好快！！！

qq5150

更新了，支持下，感谢柯大的规则

123mmm

好严格的规则

wrl8363

终于等到柯大也出规则了，福音呀！

柯林

降权效果展示——CLT测试（降权保护之D盘测试），运行后，毛豆表示不认识该程序，要求隔离进沙盘，选择不进沙盘：


一路自动静默处理，期间防火墙弹了一个框说此程序要联网，选阻止，然后继续静默拦截，最后得分：


300分，漏了四个，原因是钩子上漏了——当我们选择不隔离进沙盘时，毛豆是当作我们信任该程序来处理的，由于“削
权”的预定义规则里并没有拦截钩子，所以默认允许了。看毛豆日志，确实没拦截到钩子：


结论：如果你在乎此类测试，并且也不怕麻烦——为QQ之类需要钩子的程序做例外排除，可以在预定义的“削权”规则里勾选阻止钩子。如果保持默认，当你下样本来测试，对于盗号类木马，如果它有合法的数字签名骗过毛豆，那么钩子行为就漏了，此时的最后防线是防火墙。
测试说明，降权效果基本上令人满意——只要你不把样本放到windows目录或临时目录之类降权规则管不到的地方，随便你点击，一般是不会中毒的（“削权”里补上钩子拦截则效果更佳），当然，实机测试病毒，本身具有风险，不提倡，例如足球样本，虽然规则里规定了FD防护?:\*，但如果你错点沙盘外运行，由于“削权”里仅仅保护了系统文件和可执行文件，其他的影音文件、文档文件、图像文件、压缩文件、网页文件之类不在保护行列的就惨了——删你没商量！

123mmm

不知能不能增加一条预定义的并对全局无太大影响的规则？：

浏览器下载文件能有效保存（试过firefox要用到system32里面的verdisd.exe才能保存到电脑）
信任软件能用到c盘temp目录（dll,ini）并允许创建程序自身目录内的exe的程序

小白一个不好意思，柯大规则不错就是易用性加大下就更完美了

moguimax

谁的规则满分的啊？我要下载我要下载！！！！！！！！！！！！！！