10月11日更新:具有较强保护能力的综合性防护规则概述

小邪邪

新的综合性防护规则：
（此规则只适用于8.5i企业版）

9月24日:
增加了对十几种有一定风险文件的文件（格式）的生成进行监控的规则(C盘)
增加了对几种高风险的文件（格式）的生成进行监控的规则(C盘)
加强对本机GHO镜像文件的保护

增加对系统中之TMP(格式)临时文件的生成（创建）进行监控的规则
由于最近发现有许多病毒和网马试图通过伪装成TMP的文件潜入到系统中
然后伺机进行破坏（利用CMD命令来启动它自己）
所以增加了对TMP文件的创建进行监控的规则（事先要将TEMP文件夹移出）

改进了对windows文件夹和Program Files文件夹的排除设置
增加了对系统核心进程的全路径排除设置
9月25日：
增加了对一些动态连接库文件的生成进行监控的规则(C盘)
增加了对几种"宏"的生成进行监控的规则(C盘)
增加了对一种不常见的脚本文件的生成进行监控的规则(C盘)
增加了对另几种有风险文件的生成进行监控的规则(C盘)

在强力保护规则中加入了一些排除范例
而且在此规则里默认就已经打开了强力保护规则
(可根据实际需要选择暂时关掉此规则或保持一直开启着)

对默认的"防病毒最大保护"里面的：
"禁止Svchost执行非Windows可执行文件"规则做了一些调整
（默认不打开此规则）

对原有的一小部分FD规则进行了调整(避免一些可能出现的冲突)
调整了对部分重要驱动的监控
9月27日：
增加了对另一种高风险文件格式的创建管制
优化调整了部分FD规则的默认排除设置，进一步减少“见红率”,并提高安全性
9月28日：
调整了一小部分重要的FD规则，减少正常程序触犯重点保护规则的可能性
9月29日：
对于一部分人在打了新补丁（P3）后因端口规则而不能上网的情况做了一些调整
在较强保护规则里依然保持打开全端口监控（适合一部分不受影响用户）
在一般规则里默认将不打开端口规则（避免因某些未知冲突而出现不能上网的状况）
9月30日
调整了端口保护里面的程序出站控制规则
务求解决在打了patch3后因过于严厉的端口保护规则不能正常联网的状况
10月2日
进一步调整了部分默认规则和自定义规则的排除设置，保持安全性并且减少可能出现的见红率
10月3日
增加了对某一种有较高风险文件格式的创建进行管制的规则（C盘）
10月5日：
增加了对2种新发现的具有很高风险的文件格式的创建进行管制的自定义规则（C盘）
10月6日
增加了对某一种有一定的风险文件格式的创建进行管制的规则（C盘）
调整默认规则的排除设置，减少见红率
10月7日
增加了对新近发现的一种高风险的恶意脚本的创建进行管制的规则（C盘）
10月9日
调整了部分默认规则的排除设置，在保持安全性的同时减低“见红率”
10月11日
调整了部分自定义关键部位保护规则的排除设置，在保持安全性的同时进一步减低可能的“见红率”
概述：
程序的正常启动，使用和升级：
windows文件夹和Program Files文件夹下面的程序不受影响
（不论是否在装C盘中）
但是会影响到系统的正常更新，请特别注意（要更新最好暂时先关闭保护）

windows文件夹和Program Files文件夹之外的程序将受到影响
（需要排除一下文件夹或尽量将程序转移到Program Files目录下面）

创建自动运行设置文件（比如autorun.inf等）：
默认全面禁止

在本地创建可执行文件和配置文件：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

联网行为：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

访问注册表：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

在Program Files文件夹中创建新的可执行文件（EXE，DLL，PIF等）：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

在Windows文件夹中创建新的可执行文件（EXE，DLL，COM等）：
默认只允许\??\**\WINDOWS\system32\winlogon.exe和MCAFEE的2个相关程序

修改MCAFEE的相关配置和文件：
只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

将程序注册为自动运行：
默认全面禁止

将程序注册为服务：
默认只允许**\WINDOWS\system32\services.exe

从远程访问本地的任何共享资源：
默认全面禁止

终止McAfee的进程：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

读取文件信息（本地所有的文件）：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

对WINDOWS目录下面的文件进行除了执行和读取之外的操作：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

在C盘中创建可执行文件：
EXE：默认只允许**\WINDOWS\Explorer.EXE
DLL：默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作
COM，PIF，SCR等其它可执行文件：默认全面禁止

在C盘中创建配置文件（INI等格式）：
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作


详见：
[url=http://bbs.kafan.cn/viewthread.php?tid=33726&extra=page%3D110]http://bbs.kafan.cn/viewthread.php?tid=33726&extra=page%3D110[/url]5

[ 本帖最后由 小邪邪 于 2007-10-11 13:03 编辑 ]

boytaotao

学习了！

mozart636

如果要用新的 是不是重新一个一个排除？
有没有办法把老规则的排除项弄到新规则里？

小邪邪

原帖由 mozart636 于 2007-9-23 21:36 发表
如果要用新的 是不是重新一个一个排除？
有没有办法把老规则的排除项弄到新规则里？

新规则需要排除的跟老的规则基本一样，都是很少

可以将老的综合规则里的排除项一些先复制下来，粘贴到新规则里去的

[ 本帖最后由 小邪邪 于 2007-9-23 21:48 编辑 ]

mozart636

了解了！
小邪邪的规则一定要顶!
对ghost文件的保护体现在哪一条规则上呢？
不如直接定个规则：禁止删除.GHO文件~~

zyssg

嗯，不错，学习了！

zongkai

斑竹就是勤奋!!

gxh

学习了

子弹鱼

为什么我的windows2000导入规则包后没什么变化?

小邪邪

原帖由 子弹鱼 于 2007-9-24 14:05 发表
为什么我的windows2000导入规则包后没什么变化?

因为这个规则是根据XP系统来写的（已经实现说明过），2000未必适用

可以的话自己学着写一点适合自己用的规则可能更好一些