查看: 17448|回复: 97
收起左侧

[技术原创] 10月11日更新:具有较强保护能力的综合性防护规则概述

 关闭 [复制链接]
小邪邪
发表于 2007-9-23 21:09:53 | 显示全部楼层 |阅读模式
新的综合性防护规则:
(此规则只适用于8.5i企业版)

9月24日:
增加了对十几种有一定风险文件的文件(格式)的生成进行监控的规则(C盘)
增加了对几种高风险的文件(格式)的生成进行监控的规则
(C盘)
加强对本机GHO镜像文件的保护


增加对系统中之TMP(格式)临时文件的生成(创建)进行监控的规则
由于最近发现有许多病毒和网马试图通过伪装成TMP的文件潜入到系统中

然后伺机进行破坏(利用CMD命令来启动它自己)
所以增加了对TMP文件的创建进行监控的规则(事先要将TEMP文件夹移出)


改进了对windows文件夹和Program Files文件夹的排除设置
增加了对系统核心进程的全路径排除设置
9月25日:
增加了对一些动态连接库文件的生成进行监控的规则(C盘)
增加了对几种"宏"的生成进行监控的规则
(C盘)
增加了对一种不常见的脚本文件的生成进行监控的规则
(C盘)
增加了对另几种有风险文件的生成进行监控的规则(C盘)


在强力保护规则中加入了一些排除范例
而且在此规则里默认就已经打开了强力保护规则
(可根据实际需要选择暂时关掉此规则或保持一直开启着)


对默认的"防病毒最大保护"里面的:
"禁止Svchost执行非Windows可执行文件"规则做了一些调整

(默认不打开此规则)

对原有的一小部分FD规则进行了调整(避免一些可能出现的冲突)
调整了对部分重要驱动的监控
9月27日:
增加了对另一种高风险文件格式的创建管制
优化调整了部分FD规则的默认排除设置,进一步减少“见红率”,并提高安全性
9月28日:
调整了一小部分重要的FD规则,减少正常程序触犯重点保护规则的可能性
9月29日:
对于一部分人在打了新补丁(P3)后因端口规则而不能上网的情况做了一些调整
在较强保护规则里依然保持打开全端口监控(适合一部分不受影响用户)
在一般规则里默认将不打开端口规则(避免因某些未知冲突而出现不能上网的状况)
9月30日
调整了端口保护里面的程序出站控制规则
务求解决在打了patch3后因过于严厉的端口保护规则不能正常联网的状况

10月2日
进一步调整了部分默认规则和自定义规则的排除设置,保持安全性并且减少可能出现的见红率
10月3日
增加了对某一种有较高风险文件格式的创建进行管制的规则(C盘)

10月5日:
增加了对2种新发现的具有很高风险的文件格式的创建进行管制的自定义规则(C盘)

10月6日
增加了对某一种有一定的风险文件格式的创建进行管制的规则(C盘)

调整默认规则的排除设置,减少见红率
10月7日
增加了对新近发现的一种高风险的恶意脚本的创建进行管制的规则(C盘)

10月9日
调整了部分默认规则的排除设置,在保持安全性的同时减低“见红率”

10月11日
调整了部分自定义关键部位保护规则的排除设置,在保持安全性的同时进一步减低可能的“见红率”
概述:
程序的正常启动,使用和升级:
windows文件夹和Program Files文件夹下面的程序不受影响
(不论是否在装C盘中)

但是会影响到系统的正常更新,请特别注意(要更新最好暂时先关闭保护

windows文件夹和Program Files文件夹之外的程序将受到影响
(需要
排除一下文件夹尽量将程序转移到Program Files目录下面


创建自动运行设置文件(比如autorun.inf等):
默认全面禁止


在本地创建可执行文件和配置文件:
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作


联网行为:
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作


访问注册表:
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作


在Program Files文件夹中创建新的可执行文件(EXE,DLL,PIF等):
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

在Windows文件夹中创建新的可执行文件(EXE,DLL,COM等):
默认只允许\??\**\WINDOWS\system32\winlogon.exe和MCAFEE的2个相关程序


修改MCAFEE的相关配置和文件:
只允许windows文件夹和Program Files文件夹下面的程序进行此类操作


将程序注册为自动运行:
默认全面禁止


将程序注册为服务:
默认只允许**\WINDOWS\system32\services.exe


从远程访问本地的任何共享资源:
默认全面禁止


终止McAfee的进程:
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作


读取文件信息(本地所有的文件):
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

对WINDOWS目录下面的文件进行除了执行和读取之外的操作:
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作

在C盘中创建可执行文件:
EXE:默认只允许**\WINDOWS\Explorer.EXE
DLL:默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作
COM,PIF,SCR等其它可执行文件:默认全面禁止


在C盘中创建配置文件(INI等格式):
默认只允许windows文件夹和Program Files文件夹下面的程序进行此类操作



详见:
[url=http://bbs.kafan.cn/viewthread.php?tid=33726&extra=page%3D110]http://bbs.kafan.cn/viewthread.php?tid=33726&extra=page%3D110[/url]5

[ 本帖最后由 小邪邪 于 2007-10-11 13:03 编辑 ]

评分

参与人数 1经验 +10 收起 理由
xffsfy + 10 版区有你更精彩: )

查看全部评分

boytaotao
发表于 2007-9-23 21:15:10 | 显示全部楼层
学习了!
mozart636
发表于 2007-9-23 21:36:52 | 显示全部楼层
如果要用新的 是不是重新一个一个排除?
有没有办法把老规则的排除项弄到新规则里?
小邪邪
 楼主| 发表于 2007-9-23 21:41:10 | 显示全部楼层
原帖由 mozart636 于 2007-9-23 21:36 发表
如果要用新的 是不是重新一个一个排除?
有没有办法把老规则的排除项弄到新规则里?


新规则需要排除的跟老的规则基本一样,都是很少

可以将老的综合规则里的排除项一些先复制下来,粘贴到新规则里去的

[ 本帖最后由 小邪邪 于 2007-9-23 21:48 编辑 ]
mozart636
发表于 2007-9-23 22:58:47 | 显示全部楼层
了解了!
小邪邪的规则一定要顶!
对ghost文件的保护体现在哪一条规则上呢?
不如直接定个规则:禁止删除.GHO文件~~
zyssg
发表于 2007-9-24 10:27:19 | 显示全部楼层
嗯,不错,学习了!
zongkai
发表于 2007-9-24 12:27:40 | 显示全部楼层
斑竹就是勤奋!!
gxh
发表于 2007-9-24 12:42:25 | 显示全部楼层
学习了
子弹鱼
发表于 2007-9-24 14:05:32 | 显示全部楼层
为什么我的windows2000导入规则包后没什么变化?
小邪邪
 楼主| 发表于 2007-9-24 14:30:35 | 显示全部楼层
原帖由 子弹鱼 于 2007-9-24 14:05 发表
为什么我的windows2000导入规则包后没什么变化?



因为这个规则是根据XP系统来写的(已经实现说明过),2000未必适用

可以的话自己学着写一点适合自己用的规则可能更好一些
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 20:40 , Processed in 0.144679 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表