本帖最后由 jxfaiu 于 2013-3-13 10:53 编辑
规则名称:全局禁运
要包含的进程:*
要排除的进程:**\C:\**, D:\Program Files\**, D:\QUARANTINE\**, E:\Program Files\**, F:\Program Files\**
要阻止的文件或文件夹名:*
要禁止的文件操作:读取 写入 执行 创建 删除
楼主以上规则语法不对,叶知版主有讲解并测试过:要排除的进程:**等同于排除任意(是无效的规则)
全局禁运规则以XP系统为例:(工作关系我目前使用的就是XP系统)
信任区排除法:(干净PC)
规则名称:全局禁运
要包含的进程:*
要排除的进程:*\C:\WINDOWS\**, C:\Program Files\**
要阻止的文件或文件夹名:*
要禁止的文件操作:读取 写入 执行 创建 删除
安全性:只要是在:C:\WINDOWS,及C:\Program Files下的任意文件都可运行(当然包括一切啦)
绝对途径排除法:(仅排除XP系统及咖啡进程)
规则名称:全局禁运
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\csrss.exe,*\C:\WINDOWS\system32\winlogon.exe,C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE,C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\Common Framework\naPrdMgr.exe, C:\Program Files\McAfee\Common Framework\udaterui.exe, C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe, C:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\freecell.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mpnotify.exe, C:\WINDOWS\system32\mshearts.exe, C:\WINDOWS\system32\msiexec.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\runonce.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\shmgrate.exe, C:\WINDOWS\system32\SNDVOL32.EXE, C:\WINDOWS\system32\spider.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名:*
要禁止的文件操作:读取 写入 执行 创建 删除
安全性:大家都知道,同一途径不能创建同名文件夹及同名文件,不管任何进程想要运行都必须经过你的许可(就是排除啦),咖啡规则是平等的不管任何程序当然包括系统及咖啡本身进程,在访问保护开启的情况下你不排除它就是个死尸,它什么也干不了;不管它隐藏于本地何处,只要它想动必现原形。
关于你提到本地创建文件的问题:如你想拦截本地在任意盘符创建、删除任意文件
应将此规则拆分成2条:
1,规则名称:全局禁运
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*
要禁止的文件操作:读取 执行
2,规则名称:全局禁运
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*
要禁止的文件操作: 写入 创建 删除
信任区排除法:在第2条(写入 创建 删除)排除*\C:\WINDOWS\**已包含桌面进程:C:\WINDOWS\Explorer.EXE,当然本地能在任意盘符创建、删除任意文件啦。
绝对途径排除法:在第2条(写入 创建 删除)不排除桌面进程:C:\WINDOWS\Explorer.EXE,本地绝对不能在任意盘符创建、删除任意文件的;不信可以按以上方法进行测试。 |
发表于 2013-2-20 15:52:35
