四类规则的研究

sinbad2

本人昨夜想了一晚上，想到四类规则，可以保护平常使用不中毒，新安装程序也不中毒。本人抛砖引玉，四类规则如下：
第一类：防网页病毒木马。这个规则应该是禁止浏览器自动下载、执行exe、all之类的文件吧。这个规则我不知道怎么设置，大家可以列出来共同研究下。

第二类：防U盘光盘等入口。规则应该是：
规则名称：防U盘病毒
要包含的文件： I:\*  J:\*   K:\*
要排除的文件：*
执行的操作：禁止新建、删除、执行

不知道规则对不对？

第三类：保护系统盘文件，允许C盘文件正常的运行，不允许删除、替换系统文件，不让未知文件进入C盘，不让未知文件在C盘运行。这个规则我也不知道怎么设置。

正常软件安装时应该不会去动C盘，也不会从C盘运行吧？如果这条规则可行的话，安装程序时也不用关闭规则，也不怕安装的程序带毒在C盘乱搞了。

第四类：保护电脑里已有的文件。比如：保护电脑里的CS游戏，规则如下：

规则名称：保护CS游戏
要包含的文件：E:\Program Files\games\CS3266
要包含的进程：*
要排除的进程：E:\Program Files\games\CS3266\cstrike.exe，E:\Program Files\games\CS3266\hlds.ex，E:\Program Files\games\CS3266\hltv.exe

禁止的操作：新建、删除、修改、执行

规则的意思就是除了CS游戏本身的cstrike.exe、hlds.exe等可以操作本身文件夹之外，其它所有都不能操作游戏的文件夹。

以此类推，把电脑里的QQ呀浏览器呀在线播放器呀这样保护起来。

如果这四类规则有效的话，堵住了网络和U盘两个入口，又保护了C盘，也保护了电脑里已有的文件，新安装程序时就可以不关闭规则了。
大家讨论下吧。

kfpeace100

貌似不是这样的，具体你写了就发现还是会碰到，而且很多软件在安装的时候也会在系统盘放东西啊。

墨池

少见的规则防御思路探讨帖，可以继续深入下去，并形成系统规则。以下是个人意见：

第一类：防网页病毒木马。这个规则应该是禁止浏览器自动下载、执行exe、all之类的文件吧。这个规则我不知道怎么设置，大家可以列出来共同研究下。
----------------------------------------------------------------------------
改造默认规则：
规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*\Baidu\**, *\Baofeng\**, *\Mozilla Firefox\**, *\Internet Explorer\**, chrome.exe, mozilla.exe, QQ.exe（文件夹和进程都可以）
要排除的进程：无


第二类：防U盘光盘等入口。规则应该是：
规则名称：防U盘病毒
要包含的文件： I:\*  J:\*   K:\*
要排除的文件：*
执行的操作：禁止新建、删除、执行
------------------------------------------------------------------------------
封死U盘可执行文件和自动运行，常规这样做即可：
--------------------------------
规则名称：防U盘病毒01
要包含的文件：*
要排除的文件：无
要保护的文件：?:\*.exe
执行的操作：禁止读取、执行

规则名称：防U盘病毒02
要包含的文件：*
要排除的文件：无
要保护的文件：?:\*.dll
执行的操作：禁止读取、执行

规则名称：防U盘病毒03
要包含的文件：*
要排除的文件：无
要保护的文件：?:\*.com
执行的操作：禁止读取、执行

规则名称：防U盘病毒04
要包含的文件：?:\*
要排除的文件：无
要保护的文件：*
执行的操作：禁止读取、执行、写入、创建、删除

规则名称：防U盘病毒05
要包含的文件：*
要排除的文件：无
要保护的文件：?:\autorun.inf
执行的操作：禁止读取、执行、写入、创建、删除


第三类：保护系统盘文件，允许C盘文件正常的运行，不允许删除、替换系统文件，不让未知文件进入C盘，不让未知文件在C盘运行。这个规则我也不知道怎么设置。
-------------------------------------------------------------------
规则名称：保护系统_只读
要包含的进程：*
要排除的进程：根据日志绝对路径排除（可以建一个安装文件夹，排除这个文件夹，把安装文件放到此文件夹中安装即，前提是不能有其它规则限制）
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：写入 创建 删除

正常软件安装时应该不会去动C盘，也不会从C盘运行吧？如果这条规则可行的话，安装程序时也不用关闭规则，也不怕安装的程序带毒在C盘乱搞了。

第四类：保护电脑里已有的文件。比如：保护电脑里的CS游戏，规则如下：

规则名称：保护CS游戏
要包含的文件：E:\Program Files\games\CS3266
要包含的进程：*
要排除的进程：E:\Program Files\games\CS3266\cstrike.exe，E:\Program Files\games\CS3266\hlds.ex，E:\Program Files\games\CS3266\hltv.exe
----------------------------------------------------------------------
这样修改就对了：
---------------------------
规则名称：保护CS游戏
要包含的进程：*
要排除的进程：E:\Program Files\games\CS3266\cstrike.exe，E:\Program Files\games\CS3266\hlds.ex，E:\Program Files\games\CS3266\hltv.exe
要保护的文件：E:\Program Files\games\CS3266
禁止的操作：读取、创建、删除、写入、执行
----------------------------------------------------
说明：这样一个一个程序文件夹去做很保险，但很麻烦，需要很多条规则。简单办法是：
------------------------
规则名称：保护软件_只读
要包含的进程：*
要排除的进程：根据日志绝对路径实时排除
要阻止的文件或文件夹名：**\Program Files*\**
要禁止的文件操作：写入 创建 删除
--------------------------------------
这样做的问题是，已排除的进程可以相互修改，存在风险。


    到此，入口防御应该没有问题了。如果系统不纯净，还要限制已有进程才行，如：
----------------------------------------------------------------------------------
规则名称：管制系统_文件
要包含的进程：*
要排除的进程：绝对路径排除系统进程
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：读取 写入 执行 创建 删除

另外，要想安装不出问题，还要保护一些地方，如“保护 Internet Explorer 收藏夹和设置”等病毒经常祸害的地方。

    我想这样可以形成一套系统规则。不当指出请大家指正，并补充。

jxfaiu

规则名称：防U盘病毒
要包含的文件： I:\*  J:\*   K:\*
要排除的文件：*
执行的操作：禁止新建、删除、执行

某天某人要是插入U盘不在以上要包含的文件： I:\*  J:\*   K:\* 字符内呢？

大猫熊

你的思路不错，防入口的规则以前也出现过。另外这个规则要求其他软件安装在非系统盘，这对于某些程序可能会造成影响。即使软件安装没问题，系统更新的时候也会触碰到C盘区域。

欢迎继续尝试！别失眠就行。。

sinbad2

已经实践。排除累死了。开机不触红，但上网的过程中有时硬盘会转得比较快，呼呼地响。

sinbad2

顺便说下，资源占用不大。
用红伞加巨盾加MD开机有220M，咖啡加巨盾才200M

sinbad2

win7 32,神舟精盾k580p i3 D1，用红伞加巨盾加MD开机物理内存22%，咖啡加巨盾才20%。