查看: 9157|回复: 36
收起左侧

[其他相关] 菜鸟专用规则(短小,强悍,有备无患)

[复制链接]
jml521m
发表于 2013-8-11 14:16:01 | 显示全部楼层 |阅读模式
本帖最后由 jml521m 于 2013-8-12 09:51 编辑

首先声明,此套规则的版权不是我,而是“叶知”.... 包括版区好多重要的测试也是出自此手....

其实有好多好的规则在不被人所发现了解的情况下被遗忘是一件,挺可惜的事情。。。。
此版本的规则只需要对3,进行排除,系统默认的规则要排除的有俩条,“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”,“保护缓存文件免受密码和电子邮件地址窃贼的攻击”  我一直以来的观点是配合国产的卫士使用,但排除数字,因为不“和谐”...   默认规则下IE 不能使用 需修改,我很早以前修改过此版本的规则...但是不希望被套用...需要的话自己添加...

#I、可执行控制(部分)

1、规则名称:The Access Control Of Executable Regions
要包含的进程:*
要排除的进程:C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:执行

#如必要,自行在“要排除的进程”添加其他程序执行区域(使用文件夹统配排除)


#II、病毒入侵控制(部分)

2、规则名称:The Virus-Access Control Of Executable Files-DLL
要包含的进程:*
要排除的进程:FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入


#III、文件控制(部分)

3、规则名称:The File Control Of System Area
要包含的进程:*
要排除的进程:DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:创建 写入 删除

#尽量,不排除非系统进程

#Ⅳ 、后补监听
  
4、规则名称:The Monitor Control Of ExFile Area-EXE/EXE文件监听控制(仅报告,不启用)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*.exe(可根据需要,自行添加“*.bat, *.cmd, *.com, *.cpl, *.js, *.jse, *.msc, *.msi, *.msp, *.vbs, *.vbe, *.wsf, *.wsh,*.dll”)
要禁止的文件操作:创建 写入
(此条监控加自定义规则2,以及默认规则“防病毒爆发控制”使用,紧急时查看被修改,当然也可以对“注册表”监听详细查看叶知第六版规则...http://bbs.kafan.cn/forum.php?mo ... rtype=1#pid23836934

---

【默认规则部分】


《防间谍程序标准保护》

规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:explorer.exe, iexplore.exe, mmc.exe, poqexec.exe, rundll32.exe, runonce.exe, sdiagnhost.exe, svchost.exe, taskmgr.exe, TrustedInstaller.exe, wmplayer.exe

《防间谍程序最大保护》

规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:TrustedInstaller.exe(自行添加清理软件进程)

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:mscorsvw.exe, wmplayer.exe, McScanCheck.exe

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无

《防病毒标准保护》

规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:lsass.exe, svchost.exe

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:system:remote
要排除的进程:无

#如将“system:remote”更改为“*”;该规则能够替代:The Virus-Access Control Of Executable Files-DLL 与 The File Control Of System Area ,以及其他更多的控制(如,“.exe”的创建)


规则名称:禁止远程创建自动运行文件
要包含的进程:system:remote
要排除的进程:无

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:无

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:poqexec.exe, svchost.exe, TrustedInstaller.exe

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:无

规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:无

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无

《防病毒最大保护》

规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:DllHost.exe, explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, rasautou.exe, rundll32.exe, svchost.exe, wmplayer.exe

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:explorer.exe(自行添加清理软件进程)

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:DllHost.exe, explorer.exe, FrameworkService.exe, helppane.exe, iexplore.exe, McScanCheck.exe, mmc.exe, powercfg.exe, rundll32.exe, svchost.exe, TrustedInstaller.exe, UdaterUI.exe, wmplayer.exe, wmpnetwk.exe

《防病毒爆发控制》

规则名称:将所有共享项设为只读(The Virus-Outbreak Control Of File Access;未开启备用)
要包含的进程:system:remote(包含进程设为此主要是针对新手,即使勾选也不影响正常的使用
要排除的进程:consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe

#该规则为“防病毒爆发控制:全局文件控制”,默认未开启;如需,将“system:remote”改为“*”;并自行添加排除


规则名称:阻止对所有共享资源的读写访问 (The Control Of Virus-Outbreak;紧急时用规则,非必要不启用)
要包含的进程:system:remote(包含进程设为此主要是针对新手,即使勾选也不影响正常的使用
要排除的进程:atieclxx.exe, atiesrxx.exe, AUDIODG.EXE, conhost.exe, consent.exe, csrss.exe, Dllhost.exe, DrvInst.exe, Dwm.exe, EntVUtil.EXE, explorer.exe, FrameworkService.exe, LogonUI.exe, lsass.exe, lsm.exe, mcconsol.exe, McScanCheck.exe, McScript_InUse.exe, McTray.exe, MCUPDATE.EXE, mmc.exe, msconfig.exe, mspaint.exe, notepad.exe, perfmon.exe, PING.EXE, regedit.exe, SCAN64.EXE, ScnCfg32.Exe, services.exe, shcfg32.exe, shstat.exe, smss.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, taskmgr.exe, UdaterUI.exe, userinit.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, WORDPAD.EXE, wuauclt.exe, WUDFHost.exe

#该规则为病毒感染系统后的控制备用规则;默认不开启;到紧急需用时,将“system:remote”改为“*”;且,不能够修改排除


《通用标准保护》

规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:FrameworkService.exe, services.exe

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:FrameworkService.exe, services.exe

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:FrameworkService.exe

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:iexplore.exe

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:自行添加清理软件进程

规则名称:保护网络设置
要包含的进程:*
要排除的进程:svchost.exe

规则名称:禁止公用程序从 Temp 文件夹运行文件(仅报告,不启用)
要包含的进程:mscorsvw.exe, wmplayer.exe, McScanCheck.exe(该部分,同步“禁止所有程序从 Temp 文件夹运行文件”的排除)

#监听“禁止所有程序从 Temp 文件夹运行文件”


规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无

规则名称:Prevent hooking of McAfee processes
要包含的进程:*
要排除的进程:无

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:FrameworkService.exe, lsm.exe

《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:winsat.exe

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:DllHost.exe, DrvInst.exe, explorer.exe, mmc.exe, SearchIndexer.exe, services.exe, sppsvc.exe, svchost.exe, TrustedInstaller.exe, vssvc.exe, wbengine.exe

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:mscorsvw.exe, poqexec.exe, taskhost.exe, TrustedInstaller.exe

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:FrameworkService.exe, poqexec.exe, TrustedInstaller.exe

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:iexplore.exe
要排除的进程:

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:McScript_InUse.exe

规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:iexplore.exe, McScript_InUse.exe, mscorsvw.exe, rundll32.exe, svchost.exe, WerFault.exe, wermgr.exe

像了许久还是共享下导出的注册表规则。。。

windows7x86的以前已经公布,现在提供xp 下的,但是在使用之前还是仔细核对下规则

已经对 金山卫士,QQ ,QQ旋风,QQ影音,QQ拼音输入法,百度影音,office2003,chrome,photoshop cs6,winrar排除


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5魅力 +1 人气 +5 收起 理由
心跳回忆 + 1 + 1 感谢提供分享
蓝核 + 1
shiyuelaohu + 1 版区有你更精彩: )
qpzmggg999 + 1 还有一点
墨池 + 1 版区有你更精彩: )

查看全部评分

墨池
发表于 2013-8-11 15:57:33 | 显示全部楼层
本帖最后由 墨池 于 2013-8-11 15:59 编辑

《防病毒爆发控制》

规则名称:将所有共享项设为只读(The Virus-Outbreak Control Of File Access;未开启备用)
要包含的进程:system:remote
要排除的进程:consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe

#该规则为“防病毒爆发控制:全局文件控制”,默认未开启;如需,将“system:remote”改为“*”;并自行添加排除


规则名称:阻止对所有共享资源的读写访问 (The Control Of Virus-Outbreak;紧急时用规则,非必要不启用)
要包含的进程:system:remote
要排除的进程:atieclxx.exe, atiesrxx.exe, AUDIODG.EXE, conhost.exe, consent.exe, csrss.exe, Dllhost.exe, DrvInst.exe, Dwm.exe, EntVUtil.EXE, explorer.exe, FrameworkService.exe, LogonUI.exe, lsass.exe, lsm.exe, mcconsol.exe, McScanCheck.exe, McScript_InUse.exe, McTray.exe, MCUPDATE.EXE, mmc.exe, msconfig.exe, mspaint.exe, notepad.exe, perfmon.exe, PING.EXE, regedit.exe, SCAN64.EXE, ScnCfg32.Exe, services.exe, shcfg32.exe, shstat.exe, smss.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, taskmgr.exe, UdaterUI.exe, userinit.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, WORDPAD.EXE, wuauclt.exe, WUDFHost.exe

请检查一下,要包含的进程:system:remote
对不对,我觉得应该是要包含的进程:*
如果是system:remote就不需要排除,因为system:remote只是system:remote,不包含其它任何进程。

评分

参与人数 2经验 +5 人气 +1 收起 理由
心跳回忆 + 5 感谢解答: )
jml521m + 1 感谢指正,但我认为这样对新手来说比较妥当

查看全部评分

qpzmggg999
发表于 2013-8-11 16:41:54 | 显示全部楼层
墨池 发表于 2013-8-11 15:57
《防病毒爆发控制》

规则名称:将所有共享项设为只读(The Virus-Outbreak Control Of File Access;未开 ...

#该规则为“防病毒爆发控制:全局文件控制”,默认未开启;如需,将“system:remote”改为“*”;并自行添加排除
qpzmggg999
发表于 2013-8-11 16:42:49 | 显示全部楼层
第一行 叶知不是书 是人好吧
ldkvfeng
发表于 2013-8-11 19:25:24 | 显示全部楼层
晕没给出规则哦
还有适用的系统是什么?
jml521m
 楼主| 发表于 2013-8-11 20:31:53 | 显示全部楼层
墨池 发表于 2013-8-11 15:57
《防病毒爆发控制》

规则名称:将所有共享项设为只读(The Virus-Outbreak Control Of File Access;未开 ...

我的理解是这样的. 默认的次俩条规则是不启用的,即使启用了,那么也不会拦截 (主要是针对新手).必要时改为*那么同样的不需要排除,因为已经有包含的进程了...  就是这个意思...
jml521m
 楼主| 发表于 2013-8-11 20:33:21 | 显示全部楼层
qpzmggg999 发表于 2013-8-11 16:42
第一行 叶知不是书 是人好吧

人不在,那么他的规则就以书名来定.... 代表的一样是作者....
jml521m
 楼主| 发表于 2013-8-11 20:36:56 | 显示全部楼层
ldkvfeng 发表于 2013-8-11 19:25
晕没给出规则哦
还有适用的系统是什么?

  规则有,但是我希望新手,还是仔细品读规则....因为包含太多,如果不仔细看,那么完全正握不了其中的要害...      并且我已经在规则前已经说明...规则是早就公布的,导入注册表的规则 也是早就公布过的...  看看规则就知道系统是适用与所有的系统...
ldkvfeng
发表于 2013-8-11 21:31:41 | 显示全部楼层
jml521m 发表于 2013-8-11 20:36
规则有,但是我希望新手,还是仔细品读规则....因为包含太多,如果不仔细看,那么完全正握不了其中的要 ...

我有你那个包 想起来了饿哈谢谢
墨池
发表于 2013-8-12 12:07:02 | 显示全部楼层
本帖最后由 墨池 于 2013-8-12 12:11 编辑

谈谈我对叶知自定义规则的理解吧!

#I、可执行控制(部分)

1、规则名称:The Access Control Of Executable Regions
要包含的进程:*
要排除的进程:C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:执行

#如必要,自行在“要排除的进程”添加其他程序执行区域(使用文件夹统配排除)
-------------------------------------------------------------------------------------------------------------------
这和全局禁运规则效果一样。任何exe文件想要运行,都必须调用dll文件,否则无法运行。所以,控制了对dll的执行权,就控制了所有exe文件。规则采用信任区方式排除,省去排除的麻烦,又防止了非信任区域文件运行,可以省略大量U盘、根目录、用户文件夹、非系统盘等类型的规则。


#II、病毒入侵控制(部分)

2、规则名称:The Virus-Access Control Of Executable Files-DLL
要包含的进程:*
要排除的进程:FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名:*.dll
要禁止的文件操作:创建 写入
-------------------------------------------------------------------------------------
这个规则的初衷是防白加黑的,但效果不理想,因为白加黑正常情况是随着某些游戏补丁安装进入本机的,不停用此规则,无法安装,停用规则,病毒就进来了,而且进入到信任区,就防不了了。所以特殊样本需要人脑和习惯,规则并防不了。这个规则作为入口规则之一才是其真正的价值。


#III、文件控制(部分)

3、规则名称:The File Control Of System Area
要包含的进程:*
要排除的进程:DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名:C:\Windows\**
要禁止的文件操作:创建 写入 删除

#尽量,不排除非系统进程
------------------------------------------------------------------
这个是系统文件保护规则,目的是防止未知文件(未排除的文件)修改系统文件夹内的任何文件,在非软件安装和重大系统更新的情况下,防病毒爆发非常有效,而且强大。

#Ⅳ 、后补监听
  
4、规则名称:The Monitor Control Of ExFile Area-EXE/EXE文件监听控制(仅报告,不启用)
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*.exe(可根据需要,自行添加“*.bat, *.cmd, *.com, *.cpl, *.js, *.jse, *.msc, *.msi, *.msp, *.vbs, *.vbe, *.wsf, *.wsh,*.dll”)
要禁止的文件操作:创建 写入
(此条监控加自定义规则2,以及默认规则“防病毒爆发控制”使用,紧急时查看被修改,当然也可以对“注册表”监听)
-----------------------------------------------------------------------------------------------------------------------------------------------
这个是入口防御规则,实际上由多条规则组合而成。监听,是为了不影响日常使用,又能时刻清楚指导何时谁创建和修改了哪些可执行文件,一旦发现有病毒进入,可以立即处理。这个使用起来对电脑知识的要求更高,看似简单,实际应用比较麻烦。不如直接启用,做好排除,浏览器、下载工具不排除,下载相关文件时临时停用,这样更简单,实际也更保险。

总之,这几条规则抓住dll文件、系统文件、可执行文件这几个关键,对于防止病毒进入和爆发,都做到了很好的防御,是非常优秀而简洁的规则。

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 感谢解答: )

查看全部评分

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 10:31 , Processed in 0.148407 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表