菜鸟专用规则（短小，强悍，有备无患）

jml521m

首先声明，此套规则的版权不是我，而是“叶知”.... 包括版区好多重要的测试也是出自此手....

其实有好多好的规则在不被人所发现了解的情况下被遗忘是一件，挺可惜的事情。。。。
此版本的规则只需要对3，进行排除，系统默认的规则要排除的有俩条，“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”，“保护缓存文件免受密码和电子邮件地址窃贼的攻击”  我一直以来的观点是配合国产的卫士使用，但排除数字，因为不“和谐”...   默认规则下IE 不能使用 需修改，我很早以前修改过此版本的规则...但是不希望被套用...需要的话自己添加...

#I、可执行控制（部分）

1、规则名称：The Access Control Of Executable Regions
要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：执行

#如必要，自行在“要排除的进程”添加其他程序执行区域（使用文件夹统配排除）


#II、病毒入侵控制（部分）

2、规则名称：The Virus-Access Control Of Executable Files-DLL
要包含的进程：*
要排除的进程：FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：创建 写入


#III、文件控制（部分）

3、规则名称：The File Control Of System Area
要包含的进程：*
要排除的进程：DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：创建 写入 删除

#尽量，不排除非系统进程

#Ⅳ 、后补监听
  
4、规则名称：The Monitor Control Of ExFile Area-EXE/EXE文件监听控制（仅报告，不启用）
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：*.exe（可根据需要，自行添加“*.bat, *.cmd, *.com, *.cpl, *.js, *.jse, *.msc, *.msi, *.msp, *.vbs, *.vbe, *.wsf, *.wsh，*.dll”）
要禁止的文件操作：创建 写入
（此条监控加自定义规则2，以及默认规则“防病毒爆发控制”使用，紧急时查看被修改，当然也可以对“注册表”监听详细查看叶知第六版规则...http://bbs.kafan.cn/forum.php?mo ... rtype=1#pid23836934）

---

【默认规则部分】


《防间谍程序标准保护》

规则名称：保护Internet Explorer收藏夹和设置
要包含的进程：*
要排除的进程：explorer.exe, iexplore.exe, mmc.exe, poqexec.exe, rundll32.exe, runonce.exe, sdiagnhost.exe, svchost.exe, taskmgr.exe, TrustedInstaller.exe, wmplayer.exe

《防间谍程序最大保护》

规则名称：禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程：*
要排除的进程：TrustedInstaller.exe(自行添加清理软件进程)

规则名称：禁止所有程序从 Temp 文件夹运行文件
要包含的进程：*
要排除的进程：mscorsvw.exe, wmplayer.exe, McScanCheck.exe

规则名称：禁止从 Temp 文件夹执行脚本
要包含的进程：?script.exe
要排除的进程：无

《防病毒标准保护》

规则名称：禁止禁用注册表编辑器和任务管理器
要包含的进程：*
要排除的进程：无

规则名称：禁止更改用户权限策略
要包含的进程：*
要排除的进程：lsass.exe, svchost.exe

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：system:remote
要排除的进程：无

#如将“system:remote”更改为“*”；该规则能够替代：The Virus-Access Control Of Executable Files-DLL 与 The File Control Of System Area ，以及其他更多的控制（如，“.exe”的创建）


规则名称：禁止远程创建自动运行文件
要包含的进程：system:remote
要排除的进程：无

规则名称：禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程：*
要排除的进程：无

规则名称：禁止伪装 Windows 进程
要包含的进程：*
要排除的进程：poqexec.exe, svchost.exe, TrustedInstaller.exe

规则名称：禁止群发邮件蠕虫发送邮件
要包含的进程：*
要排除的进程：无

规则名称：禁止 IRC 通信
要包含的进程：*
要排除的进程：无

规则名称：禁止使用 tftp.exe
要包含的进程：*
要排除的进程：无

《防病毒最大保护》

规则名称：禁止 Svchost 执行非 Windows 可执行文件
要包含的进程：svchost.exe
要排除的进程：无

规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：DllHost.exe, explorer.exe, FrameworkService.exe, iexplore.exe, LogonUI.exe, rasautou.exe, rundll32.exe, svchost.exe, wmplayer.exe

规则名称：禁止更改所有文件扩展名的注册
要包含的进程：*
要排除的进程：explorer.exe(自行添加清理软件进程)

规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：DllHost.exe, explorer.exe, FrameworkService.exe, helppane.exe, iexplore.exe, McScanCheck.exe, mmc.exe, powercfg.exe, rundll32.exe, svchost.exe, TrustedInstaller.exe, UdaterUI.exe, wmplayer.exe, wmpnetwk.exe

《防病毒爆发控制》

规则名称：将所有共享项设为只读(The Virus-Outbreak Control Of File Access；未开启备用)
要包含的进程：system:remote（包含进程设为此主要是针对新手，即使勾选也不影响正常的使用）
要排除的进程：consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe

#该规则为“防病毒爆发控制：全局文件控制”，默认未开启；如需，将“system:remote”改为“*”；并自行添加排除


规则名称：阻止对所有共享资源的读写访问 (The Control Of Virus-Outbreak;紧急时用规则,非必要不启用)
要包含的进程：system:remote（包含进程设为此主要是针对新手，即使勾选也不影响正常的使用）
要排除的进程：atieclxx.exe, atiesrxx.exe, AUDIODG.EXE, conhost.exe, consent.exe, csrss.exe, Dllhost.exe, DrvInst.exe, Dwm.exe, EntVUtil.EXE, explorer.exe, FrameworkService.exe, LogonUI.exe, lsass.exe, lsm.exe, mcconsol.exe, McScanCheck.exe, McScript_InUse.exe, McTray.exe, MCUPDATE.EXE, mmc.exe, msconfig.exe, mspaint.exe, notepad.exe, perfmon.exe, PING.EXE, regedit.exe, SCAN64.EXE, ScnCfg32.Exe, services.exe, shcfg32.exe, shstat.exe, smss.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, taskmgr.exe, UdaterUI.exe, userinit.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, WORDPAD.EXE, wuauclt.exe, WUDFHost.exe

#该规则为病毒感染系统后的控制备用规则；默认不开启；到紧急需用时，将“system:remote”改为“*”；且，不能够修改排除


《通用标准保护》

规则名称：禁止修改 McAfee 文件和设置
要包含的进程：*
要排除的进程：FrameworkService.exe, services.exe

规则名称：禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程：*
要排除的进程：FrameworkService.exe, services.exe

规则名称：禁止修改 McAfee 扫描引擎文件和设置
要包含的进程：*
要排除的进程：FrameworkService.exe

规则名称：保护 Mozilla 及 FireFox 文件和设置
要包含的进程：*
要排除的进程：

规则名称：保护 Internet Explorer 设置
要包含的进程：*
要排除的进程：iexplore.exe

规则名称：禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程：*
要排除的进程：自行添加清理软件进程

规则名称：保护网络设置
要包含的进程：*
要排除的进程：svchost.exe

规则名称：禁止公用程序从 Temp 文件夹运行文件（仅报告，不启用）
要包含的进程：mscorsvw.exe, wmplayer.exe, McScanCheck.exe（该部分，同步“禁止所有程序从 Temp 文件夹运行文件”的排除）

#监听“禁止所有程序从 Temp 文件夹运行文件”


规则名称：在 Internet Explorer 中禁用 HCP URL
要包含的进程：iexplore.exe, wmplayer.exe
要排除的进程：无

规则名称：Prevent hooking of McAfee processes
要包含的进程：*
要排除的进程：无

规则名称：防止终止 McAfee 进程
要包含的进程：*
要排除的进程：FrameworkService.exe, lsm.exe

《通用最大保护》

规则名称：禁止将程序注册为自动运行
要包含的进程：*
要排除的进程：winsat.exe

规则名称：禁止将程序注册为服务
要包含的进程：*
要排除的进程：DllHost.exe, DrvInst.exe, explorer.exe, mmc.exe, SearchIndexer.exe, services.exe, sppsvc.exe, svchost.exe, TrustedInstaller.exe, vssvc.exe, wbengine.exe

规则名称：禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：mscorsvw.exe, poqexec.exe, taskhost.exe, TrustedInstaller.exe

规则名称：禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：FrameworkService.exe, poqexec.exe, TrustedInstaller.exe

规则名称：禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程：iexplore.exe
要排除的进程：

规则名称：禁止 FTP 通信
要包含的进程：*
要排除的进程：McScript_InUse.exe

规则名称：禁止 HTTP 通信
要包含的进程：*
要排除的进程：iexplore.exe, McScript_InUse.exe, mscorsvw.exe, rundll32.exe, svchost.exe, WerFault.exe, wermgr.exe

像了许久还是共享下导出的注册表规则。。。

windows7x86的以前已经公布，现在提供xp 下的，但是在使用之前还是仔细核对下规则

已经对 金山卫士，QQ ，QQ旋风，QQ影音，QQ拼音输入法，百度影音，office2003，chrome，photoshop cs6，winrar排除

墨池

《防病毒爆发控制》

规则名称：将所有共享项设为只读(The Virus-Outbreak Control Of File Access；未开启备用)
要包含的进程：system:remote
要排除的进程：consent.exe, DeviceDisplayObjectProvider.exe, DllHost.exe, DrvInst.exe, explorer.exe, FlashUtil*ActiveX.exe, FrameworkService.exe, iexplore.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, McTray.exe, mmc.exe, mscorsvw.exe, mspaint.exe, NotePad.exe, perfmon.exe, poqexec.exe, powercfg.exe, regedit.exe, rundll32.exe, runonce.exe, sdclt.exe, SearchIndexer.exe, services.exe, setup_wm.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, UdaterUI.exe, utilman.exe, wbengine.exe, WerFault.exe, wermgr.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmplayer.exe, wmpnetwk.exe, wmpnscfg.exe, WordPad.exe, wuapp.exe, wuauclt.exe

#该规则为“防病毒爆发控制：全局文件控制”，默认未开启；如需，将“system:remote”改为“*”；并自行添加排除


规则名称：阻止对所有共享资源的读写访问 (The Control Of Virus-Outbreak;紧急时用规则,非必要不启用)
要包含的进程：system:remote
要排除的进程：atieclxx.exe, atiesrxx.exe, AUDIODG.EXE, conhost.exe, consent.exe, csrss.exe, Dllhost.exe, DrvInst.exe, Dwm.exe, EntVUtil.EXE, explorer.exe, FrameworkService.exe, LogonUI.exe, lsass.exe, lsm.exe, mcconsol.exe, McScanCheck.exe, McScript_InUse.exe, McTray.exe, MCUPDATE.EXE, mmc.exe, msconfig.exe, mspaint.exe, notepad.exe, perfmon.exe, PING.EXE, regedit.exe, SCAN64.EXE, ScnCfg32.Exe, services.exe, shcfg32.exe, shstat.exe, smss.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, taskmgr.exe, UdaterUI.exe, userinit.exe, wininit.exe, winlogon.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, WORDPAD.EXE, wuauclt.exe, WUDFHost.exe

请检查一下，要包含的进程：system:remote
对不对，我觉得应该是要包含的进程：*
如果是system:remote就不需要排除，因为system:remote只是system:remote，不包含其它任何进程。

qpzmggg999

墨池 发表于 2013-8-11 15:57
《防病毒爆发控制》

规则名称：将所有共享项设为只读(The Virus-Outbreak Control Of File Access；未开 ...

#该规则为“防病毒爆发控制：全局文件控制”，默认未开启；如需，将“system:remote”改为“*”；并自行添加排除

qpzmggg999

第一行 叶知不是书 是人好吧

ldkvfeng

晕没给出规则哦
还有适用的系统是什么?

jml521m

墨池 发表于 2013-8-11 15:57
《防病毒爆发控制》

规则名称：将所有共享项设为只读(The Virus-Outbreak Control Of File Access；未开 ...

我的理解是这样的. 默认的次俩条规则是不启用的，即使启用了，那么也不会拦截 (主要是针对新手).必要时改为*那么同样的不需要排除，因为已经有包含的进程了...  就是这个意思...

jml521m

qpzmggg999 发表于 2013-8-11 16:42
第一行 叶知不是书 是人好吧

人不在，那么他的规则就以书名来定.... 代表的一样是作者....

jml521m

ldkvfeng 发表于 2013-8-11 19:25
晕没给出规则哦
还有适用的系统是什么?

  规则有，但是我希望新手，还是仔细品读规则....因为包含太多，如果不仔细看，那么完全正握不了其中的要害...      并且我已经在规则前已经说明...规则是早就公布的，导入注册表的规则 也是早就公布过的...  看看规则就知道系统是适用与所有的系统...

ldkvfeng

jml521m 发表于 2013-8-11 20:36
规则有，但是我希望新手，还是仔细品读规则....因为包含太多，如果不仔细看，那么完全正握不了其中的要 ...

我有你那个包 想起来了饿哈谢谢

墨池

谈谈我对叶知自定义规则的理解吧！

#I、可执行控制（部分）

1、规则名称：The Access Control Of Executable Regions
要包含的进程：*
要排除的进程：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：执行

#如必要，自行在“要排除的进程”添加其他程序执行区域（使用文件夹统配排除）
-------------------------------------------------------------------------------------------------------------------
这和全局禁运规则效果一样。任何exe文件想要运行，都必须调用dll文件，否则无法运行。所以，控制了对dll的执行权，就控制了所有exe文件。规则采用信任区方式排除，省去排除的麻烦，又防止了非信任区域文件运行，可以省略大量U盘、根目录、用户文件夹、非系统盘等类型的规则。


#II、病毒入侵控制（部分）

2、规则名称：The Virus-Access Control Of Executable Files-DLL
要包含的进程：*
要排除的进程：FrameworkService.exe, mscorsvw.exe, poqexec.exe, svchost.exe, TrustedInstaller.exe
要阻止的文件或文件夹名：*.dll
要禁止的文件操作：创建 写入
-------------------------------------------------------------------------------------
这个规则的初衷是防白加黑的，但效果不理想，因为白加黑正常情况是随着某些游戏补丁安装进入本机的，不停用此规则，无法安装，停用规则，病毒就进来了，而且进入到信任区，就防不了了。所以特殊样本需要人脑和习惯，规则并防不了。这个规则作为入口规则之一才是其真正的价值。


#III、文件控制（部分）

3、规则名称：The File Control Of System Area
要包含的进程：*
要排除的进程：DrvInst.exe, lsass.exe, makecab.exe, mcbuilder.exe, McScanCheck.exe, mmc.exe, mscorsvw.exe, mspaint.exe, poqexec.exe, powercfg.exe, rundll32.exe, sdclt.exe, services.exe, spoolsv.exe, sppsvc.exe, svchost.exe, System, taskhost.exe, TrustedInstaller.exe, utilman.exe, wbengine.exe, winsat.exe, WMIADAP.exe, wmiprvse.exe, wmpnetwk.exe, wuauclt.exe
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：创建 写入 删除

#尽量，不排除非系统进程
------------------------------------------------------------------
这个是系统文件保护规则，目的是防止未知文件（未排除的文件）修改系统文件夹内的任何文件，在非软件安装和重大系统更新的情况下，防病毒爆发非常有效，而且强大。

#Ⅳ 、后补监听
  
4、规则名称：The Monitor Control Of ExFile Area-EXE/EXE文件监听控制（仅报告，不启用）
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：*.exe（可根据需要，自行添加“*.bat, *.cmd, *.com, *.cpl, *.js, *.jse, *.msc, *.msi, *.msp, *.vbs, *.vbe, *.wsf, *.wsh，*.dll”）
要禁止的文件操作：创建 写入
（此条监控加自定义规则2，以及默认规则“防病毒爆发控制”使用，紧急时查看被修改，当然也可以对“注册表”监听）
-----------------------------------------------------------------------------------------------------------------------------------------------
这个是入口防御规则，实际上由多条规则组合而成。监听，是为了不影响日常使用，又能时刻清楚指导何时谁创建和修改了哪些可执行文件，一旦发现有病毒进入，可以立即处理。这个使用起来对电脑知识的要求更高，看似简单，实际应用比较麻烦。不如直接启用，做好排除，浏览器、下载工具不排除，下载相关文件时临时停用，这样更简单，实际也更保险。

总之，这几条规则抓住dll文件、系统文件、可执行文件这几个关键，对于防止病毒进入和爆发，都做到了很好的防御，是非常优秀而简洁的规则。