本帖最后由 墨家小子 于 2013-11-4 10:30 编辑
前提是不禁止所有程序从 Temp 文件夹运行文件
原规则错误,根据12楼shiyuelaohu的意见改写成:
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:rundll32.exe
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:regsvr32.exe
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\system32\**
阻止:java.exe
其他exe木马利用exe规则阻挡运行,具体参见:咖啡豆绝配:墨池McAfee8.8 P2返璞规则(附墨池COMODO 5X通用规则)其中的“规则名称:06 封锁exe”
最后,拦截这种类型的木马利用rundll32.exe,regsvr32.exe,java.exe启动并写入注册表自启动,添加这样一条规则:
规则名称:阻止木马利用系统进程写入注册表自启动
要包含的进程:rundll32.exe
要排除的进程:
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除
要包含的进程:regsvr32.exe
要排除的进程:
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除
要包含的进程:java.exe
要排除的进程:
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除
又或者这样是不是更干脆
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**
阻止:C:\Windows\**
包含:*
排除:*\**\Program Files (x86)\**, *\**\Program Files\**,C:\Windows\**
保护的注册表项或注册表值:HKALL /**
保护的注册表项或注册表值:项
阻止的注册表操作:写入 创建 删除 |