不知道这样写规则能不能阻止DLL型木马利用系统进程启动

jxfaiu

墨家小子 发表于 2013-11-5 09:41
这样分成两条排除会不会麻烦点？

易用与安全是相互矛盾的；

系统Windows下的写入 创建 删除严加控制，排除量很小；规则不是见红就排除的，不影响使用绝不排除；

本人部分规则排除：
《防病毒标准保护》

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程：*
要排除的进程：*\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\program files\malware defender\malwaredefender.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\Thunder Network\Thunder\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡

《防病毒最大保护》

规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\svchost.exe
阻挡、报告

规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：C:\Program Files\64magaoqian 2.4.2\cntv.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\System32\svchost.exe
阻挡

墨家小子

jxfaiu 发表于 2013-11-5 09:46
易用与安全是相互矛盾的；

系统Windows下的写入 创建 删除严加控制，排除量很小；规则不是见红就排除 ...

最好就是一条规则，别的全不要

jxfaiu

墨家小子 发表于 2013-11-5 11:32
最好就是一条规则，别的全不要

一条规则最好绝对途径排除;

墨家小子

jxfaiu 发表于 2013-11-5 11:48
一条规则最好绝对途径排除;

太费事 我先用的这条规则

封锁非信任区_文件
要包含的进程：*
要排除的进程：*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramData\**,  C:\Windows\**, System
要阻止的文件或文件夹名：C:\Windows\**
要禁止的文件操作：ALL

等有木马突破它再说

不行再加一条规则

封锁非信任区_注册表
要包含的进程：*
要排除的进程：*\**\Program Files (x86)\**, *\**\Program Files\**, C:\ProgramData\**,  C:\Windows\**, System
要保护的注册表项或注册表值：HKALL /**
要保护的注册表项或注册表值：项
要阻止的注册表操作：ALL

jml521m

墨家小子 发表于 2013-11-5 13:09
太费事 我先用的这条规则

封锁非信任区_文件

   注册表改为/** 全局防御也无妨。。。。

墨家小子

jml521m 发表于 2013-11-5 13:56
注册表改为/** 全局防御也无妨。。。。

HKALL   这个不是全部吗

jml521m

墨家小子 发表于 2013-11-5 14:57
HKALL   这个不是全部吗

看错了......嘿嘿

墨家小子

jml521m 发表于 2013-11-5 20:01
看错了......嘿嘿

打PP