本帖最后由 jxfaiu 于 2014-3-3 22:33 编辑
字节不够可采用两条规则绝对途径错位排除;控制读取、执行最好是绝对途径(万一恶意进入信任区过了COMODO那就杯具啦)
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:*\C:\WINDOWS\**.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeePro5.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeeQVPro5.exe, C:\Program Files\ACD Systems\ACDSee Pro\6.0\ACDSeePro6.exe, C:\Program Files\ACD Systems\ACDSee Pro\6.0\ACDSeePro6InTouch2.exe, C:\Program Files\ACD Systems\ACDSee Pro\6.0\ACDSeeQVPro6.exe, C:\Program Files\ACD Systems\ACDSee\5.0\ACDSee5.exe, C:\Program Files\ACD Systems\ACDSee\6.0\ACDSee6.exe, C:\Program Files\ACD Systems\FotoCanvas\2.0\FotoCanvas2.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat Elements\Acrobat Elements.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Acrobat.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\AcroDist.exe, c:\program files\adobe\acrobat 11.0\acrobat\acrord32.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\AcroTray.exe, C:\Program Files\AutoCAD 2004\acad.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\Common Files\ACD Systems\IDBSvr.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe, C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\GameChannel\GameHall.exe, C:\Program Files\GameChannel\sndz\sndz.exe, C:\Program Files\GameChannel\sumk\sumk.exe, C:\Program Files\Google\chrome\chrome.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Jetico\Jetico Personal Firewall\jpf.exe, C:\Program Files\Jetico\Jetico Personal Firewall\jpfsrv.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\Common Framework\naPrdMgr.exe, C:\Program Files\McAfee\Common Framework\udaterui.exe, C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe, C:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, C:\Program Files\Microsoft Office\Office12\EXCEL.EXE, C:\Program Files\Microsoft Office\Office12\WINWORD.EXE, C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe, C:\Program Files\MSN Gaming Zone\Windows\chkrzm.exe, C:\Program Files\MSN Gaming Zone\Windows\hrtzzm.exe, C:\Program Files\MSN Gaming Zone\Windows\Rvsezm.exe, C:\Program Files\MSN Gaming Zone\Windows\shvlzm.exe, C:\Program Files\MSN Gaming Zone\Windows\zclientm.exe, C:\Program Files\Program\ThunderPlatform.exe, C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe, C:\Program Files\Tencent\TM2008\Bin\TM.exe, C:\Program Files\The KMPlayer\KMPlayer.exe, C:\Program Files\Thunder\Thunder\Program\Thunder.exe, C:\Program Files\Thunder\Thunder\Program\ThunderPlatform.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Program Files\WinRAR\WinRAR.exe
阻挡、报告
规则名称:The Access Control Of Of Script Files全局访问控制
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\csrss.exe,*\C:\WINDOWS\system32\winlogon.exe,
C:\Program Files\**.exe,C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\freecell.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mpnotify.exe, C:\WINDOWS\system32\mshearts.exe, C:\WINDOWS\system32\msiexec.exe, C:\WINDOWS\system32\narrator.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\runonce.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\shmgrate.exe, C:\WINDOWS\system32\SNDVOL32.EXE, C:\WINDOWS\system32\spider.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名:**
要禁止的文件操作: 读取 执行
阻挡、报告 |
楼主: qftest
[复制链接]
发表于 2014-3-3 16:09:41
楼主
我前面记错啦
我觉得这两个意思间有着很微妙的区别,以至于我之前记错了,具体的区别在哪里恐怕要多跑几个样本观察或者查官方资料才能弄清楚
其实我最早编辑规则时全部都是纯路径,排除量那叫一个大啊。。最后发现排除系统程序后工作量少得可怜,就偷懒了,只是不敢排除C:\Program Files*\**这种样子的。。
C:\Windows\**.exe = C:\Windows\*.exe + C:\Windows\System32\*.exe + C:\windows\SysWOW64\*.exe + C:\Windows\**\*.exe 么?