楼主: 柯林
收起左侧

[其他相关] (安全与易用之间的平衡)麦咖啡柯式简易规则【可以安装软件的规则】

[复制链接]
ldkvfeng
发表于 2014-6-22 21:00:18 | 显示全部楼层
出加强版了啊
请问预计测试版还有几个版本
♂触碰※灵魂㊣
发表于 2014-6-22 21:08:23 | 显示全部楼层
虽然现在不用vse 但是感谢楼主分享
柯林
 楼主| 发表于 2014-6-22 21:36:33 | 显示全部楼层
ldkvfeng 发表于 2014-6-22 21:00
出加强版了啊
请问预计测试版还有几个版本

没有多少,就一个基本的,一个加强的
现在我弄的是加强的,弄好么,砍掉一部分,就是个中度的,再砍掉一部分,只保留最基本的,就是初步规则,基本上就三个等级吧,喜欢什么程度的自选

算是无聊吧,探索一下可以防毒又能安装程序的规则,顺便还能拿点高分,这就是加强版的由来。
我重新上传下加强版,现在基本可以安装一般普通的软件了,优化么慢慢来。
zpf94
发表于 2014-6-22 22:27:13 | 显示全部楼层
千呼万唤始出来。柯大辛苦了求文字版或者截图也行
柯林
 楼主| 发表于 2014-6-23 10:22:07 | 显示全部楼层
本帖最后由 柯林 于 2014-6-23 10:25 编辑
zpf94 发表于 2014-6-22 22:27
千呼万唤始出来。柯大辛苦了求文字版或者截图也行


这个其实也没什么新意,就是一个思想而已,发出来也只是交流下。
程序安装,一般常见的形式,是在AppData里创建exe或tmp文件,由它们往目标位置创建文件,这就是安装过程。再算上安装源(程序安装包)的行为,总的也就是两处,允许这两处(AD+FD+RD),就可以顺利安装软件了(把这两处加入排除列表,跟你允许排除*\**\Program Files\**之类是一样的道理,你只是放了指定的位置,并没有放其他地方,安全保障有依据【要让安全保障真正有依据,你需要保障你放开的这两个地方扎实可靠,不让“不良分子”混入,就OK了】。
实现这个思想,实际只需做两件事:一个是把可信的安装包归集在一个文件夹里,然后把这个文件夹以路径方式排除在相关规则里;另一个是把AppData里的可执行文件,以白名单的方式,排除在相关规则里。
这也就是说,不管你采用哪种规则,使用哪种形式的防御,不管你规则架构如何(无论它是宽是严),你只要把这个思想放到你的规则里,你的规则也就摇身一变,成了可以安装软件的规则,只要你需要,你随时都可以这么做。

这里顺便说下,个人对“安全的不易用,易用的不安全”以及“能够安装软件的规则没什么安全性可言”之类的“定论”,抱持怀疑态度。事实上,允许程序安装,从思维逻辑方面,你换个角度来看,也就相当于是你允许program files下的一个文件夹内的程序的行为,既然你允许Program Files下的程序没有事,这个又事从何来?如果说,你能保证Program Files里的程序可靠,没有事,那么,同样的道理,你保证这两个与程序安装有关的地方,它里面的程序可靠,也就一样的没事。这就是可以实现安全与易用的平衡,在规则开启的情况下,可以安装卸载更新的依据,从逻辑到事实,都证明这是成立的,它本来就符合规则防御的理念和原则:授权开放的地方允许,没被授权的地方阻止。

============================================================
现在上班,晚上回去我把主要的几个整理了贴给你。
zpf94
发表于 2014-6-23 20:36:01 | 显示全部楼层
柯林 发表于 2014-6-23 10:22
这个其实也没什么新意,就是一个思想而已,发出来也只是交流下。
程序安装,一般常见的形式,是在AppD ...

非常感谢
柯林
 楼主| 发表于 2014-6-23 21:44:43 | 显示全部楼层
本帖最后由 柯林 于 2014-6-25 19:50 编辑


实现安装,最关键的一条,就是全局exe控制(为的是区分开授权与非法)-所有的行为都是从exe开始的(整个FD操作链的源头)。排除名单里,只需排除安装位置、系统更新位置之类即可(为了求取安全,对这些东东尽量以路径的方式来加以限制)。
名称:全局exe控制
包含:*.*
排除:安装源,释放到用户目录里的安装程序,已安装软件的更新及卸载程序,解压软件(如果你想从压缩包里解压出exe),安全防护软件,系统更新及安装相关程序,浏览器和下载工具(如果你想使用它们从网站下载exe格式的安装包)
目标:**.exe
阻止:创建,写入
------------------------------------------------------------------------------------------------------
首先是安装源,假设你把可信的安装包放在C盘的SafeSetupFiles里,“全局exe控制”里排除C:\SafeSetupFiles\*.exe【如果你想把程序安装到windows里,“通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件”,排除它;如果想把程序安装到program files里,“通用最大保护-禁止在 Program Files 文件夹中创建新的可执行文件”,排除它(实际上,如果这两条,你用的是默认的排除名单,就不用管了,因为安装程序一般是setup之类额名字,默认排除列表里已经包含这些文件名;安装源直接往windows或program files里倾泻文件的情形貌似不多见,一般是先释放到用户目录的Temp里,再从那里开始安装,看日志调整吧】

释放到用户目录里的安装程序,初步测试获得的名单有:*\**\AppData\Local\Adobe\install_flash_player.exe, *\**\AppData\Local\Temp\*.tmp\*Setup.tmp, *\**\AppData\Local\Temp\*.tmp\*Setup.exe, *\**\AppData\Local\Temp\*.tmp\Setup*.exe, *\**\AppData\Local\Temp\*.tmp\Setup*.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe,*\**\AppData\Roaming\**\*Installer.exe,请把它们添加在“全局exe控制”里,【如果“通用最大保护”里,“禁止在 Windows 文件夹中创建新的可执行文件”和禁止在 Program Files 文件夹中创建新的可执行文件”这两条你用的默认名单,一般不用管,如果你清空了自己制定,就需要把它们添加进去】

解压缩软件,根据你自己用的软件添加吧,比如我用的是:C:\Program Files\WinRAR\WinRAR.exe【这个就不要添加到通用最大保护的那两条规则里了,可以避免rar直接解压exe到那些地方】

安全防护软件,根据你自己的实情添加,如果你只用了麦咖啡的,就排除咖啡的:C:\Program Files\Common Files\McAfee\SystemCore\*.exe,C:\Program Files\McAfee\**\*.exe

系统更新及安装相关程序,已知的有:svchost.exe(这个是直接两上更新服务器下载补丁的宿主程序,如果你开启了默认规则中的”禁止假冒系统文件“,它和explorer.exe等开机常驻进程受那条规则的保护,无法在任何地方创建、读取同名文件,这个就不用加路径了);C:\Windows\SoftwareDistribution\Download\**\*.exe(这个是存放补丁程序的地方),C:\windows\servicing\TrustedInstaller.exe(安装补丁时好像是由这个在执行的);C:\windows\system32\wuauclt.exe(这个是系统的更新程序);C:\windows\system32\msiexec.exe(安装msi文件用到这一个);C:\windows\system32\wininit.exe(这个是系统重启后,进入windows前,负责替换系统文件的);C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe(更新.NET FrameWork运行库的东东,更新后由它执行相关的编译操作吧);C:\windows\system32\dism.exe(系统更新重启后,这个会进行一些修改操作);ie-kb*.exe, kb*.exe这两个好像是默认规则里自带的,系统更新补丁,不知道去掉这两个,是否影响系统更新,如果不影响,就不要了
为了自己复制、粘贴、删除exe能够执行,需要排除Explorer.exe和C:\windows\system32\Dllhost.exe;另外系统开关机时,LogonUI.exe与winlogon.exe有个相互修改的动作,允许它们,开关机就不会磨磨蹭蹭的了,所以添加排除C:\windows\system32\LogonUI.exe和*\windows\system32\winlogon.exe

要让安装好的程序能够更新卸载,你需要允许它们的更新程序和卸载程序创建及修改exe,排除名单初步有:*\**\AppData\Roaming\**\uninst*.exe,C:\Users\Public\**\Uninstall.exe,C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, D:\Program Files\**\unins*.exe, D:\Program Files\**\updat*.exe

浏览器和下载工具,如果你想允许它们下载exe格式的安装包,就添加排除,不想的话,不用排除(这个最好是根据自己实情来拟定名单了,可供参考的名单有):*\**\AppData\Local\360Chrome\Chrome\Application\**\download\MiniThunderPlatform.exe, *\**\AppData\Local\360Chrome\Chrome\Application\360chrome.exe,C:\Program Files\Chrome\chrome.exe,C:\Program Files\Mozilla Firefox\firefox.exe, C:\Program Files\SogouExplorer\SogouExplorer.exe, *\**\AppData\Local\TheWorld*\Application\TheWorld.exe【为了避免它们把exe或病毒下载到系统目录或program files里,在通用最大保护的那两条规则里,请不要添加它们进去进行排除,另外为求进一步的安全,你可以另外写规则禁止它们创建exe到*\**\AppData\Local\Temp里,以及禁止它们运行temp里的程序(把它们的名字添加到”通用标准保护-禁止公用程序从 Temp 文件夹运行文件“的包含名单里】

基本上就这些,归集在一起是:*\**\AppData\Local\360Chrome\Chrome\Application\**\download\MiniThunderPlatform.exe, *\**\AppData\Local\360Chrome\Chrome\Application\360chrome.exe, *\**\AppData\Local\Adobe\install_flash_player.exe, *\**\AppData\Local\Temp\*.tmp\*Setup*.tmp, *\**\AppData\Local\Temp\*.tmp\*Setup.exe, *\**\AppData\Local\Temp\*.tmp\Setup*.exe, *\**\AppData\Local\Temp\*.tmp\Setup*.tmp, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, *\**\AppData\Local\TheWorld*\Application\TheWorld.exe, *\**\AppData\Roaming\**\*Installer.exe, *\**\AppData\Roaming\**\uninst*.exe, *\AppData\Roaming\**\Application\*.exe, *\AppData\Roaming\Thunder_*.exe, C:\Program Files (x86)\**\unins*.exe, C:\Program Files (x86)\**\updat*.exe, C:\Program Files\**\unins*.exe, C:\Program Files\**\updat*.exe, C:\Program Files\Chrome\chrome.exe, C:\Program Files\Common Files\McAfee\SystemCore\*.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\**\*.exe, C:\Program Files\Mozilla Firefox\firefox.exe, C:\Program Files\SogouExplorer\SogouExplorer.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Safe SetupFiles\*.exe, C:\Users\Public\**\Uninstall.exe, C:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, C:\windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\windows\system32\dism.exe, C:\windows\system32\Dllhost.exe, C:\windows\system32\LogonUI.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\wininit.exe, C:\windows\system32\wuauclt.exe, D:\Program Files\**\unins*.exe, D:\Program Files\**\updat*.exe, Explorer.exe, ie-kb*.exe, kb*.exe, svchost.exe, \??\windows\system32\winlogon.exe(这个只是基本名单,需要根据自己实情,安装卸载的过程中按日志修订补充,以便臻于完美)

如果你胆子够大(了解安全并非那么糟糕和贼精),或者不需要太精细,可以试着使用下面这个简化名单:*\**\AppData\**\*.exe, *\**\AppData\Local\Temp\*.tmp\*Setup*.tmp, *\**\Program Files*\**\unins*.exe, *\**\Program Files*\**\updat*.exe, *\**\Program Files\Chrome\chrome.exe, *\**\Program Files\Common Files\McAfee\SystemCore\*.exe, *\**\Program Files\Internet Explorer\iexplore.exe,*\**\Program Files\McAfee\**\*.exe, *\**\Program Files\Mozilla Firefox\firefox.exe, *\**\Program Files\SogouExplorer\SogouExplorer.exe, *\**\Program Files\WinRAR\WinRAR.exe, C:\Safe SetupFiles\*.exe, *\**\Users\Public\**\Uninstall.exe, *\**\windows\Microsoft.NET\Framework\v*\mscorsvw.exe, *\**\windows\servicing\TrustedInstaller.exe, *\**\Windows\SoftwareDistribution\Download\**\*.exe, *\**\windows\sys**\dism.exe, C:\windows\sys**\Dllhost.exe, *\**\windows\sys**\LogonUI.exe, *\**\windows\syst**\msiexec.exe, *\**\windows\sys**\wininit.exe, *\**\windows\sys**\wuauclt.exe, Explorer.exe, svchost.exe, *\**\windows\sys**\winlogon.exe

-------------------------------------------------------------------------
如果你对安全极其敏感,对于安装程序位置**\AppData\Local\Temp的保护与限制,可以用两种不同的方法来达成,一个是禁止非法程序写入这个位置(主要针对*\**\AppData\Local\Temp\*.tmp\*.tmp这一条),另一个是禁运temp(启用”防间谍最大保护-禁止所有程序从 Temp 文件夹运行文件,只在你需要安装软件的时候禁用此条)

主要的就是这一条(全局exe控制),如果你另外全局控制了dll之类,需要在它们里添加排除。

--------------------------------------------------------------------------------------
只要你知道这种处理方法,随便用哪个规则,把这个加上,一般来说,它就一样的可以安装卸载更新了。【如果其他规则,譬如默认规则中的一些规则,对安装卸载有影响,请酌情处理-不想排除的就挡着,觉得有必要放行的就排除】

自己抽时间打磨下,一套适合你用的简单而又有所强度的可以安装卸载更新的规则就ok了。

xinyu2003al
发表于 2014-6-24 16:05:31 | 显示全部楼层
进来学习一下!!
zpf94
发表于 2014-6-24 16:58:54 | 显示全部楼层
柯林 发表于 2014-6-23 21:44
实现安装,最关键的一条,就是全局exe控制(为的是区分开授权与非法)-所有的行为都是从exe开始的(整 ...

听柯大一言,犹如拨云雾而睹青天啊看来我要转换思路了 慢慢摸索 告别禁运党
柯林
 楼主| 发表于 2014-6-24 20:17:39 | 显示全部楼层
本帖最后由 柯林 于 2014-6-25 21:44 编辑

麦咖啡柯式简易规则初级版》文字版-默认规则(抄袭的邪版规则,略作修改,符合我心中的易用准则,盗之):
=========================================================================
《防间谍程序标准保护》

规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\**\AppData\Local\Adobe\install_flash_player.exe, *\**\AppData\Roaming\**\setup.exe, *\**\program files (86)\**, *\**\program files\**, *\**\windows\**, flux.exe, TheWorld.exe

(注释):排除名单,根据自己需要添加(看日志取舍),如果嫌麻烦,AppData路径写一条*\**\AppData\**\*.exe【自定义规则“全局exe控制”已经限定了只有指定的程序可以写入exe到AppData里,在你机子干净的情况下,安全ok】
-----------------------------------------------
《防间谍程序最大保护》

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无

(注释):自定义规则里,已经有一条“禁止不明程序操作注册表”,这里的“禁止安装新的 CLSID、APPID 和 TYPELIB”已经多余了,可以不启用。
本规则不追求禁运,“禁止所有程序从 Temp 文件夹运行文件”这一条不启用,如果你要追求安全控制,可以在安装软件时禁用,平常启用。【本规则的逻辑定义,个人认为已经保障了基本安全,所以不追求禁运,对该条无爱】
-----------------------------------------------
《防病毒标准保护》

规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:avtask.exe, cfgwiz.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe
(注释):这是默认名单

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:*\**\Windows\**

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:system:remote
要排除的进程:
(注释):这是默认设置

规则名称:禁止远程创建自动运行文件
要包含的进程:system:remote
要排除的进程:
(注释):这是默认设置

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\**\Windows\explorer.exe, *\**\windows\servicing\TrustedInstaller.exe, *\**\windows\System32\poqexec.exe, *\**\windows\system32\svchost.exe
(注释):因为系统更新时,会读取winsxs(win7系统)和C:\Windows\SoftwareDistribution里的同名文件,为了减少触红数量,所以排除【这一条是拿来防止熊猫类病毒用的,普通用户说实话,一般遇不到,无所谓了】

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:wuauclt.exe
(注释):这是系统默认设置
------------------------------------------------------------------------------------------
《防病毒最大保护》

规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:
(注释):这是默认设置,指明的父进程,一般情况下无法排除,除非你要用长路径优先于段路径的“系统默认优先级定义”来实现一定的目的

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\program files (86)\**\*.exe, *\program files\**\*.exe, *\windows\System32\*.exe, explorer.exe, TheWorld.exe, \AppData\Roaming\Microsoft\Network\Connections\Pbk\rasphone.pbk
(注释):个人根据本机实情修改的名单,邪版的排除列表是*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**, IENRCORE.EXE, TheWorld.exe
(注释)根据个人实情,在邪版名单上补充的
--------------------------------------------------------------------------------------------------
《防病毒爆发控制》

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:

规则名称:阻止对所有共享资源的读写访问
要包含的进程:system:remote
要排除的进程:
(注释):这是默认设置,个人不作改动。如果你要追求进一步的安全,可以学习论坛做法,包含的进程改成*.*,排除名单写*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**,这样一改,涉及安装排除,略过于复杂,本规则不作考虑【本规则自定义部分另有相关规则实现相应的文件保护措施】
--------------------------------------------------------
《通用标准保护》

规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrcnfg.exe, avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, C:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, C:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dbinit.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fssm32.exe, giantantispywa*, HipManage.exe, hipsvc.exe, ikernel.exe, InsFireTdi.exe, jlaunch.exe, kavsvc.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, regsvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, services.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, SiteAdv.exe, svchost.exe, TBMon.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, vscan_rfc.exe, winlogon.exe, _ins*._mp
(注释):这是默认名单,不作修改

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrcnfg.exe, avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, C:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, C:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, cqmghost.exe, dbinit.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fssm32.exe, giantantispywa*, HipManage.exe, hipsvc.exe, ikernel.exe, InsFireTdi.exe, kavsvc.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, services.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, _ins*._mp
(注释):这是默认名单,不作修改

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:vtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, C:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, C:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, cfgwiz.exe, EngineServer.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mcscript*, mcupdate.exe, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, navw32.exe, ncdaemon.exe, nmain.exe, regsvc.exe, rtvscan.exe, sdat*.exe, svchost.exe, VirusScanAdvancedServer.exe, vmscan.exe
(注释):这是默认名单,不作修改

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\**\AppData\Local\Adobe\install_flash_player.exe, *\**\AppData\Local\Temp\~nsu.tmp\Au_.exe, *\**\Program Files (x86)\**, *\**\Program Files\**, CCleaner.exe, CCleaner64.exe
(注释)第一个是flash播放器插件安装,第二个是卸载程序,最后两个是清理系统垃圾的软件【根据自己实情修订吧】

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, configui.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, siteadv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(注释):这是默认名单,没作修改【如果你觉得有必要修改,自己调整】

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, C:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, C:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, C:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, C:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, C:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, EngineServer.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, regsvcs.exe, regsvr32.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, siteadv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, sysocmgr.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(注释)这是默认名单,没有修改【使用此名单,安装时会阻挡一些程序的BHO安装,比如PDF阅读器,迅雷之类的】。这个是对HKLM\SOFTWARE\Microsoft\Windows\CurrentVersion\ShellServiceObjectDelayLoad之类的注册表执行保护的,关于BHO之类的作用,百度下吧(简单说就是跟随系统浏览器及外壳程序一起运行的)。

规则名称:保护网络设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:360chrome.exe, 360se.exe, chrome.exe, eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SogouExplorer.exe, SPSNotific*, thebat.exe, TheWorld.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe,QQDownload.exe
要排除的进程:*\**\AppData\Local\Temp\*.tmp\*Setup.exe, *\**\AppData\Local\Temp\*.tmp\Setup*.exe, *\**\AppData\Local\Temp\*Install\**\*Inst*.exe, *\**\AppData\Local\Temp\*Install\**\*Setup*.exe, *\**\AppData\Roaming\Thunder_dl*.exe, *\Thunder Network\Thunder\ThunderUninstall.exe, C:\Safe SetupFiles\*.exe,
(注释):请把你的浏览器和下载工具添加在包含进程里,可以避免它们下载病毒后启动病毒。排除名单添加的这些,是为了安装需要)

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:
(注释):为了避免无谓的触红,这一条不勾选报告。

(注释):在 Internet Explorer 中禁用 HCP URL,没多大意义,不开启。
--------------------------------------------------------------------------------
《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, C:\windows\SoftwareDistribution\Download\Install\*.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tbmon.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(注释):这是默认名单。这个名单会阻止一些程序注册为开机启动【安装的时候也会阻止掉】,个人很是讨厌弄一大堆开机启动的,所以不作排除,如果你想要某个程序开机启动,根据日志自己排除下,或者不添加排除而临时禁用该条运行下。

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\**\Windows\**
(注释):这个是为了减少麻烦而优化的,立足于系统干净的基础上(实际上,如果一个恶意程序或者病毒跑到了windows目录下,最好是杀毒吧)。如果你用的某个程序(program files里的)运行后需要注册服务,自己排除下【一般很少出现这种情况,需要后台服务的程序,通常是安装时候就已经注册好的,除非是安防软件之类的】

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe, C:\Safe SetupFiles\*.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dism.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, install_flash_player.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, mrtstub.exe, mscorsvw.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, TBMon.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, TrustedInstaller.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(注释):这是默认名单,补充的C:\Safe SetupFiles\*.exe是个人指定的存放可信安装包的路径【如果你要允许一些程序安装时创建一些dll乃至sys到系统目录里,就需要放行】;C:\Windows\SoftwareDistribution\Download\**\*.exe是系统更新下载补丁的,加路径是为了防止假冒;dism.exe与poqexec.exe都是system32下的系统程序,在系统更新补丁重启后,它们会执行修改系统文件的工作,需要排除,这里不加路径,是因为“全局exe控制”已经限制了同名文件被创建,即使存在这样一个同名文件,自定义规则里有一条禁止不明程序修改系统文件的规则,排除路径是*\**\Windows\**和*\**\program files\**,这就限定了,只有*\**\Windows\下或者*\**\program files里的poqexec.exe才有资格向windows目录里创建可执行文件。

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:*\AppData\Local\Temp\*.tmp\*Setup*.tmp, ???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, AliUpdater.exe, autoup.exe, avtask.exe, boxinfo.exe, C:\Program Files\**\uninstall\*.exe, C:\Safe SetupFiles\*.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, poqexec.exe, pskmssvc.exe, QPInstaller.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, Thunder_*.exe, tmlisten.exe, tomcat.exe, TrustedInstaller.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(注释):这是默认名单,添加的*\AppData\Local\Temp\*.tmp\*Setup*.tmp是安装源释放到临时目录里的安装程序;C:\Safe SetupFiles\*.exe,C:\Windows\SoftwareDistribution\Download\**\*.exe,dism.exe,poqexec.exe,这四项请参看上一条的解释【C:\Windows\SoftwareDistribution\Download\**\*.exe这个排除项可能是多余的,有可能系统更新是svchost.exe还是那个wuauclt.exe把补丁程序下载到C:\Windows\SoftwareDistribution\Download\下面,然后释放到C:\WINDOWS\Temp里,再由C:\windows\servicing\TrustedInstaller.exe执行安装操作(win7下的流程),是不是这样,没有跟踪过,仅凭猜想,别当真】。

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:iexplore.exe
要排除的进程:
(注释)这是默认设置,著名的3721就是利用的这个。邪版规则改iexplore.exe为*,个人觉得没必要(本规则已经限定了IE等浏览器及下载工具不可以创建exe到windows目录下,就算是默认规则,上面这两条(禁止创建exe等文件到windows目录及program files目录里)已经限定了(排除名单里没有浏览器及下载工具),不可能下载病毒到这个目录的,除非这里已经存在病毒)【如果你要较死劲说,万一安装程序的时候捆绑的病毒被释放到C:\Windows\Downloaded Program Files里,被谁一启动,不就完了?如果你要这么想,就改iexplore.exe为*好了,一般用户请直接忽略该想法。】

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tomcat7.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
(注释):这是默认设置,我没什么好说的,如果你用迅雷、快车之类使用FTP协议的工具,日志显示有阻挡,请排除。

规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:360chrome.exe, 360se.exe, ???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, alg.exe, chrome.exe, firefox.exe, IEBox.exe, install_flashplayer*.exe, javaw.exe, jucheck.exe, KGService.exe, MiniThunderPlatform.exe, mmc.exe, mshta.exe, msi*.tmp, msiexec.exe, opera.exe, potlplayer.exe, QQDownload.exe, quicktimeplaye*, realplay.exe, setup*.exe, setup.exe, SogouExplorer.exe, svchost.exe, TheWorld.exe, thunde*.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
(注释)这个是我修改的名单,默认名单不是这个。这一条是当作防火墙用的,阻止最常见的HTTP通信(外联),如果你用的系统墙,这个是绝佳的搭配。没什么好说的,如果你的上网程序不在这名单里,想让它上网的话,排除吧。如果你嫌这个不过瘾,那就自定义写禁止0-65535端口外联的控制规则(控制外联就够了,内联有勤奋的系统墙弹窗提示,没必要重复)。关于这个会不会阻止在线下载安装包执行安装,说实话,我也不清楚(按本规则的设计思路,标准安装,是把可信的安装包放到一个指定的目录【本规则预定为C:\Safe SetupFiles】里,从那里执行安装的,不是随便一个位置都能装上的,具体如何,有兴趣的测试吧。

----------------------------------------------
虚拟机保护

(注释):我就不用虚拟机,对此不理。如果你用了VMWare 虚拟机,自己启用吧。
====================================================
默认规则就这些,盗用的邪版规则,略作修改。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:17 , Processed in 0.100549 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表