楼主: 幽冥の龙
收起左侧

[分享] 火绒自定义规则更新专贴(2015.1.10 增加盛大登入卫士规则,增加2个简单的防恶意规则

  [复制链接]
1094947421
发表于 2014-12-31 12:52:06 | 显示全部楼层
幽冥の龙 发表于 2014-12-31 12:26
缓存机制似乎被改过了,进程退出 就清空了,没仔细测过只是感觉……
因为我发现 一些软件 不管我点允许  ...

好吧,1.0还是有缓存,不过比2.5好点,可以匹配到目标文件名。例如拦截c盘下创建*文件,手动创建A,允许之后,删掉A,再创建A,就不会询问,创建B时还是询问,创建者都是explorer.exe。阻止也一样。而2.5是点允许之后就暂时信任了explorer.exe,创建A允许之后,再创建B,C,D...都不询问了。
幽冥の龙
 楼主| 发表于 2014-12-31 13:24:35 | 显示全部楼层
1094947421 发表于 2014-12-31 12:52
好吧,1.0还是有缓存,不过比2.5好点,可以匹配到目标文件名。例如拦截c盘下创建*文件,手动创建A,允许之 ...

看3.0吧,2.5估计是不会改了(或者没空改), 3.0要是没变化,那估计就不会改了……
1094947421
发表于 2014-12-31 13:28:04 | 显示全部楼层
幽冥の龙 发表于 2014-12-31 13:24
看3.0吧,2.5估计是不会改了(或者没空改), 3.0要是没变化,那估计就不会改了……

那要等到疯子长发及腰,疯子刚剃光头,估计3.0自定义会改,内置规则不会。
kiyumi123
发表于 2014-12-31 16:27:28 | 显示全部楼层
本帖最后由 kiyumi123 于 2014-12-31 16:41 编辑

LZ你好,用了你的规则后,YY无法使用查找好友和群的功能,搜狗输入法账户无法使用QQ的快速登录功能。
另外,如果用户的桌面是自定义路径,文件名不是desktop,是其他名字如中文名“桌面”,快捷方式独立规则是不生效的。
还有搜狗智慧版1.0有个SohuNews.exe会常驻内存
1094947421
发表于 2014-12-31 20:19:10 | 显示全部楼层
本帖最后由 1094947421 于 2014-12-31 22:22 编辑

其实锁屏拦截这两点就可以了,拦截添加自启动项,拦截修改用户账户密码。
另外,开机时被拦截了,虽然是询问规则,但开机时没有弹窗自动阻止了。


**************************************************************
规则名,你参考下呗。


阻止的规则开头加【阻止】
询问的规则,拦截什么单一行为前面就加什么,拦截多个行为看其危险程度,危险度低=【修改】,危险度高=【篡改】。
方便管理,而且美观一点。添加排除的时候也更容易找到。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
幽冥の龙
 楼主| 发表于 2014-12-31 22:37:26 | 显示全部楼层
1094947421 发表于 2014-12-31 20:19
其实锁屏拦截这两点就可以了,拦截添加自启动项,拦截修改用户账户密码。
另外,开机时被拦截了,虽然是询 ...

火绒是随系统启动而一起启动的,优先于桌面,用户自然也看不到弹窗了,而且那个阻止也没发现有什么影响
(其实我觉得关于拦截系统进程有BUG,我试过拦截系统其他进程,询问或阻止都会进不了系统,而勾选允许并记住后,就能顺利进系统了,但日志里还是会有阻止的记录)


名字么,自己爱怎么改就怎么改吧每个人喜好都不一样
幽冥の龙
 楼主| 发表于 2014-12-31 22:40:21 | 显示全部楼层
本帖最后由 幽冥の龙 于 2014-12-31 22:47 编辑
kiyumi123 发表于 2014-12-31 16:27
LZ你好,用了你的规则后,YY无法使用查找好友和群的功能,搜狗输入法账户无法使用QQ的快速登录功能。
另外 ...


YY问题修正了   搜狗输入法 我这快速登入没问题,你看看你点快速登入的时候日志拦截了什么?
或者自己手动输一次好了,这个都会记住的吧也不用一直输……
不同版本的话,你把那个进程名字加到规则里去就好了,看名字是搜狐新闻,不一定是大部分人都不要的功能。。规则主要目的还是禁止一些流氓行为,比如不经同意就偷偷下载安装各种东西之类的,能不影响功能尽量就不去影响了
1094947421
发表于 2014-12-31 22:51:21 | 显示全部楼层
幽冥の龙 发表于 2014-12-31 22:37
火绒是随系统启动而一起启动的,优先于桌面,用户自然也看不到弹窗了,而且那个阻止也没发现有什么影响
...

以防万一还是做了排除,

你的防流氓通用规则,我只用3条,我觉得,由于缓存机制,在他们下级目录的拦截规则是不起效的。

删掉了开始菜单规则,没啥意义,放行了没什么危害,阻止了还导致eset安装失败。干脆去掉了。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
幽冥の龙
 楼主| 发表于 2014-12-31 23:03:38 | 显示全部楼层
本帖最后由 幽冥の龙 于 2014-12-31 23:08 编辑
1094947421 发表于 2014-12-31 22:51
以防万一还是做了排除,

你的防流氓通用规则,我只用3条,我觉得,由于缓存机制,在他们下级目录的拦 ...


只用3条的话,万一某个流氓 不在那3个目录搞你就中招了

而且v6规则发展到现在那么多条,对于某些病毒都有一定防御力了,比如某些病毒会在 临时目录创建 exe 或者在根目录创建 文件,遇到的时候都可以多个心眼了,没规则的话就完全不知情了
http://bbs.kafan.cn/thread-1799284-1-1.html比如这个人中的样本,v6规则就拦截到了此样本在temp释放大量exe的行为
当然自定义规则本来就是根据自己喜好的,随便你

lsass 不能加信任,加了信任以后 病毒调用lsass改你帐号就不会提示了
1094947421
发表于 2014-12-31 23:24:34 | 显示全部楼层
幽冥の龙 发表于 2014-12-31 23:03
只用3条的话,万一某个流氓 不在那3个目录搞你就中招了

而且v6规则发展到现在那么多条,对于某些病 ...

不在的可能性不大吧,而且没有杀软是确保100%的,规则也一样。心理安慰而已。
v6感觉误报的几率略大,木马病毒还是交给病毒入库处理吧。
lsass不加信任的话,干脆还是改成阻止规则吧,我一般只看发起程序的路径的,因为火绒弹窗没检查数字签名,到最后我还是会允许,不如禁止得了。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-29 08:40 , Processed in 0.096371 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表