从基本原理说一说病毒防治与规则制作（写作中。。。。

柯林

       规则怎么弄，新手时常一头雾水，感觉太复杂，太难理解，太不好驾驭了。本文抛砖引玉，以一个老菜鸟的经验，分享一点粗浅看法，供新手参考。限于个人水平及理解能力，说的不够严谨，不够准确的地方，还请谅解，说错之处，请批评和指正，说漏之处，还请补充。

       高手们张贴规则，不会花费口舌跟你解释，这套规则如何运作与编排，按照什么逻辑来执行，哪条是重点，哪些是配合与补充？只管生搬硬套抄下来使用，只懂得看日志排除，不知道如何掌握与取舍，可能是很多“不会制作规则”的人最大的问题。本帖将引领新手沿着最粗浅的路线走一遍，了解一些最基本的原理和概念，看一看规则是怎么制作出来的，按相关问题和基本逻辑，逐层推进。
===================================================
第一部分   规则的相关问题

1、规则的用途
       规则究竟用来干啥？用来防毒，每个人都会这么说。那么它的定位如何呢？有两种观点。其一，规则只是杀毒的补充，对于VSE杀毒检测遗漏的部分，进行补充防御，堵上缺口。其二，规则是主打，可以超越或无视杀毒，直接用规则钉死病毒，保证机子干净、安全，甚至于带毒运行不中毒。
       如何取舍？新手，大部分的普通用家，个人观点，选杀毒补充就可以，这样弄下来的规则，不复杂，容易驾驭，成本划算——不用投入大量的时间与精力进行排除与打磨，如果制作得宜，甚至都不需要开启、关闭地切换，不影响日常应用与正常操作，而又能对流行的病毒及病毒行为实施拦截，起到有效补充杀毒的不足，具有一点所谓的“智能化”的作用——拦截病毒，放过正常操作。

2、有无必要“用”规则
       有时会听到别人讨论——究竟要不要规则或用不用规则？指的是要不要在默认（标准保护）的基础上增加自定义规则或开启VSE默认自带的其它规则。只要用VSE，只要没有去掉VSE的按访问保护模块，不要规则是不存在的（默认就设了基本保护规则），除非你把所有规则去勾。

3、规则类型
      千人千面，每个脾气性格不同，喜欢的东西不一样，做出来的规则也就各式各样。分类归纳下，有如下几种：
      ①、随意敲打型：无所谓目标和重心，也无所谓什么逻辑、体系，按照自己的需要和喜好，不爽的东西就加上拦截，作为补充强化型规则的一种，具有很强的灵活性、自由性，也可以说无章法，无所谓高下，喜欢就好。
      ②、重点拦截型：作为杀毒的补充，有目的、有重点地实施拦截，对关键的地方进行阻断，组合各个相关点，编织一张有效的病毒拦截过滤网。规则一开始制作，跟随意敲打型近似，看不出章法，当所有规则到位之后，进行逻辑梳理编排后，就会形成一个很有章法的体系，是有目的有重点讲逻辑的规则体系。这是入门用户最常采用的方法之一。
       ③、全面保护型：对于所有能够影响到计算机安全与稳定，能够给与病毒可乘之机的地方，全部实施阻断，只放行可靠的、安全的、干净的程序。这种方法，威力很强，防御点选择的也够全面，属于规则的极致，是高手及追求极致安全用家的最爱。
       ①与②属于宽松型规则，制作上较为简单，排除很少，甚至无需排除，很容易形成一次搞定，终身不管的格局，属于懒人及新手的福音。
       ③属于严厉型，乃至于是极端严厉型的规则，虽然规则的数量不多，但是较为严厉和复杂，需要大量的排除，以及合理的规则编排与组织，才能起到防护周到、拦截凶猛，见毒秒毒，乃至于带毒运行不中毒，达到安全极致。

         什么样的规则才是最凶猛，最严厉的规则？三个*阻止——禁止任何程序的网络访问（端口访问规则）；禁止任何程序的文件操作（读写执行）（文件规则）；禁止任何程序的注册表操作（注册表规则）。这样的规则一出，计算机变化石，蓝屏死机，彻底嗝屁！要想正常应用，必须排除（正常程序，必须程序，例如系统程序，麦咖啡自己的相关程序，自己必须要用的程序）。排除就会有漏洞，就需要堵漏、过滤，所以需要后续规则来补充强化，加强过滤与管制。比如说，禁止任何程序写入注册表，我们自己安装使用的程序（C:\Program Files路径下），必须排除，不让没法使用，无论你是绝对路径（如C:\Program Files\Internet Explorer\iexplore.exe）进行排除，还是相对路径（也称通配符路径）C:\Program Files\**(或者C:\Program Files\**.exe或%ProgramFiles%\**)进行排除，都产生了漏洞，允许它们对注册表的所有项目进行操作，注册表那么多，有些项目是危险项目，有些是普通项目，所有的东西都允许你操作，你还不翻天？所以，需要加上第二条，第三条.....进行规定限制，某些东东你不能碰。这样一来，所有可能的风险都被排除了，我们觉得安全了，高兴极了。
       需要注意，这里面有个问题，并不是放过的程序都无法无天，或者说，不是说允许操作的程序，它就会随意操作，这还得跟程序有关，不能一概而定。大多数情况下，正常程序放过，它并不会去做坏事，比如我们用的大多数软件、杀毒软件，放行它们就行了，并不会带来什么严重问题，很多我们以为会产生的问题，其实只是想象，因为系统自身也有一定的保护功能，不是随便能够越界乱搞的，另一方面，应用软件设计的时候并没有像病毒那样往破坏性方向去设计——它就不是设计了用来干坏事的，你叫它怎么去做？就像允许太监在皇宫里随意走动，允许太监逛青楼一样，根本就不会发生你以为会发生的事！然后有少数（这个多数与少数，以你计算机上的程序总数对比而论）程序，属于凶猛类型，需要另当别论，比如cmd.exe，一旦允许它操作文件，运行个破坏性的批处理，它可能把你机子上所有文件全删了，这个就不能简单放过了事，需要另外做规则来进行管制，比如禁止它删除某些地方的文件，或者禁止它读取bat文件乃至于禁止explorer.exe读取bat文件等。凶猛程序总归是少数，一般程序放过即可。哪些是凶猛程序，或者说是需要特别注意、关照的程序？加驱程序，钩子程序，实际上对于这两种程序，你想管可能也管不了，加了驱动，就不受你控制了，钩子对于VSE来说，只能控制钩子文件（通常是dll）的创建与读取执行，一旦加载、安装，你就干瞪眼，问题，你知道它是一个钩子文件吗？不知道？上辅助工具吧，比如PowerTool什么的。

4、一般人如何选择合适的规则类型
       规则按类型分为宽松型与严厉型，追求安全极致，就用严厉型，全面防护型；一般用户，你没那个时间和精力去折腾，也不需要用规则取代VSE的杀毒检测，只需把未知病毒拦下，不用的直接删除，需要使用的，等待咖啡服务端分析检测，证明是安全的你再用就行了。所以综合比较而言，站在实用的角度，适合大多数普通用户的，是立足于重点防御的宽松型规则，这个是最佳选择，不需要在要么默认要么极端严厉之间摇摆，根据病毒流行态势及主要行为特征，进行重点防御，适当的补充强化，不影响日常操作及正常应用，就可以了，投入与产出可以得到最佳比例。
===================================================
第二部分  病毒与防治

      为什么要用规则？为了防御未知病毒，已知病毒会被杀软干掉，用不着我们操心，也轮不到规则出场。
      要想做好规则，必须了解病毒，做到有针对性的进行拦截。

1、简单说一说病毒的相关常识
      病毒种类繁多，具体分类也各有各的说辞。按通常观点来看，木马是病毒的一种，而木马、病毒皆可归入恶意软件的范畴。恶意软件还包括后门程序、间谍程序、广告程序、玩笑程序等。玩杀软，搞规则，或者用HIPS的人，不离于口的就是病毒防御。
      从存在形态看，病毒有两种，一种是存在于本机磁盘上的病毒，一种是只留驻于内存中的病毒，还有一种存留在BIOS中的病毒。做规则的人，通常是针对第二种（存在于本机磁盘上的病毒）进行防御。入侵BIOS的病毒，当病毒主体位于本机主体（磁盘）上时，也可以借助规则进行间接防御；对于利用网络四处传播，单纯入侵和驻留于内存中的病毒，一般的规则可能管不到（以VSE而言），多半靠杀毒来防治。
       通常，病毒都有明显的后缀名，以exe、bat、vbs三种最常见，其次为dll、sys等，也有个别无后缀名的病毒。另外一种，则是纯粹隐藏于正常文件中的恶意代码，利用系统或软件漏洞与bug，直接加载到内存中加以执行，本来以为是“数据”的，却变成了恶意指令。shell code就是其中一类吧（关于shell code等相关资料，请自行上网搜索，个人望文生义，所谓shell code就是利用shell 命令来加以执行的代码，不知道理解得对不对）。
      病毒不管怎么分类，从实用的角度来看，其实只有两种。一种是现实环境中流行的病毒，一种是存在于实验室与个人手上的病毒。对规则玩家来说，针对的是前一种（现实中流行的病毒）。所以，求全求无所不能的思想，对于新人而言，是规则制作上的一个误区。

2、病毒发作的表现
      病毒就是为了干扰系统或程序的正常运行，为了实现恶意行为而存在的。病毒发作，会有很多明显的表现，比如机子突然变慢，系统资源、网络资源被大量占用，出现不明进程，系统文件与配置被更改，用户资料丢失或被修改、加密、破坏，浏览器起始页被修改，上网导向可恶网页，系统时间不正常，QQ、游戏账号被盗，系统账户密码被更改，网络财产损失等等，出现这些症状，表明本机已经中毒，到这个地步，已经悲剧了。要阻截病毒进入计算机搞破坏，在传统的特征码拦截暂时跟不上的情况下，必须靠规则去弥补。

3、从病毒常见的典型行为看应对措施
       病毒不管怎么变，病毒就是病毒，有一些典型的行为可以作为判断的依据。这些行为，通常是正常程序没有，或者极少有的行为。通过相关测试及资料分析，可以提炼出来作为规则制作参考的病毒行为，总结一下，常见的有如下这些：

●病毒入侵的途径

●病毒藏身的地方

●病毒常见的招数


（。。。。。。。。。慢慢写）

       根据以上病毒常见行为的分析，对于病毒防治，有两个基本方法。一个是封住源头与入口，一个是保护重要部位。
       封入口，主要是文件创建，禁止创建病毒文件，连病毒体都没有，相关问题都是空气。封源头，主要是制止发作，搞禁运，有些地方不好用禁止创建的方法来处理，而病毒又混杂其中，就用禁运的方法，让病毒变化石，运行不了，相关问题也就是空气了。
      重要部位保护，就像默认自带的“禁止在windows目录里创建新的可执行文件”这样的规则，不让病毒混入其中，就不难发现和处理了。再比如注册表或系统中的某些重要目录与文件，实施保护，就能有效破坏病毒的行为，让它残废或无功。
      实际使用中，制作或管理规则时，以上两种方法通常是结合起来，交替使用的。
===================================================
第三部分   如何制作规则

        了解了以上那些最基本的东西，就会发现，规则制作其实很简单：按照自己的需要，实施拦截，就这么回事！
        一条一条地增加与设置，只要不相互矛盾、自摆乌龙、留下漏勺、写错，拦下该拦的，放行该放的，就完事。有必要限制补充的，再加一下，就算收工了事。
        哪些是该拦的？病毒、木马、恶意程序。哪些是该放的？系统运行必须的程序，你要用的干净、可靠的程序。话很简单，如何做到正确的拦与放，需要靠经验，甚至于是门技术。具体怎么做，每个人理念不一样，没有统一的标准，只能说是按基本原则和自己的需要进行取舍。
       比如说，不管病毒怎么演变，目前的技术，PE文件是主体，exe是重头戏，所有的行为，几乎都发源于exe，只要写上一条规则，禁止任何程序创建、写入exe文件，基本上，就能封住绝大部分病毒入侵的途径，平常不管怎么用，病毒都很难进来，基本上没有新程序可以产生，连流氓也跪了；依次类推，继续写上禁止任何程序创建、写入dll、sys、bat、vbs、scr、ini文件的规则，差不多已经把入口封得很严实，当然必须作出相应的排除。这样一来，不止病毒进不来，安装程序、卸载程序、更新系统也就无法正常进行，必须禁用这些规则或者直接关闭整个访问保护。这属于严厉型规则，新手及喜欢简单易用型的人，不推荐类似的玩法。
-------------------------------------
      对于普通大众来说，容易使用与掌握的，是重点防御的方法。只需要针对三个方面——网络，本地，移动磁盘（U盘），进行简单有效的加强就可以。
      以移动磁盘（主要是U盘，移动硬盘、手机内存卡、相机内存卡带毒相对较少，属于次要方面）来看，防御U盘病毒很简单，不执行U盘上的程序就完了，不管U盘上有多少病毒，不准任何程序将它激活，它也只是一堆尸体、化石，屁用没有。实现禁止U盘病毒启动、激活，有两种方法，一种是禁止explorer读取自动播放的相关注册表，一个是禁止读取U盘根目录上的文件，实现让其根目录上的病毒无法启动的目的；另外一种更狠的，是禁止执行整个U盘上的程序，管你病毒躲在哪里，就算一时手误或手贱，点击了病毒，它也无法运行，推荐使用此方法。
      从网络威胁来看，主要是下载工具与传播工具两大类。下载工具包括浏览器与迅雷之类的文件下载工具，相关威胁主要是浏览带毒网站的时候，后台自动下载执行，这类病毒通常是普通木马，还没出现加密勒索类，防治它，一般管好下载目录，禁止任何程序执行或者禁止系统（SVCHOST.EXE）去执行它就可以了（已知的所谓自动运行之一就是，IE下载一个exe文件，告诉系统，系统调用svchost.exe去执行它）。传播工具类是最大的威胁，需要重点防范的对象，包括电子邮件工具和社交工具（聊天程序QQ、阿里旺旺、MSN之类），是目前已知的加密勒索病毒传播的主要途径，防御这个，最简单有效的方法，就是对它们保存附件的位置实行封杀，禁止执其目录内的任何文件（所有可执行文件）。要想方便管理，减少规则数量，把其目录设在一个文件夹（比如我的文档）里，做规则禁止执行该目录内的所有程序就ok了。
       搞定了U盘病毒与网络病毒，可以说，90%乃至于95%的安全防御都搞定了。但是，不要忘了本地（本机磁盘上的程序），它们也有风险，比如已经存在的病毒，比如随下载软件捆绑来的病毒或流氓软件，比如系统自带危险程序。本地磁盘上的病毒、恶意程序，一般人用杀毒扫描搞定就可以了；对于系统自带危险程序，比如cmd.exe,cscript.exe,wscript.exe这三个最普通也最爱惹麻烦的东东，没规则进一步限制，则上述防御体系依然有漏洞。
       尽管规定了禁止任何程序执行U盘上的所有文件，危险位置（比如我的文档）上的所有文件，依然有漏洞，如果它们是批处理、脚本文件，你点击它，或者它被设成自动运行，依然是会执行的，必须另外做规则，禁止cmd.exe,cscript.exe,wscript.exe读取、执行U盘上的文件、危险位置上的文件，才能堵上漏洞。这样就安全了吗？还没有，如果它是一个压缩包，无论是在U盘上还是危险位置上，如果你双击压缩包打开查看，不想就地解压出来查看，当你双击里面的文件，无论它是个exe、scr、com、bat、cmd、pif、vbs之类常见的可执行文件，还是其它格式的可执行文件，它还是很快运行，你又中招了，因为当你双击它的时候，它已经被压缩软件解压到C:\Users\XXX\AppData\Local\Temp里加以执行了，这个路径可不在你封杀规则的管制范围内，自然就吃了一个大漏勺。所以还需要加上规则，要么禁止cmd.exe,cscript.exe,wscript.exe执行C:\Users\XXX\AppData\Local\Temp里的文件，要么禁止压缩软件执行C:\Users\XXX\AppData\Local\Temp里的文件（麦咖啡自带默认规则已有一条“禁止公用程序从Temp文件夹里执行文件“，被限制的程序名单里，已有winrar压缩软件，如果你正好使用winrar压缩工具，开启这条规则就能有效防御，如果用别的压缩软件，把它添加进名单就行了。开启这条规则需要注意，如果你安装使用迅雷，会被阻止，需要删掉里面的thunde*.exe）
     一般人只需这么简单加强一下，就能起到很好的补充杀毒，加强防御的效果，而这样的设置，一般是对正常使用没有任何影响的，可以正常地安装、卸载、更新系统，无需关闭规则。拦住危险的，放行正常的，安全与易用取个基本平衡，像这样处理下就能实现了。
       如果喜欢极致安全，需要严厉型规则，请参考论坛上已经发布过的经典规则，如叶版规则、邪版规则、墨池规则等。

====================================================
题外话

        计算机安全，是一个多方面的问题，不是说用个厉害的杀软或规则就完事了，还需要注意一些相关问题。
        系统，使用原版、干净系统，打齐重要的补丁，只有系统健壮可靠，一切才有基础做保证。
        软件，安装一堆互相冲突的软件，后果与中毒是一样的；有用没用的东西装一大堆，几百几千个小程序，系统都被累坏了，安全也难用。最关键的是，那些筛子眼的著名软件，经常被黑客爆菊的软件，多看看漏洞公告吧，别以为它名气大、出身俊，实则就一'丧尸"。
       习惯，养成良好的计算机使用习惯，尽量不用历不明的程序，少用可靠性未知的程序（比如绿化、破解、外{过}{滤}挂---外{过}{滤}挂本身就是按照病毒原理制作的），尽量上官网下载，使用大厂商、信誉可靠、网友评价良好的软件。少去危险网站、带毒网站；不要轻易点开不明链接；不轻易打开和使用别人传给你的文件、程序；保持警觉。
       必知事项：网上下载的程序安装包，一般就是捆绑流氓程序，至多捆绑个木马，危害性还不算太大；较大的威胁，是利用电子邮件或聊天工具QQ等传递的附件，多含有流行的、爆发性的病毒，比如勒索加密，敲竹杠、整蛊、恶意玩笑等令普通用户惊吓无措的东东，必须加强防范。陌生人传给你的东西，最好沙盘里打开或运行，你没提出请求，人家主动发给你，不请自来的，没必要就不要打开，丢掉就行，那种几KB，几十KB的小东东，一看就是不正常的玩意，丢掉就行。
       辅助工具：一些常用的工具，一般还是建议收藏备用，例如：一个干净可靠的PE系统；扫毒修复工具如绿色大蜘蛛，数字急救箱等；手动杀毒工具如PowerTool与PCHunter等；虚拟隔离工具如沙盘Sandboxie（推荐安装该程序，官方提供的免费功能就够一般人使用，无须去学太复杂的技巧，只须会右键入沙，运行后打开沙盘去看该程序创建、修改、访问了哪些文件就可以了，会看注册表就连注册表看下，不会看或懒得费神可以不管注册表，根据所见，判断下这个程序可靠不可靠，再决定要不要实机运行，一些程序，比如电子书、绿色工具，右键入沙更好）。
====================================================

一个菜鸟级的普通常识介绍帖，至此就完了，希望对你有所帮助，祝你用咖啡用得愉快。

-------------------------------------------
附录：简单实例
         1、封入口，禁创写，最简单也是最有效的规则，写一条禁止*创建、写入**.exe的规则（排除必要程序）就很强悍，足以废掉大部分非法入侵
         2、封源头，禁运与写入，最简单的做法，抄写珊瑚MM《交叉保护规则》里的做法，禁止任何程序读取系统盘上的文件（禁止*.*读取C:\**)，具有一条顶替一万条的作用，管你哪里来的毒，大都嗝屁了，当然要排除系统程序与必要的程序。这个需要谨慎尝试，在P5与P6上，写这条排除不了，VSE会疯掉，机子会死机，P7是否有改进，不知道。      

lkm458307592

好贴来顶

DDT12345678

围观

依班娜

赶紧整理文集吧！柯兄

柯林

依班娜 发表于 2016-3-16 15:56
赶紧整理文集吧！柯兄

你要的我没有啊，这些只适合小白看的，对你没用；我业余用家，普通用家，对编程一窍不通啊
觉得VSE不错，向比我白的人推广下，就这样

这两天闲暇时间在看那个“智能”型的草包规则怎么完善好，从32位系统转64位上看看，有时间我把没写完的加上，其实没什么东东，都是老生常谈的一些常识，可能还会被复述错，没多大价值