本帖最后由 yunmengze8011 于 2019-4-8 19:10 编辑
火绒安全5.0 高级防护 自定义规则包教程
本教程为火绒安全软件5.0版本的自定义规则包编写教程,也就是那个HIPS吧。 想要看懂本教程的话,很简单,你用一用5.0就知道了。
上图就是自定义规则的目录界面了,现在是空白的啊哈。导入、导出、删除、编辑这我都不说了,识字的都知道啥意思。 首先哈,你要添加规则,添加什么样的规则?让它起到什么样的作用?这两条你要思考清楚,对吧!比如我不想让腾讯视频运行,或者我不想让别人在我的电脑上下载腾讯视频,这是一个清晰的思路,规则是什么?用来表达你的想法。我该怎么表达?用嘴巴说吗?不是!用规则包。 火绒制作规则包支持通配符如下: * 可以使用星号代替0个或多个字符。如果正在查找以Wor开头的一个文件,但不记得文件名其余部分,可以输入Wor*
? 可以使用问号代替一个字符。如果输入Exce?,查找以Exce开头的一个字符结尾文件类型的文件,如Excel等。
> 替代所有字符直到遇到“\”。比如C:\user\>,那么这条规则只会作用于C:\user\目录下所有文件而不会对C:\user\a这个子目录生效。 第一, 点击添加规则 然后就进入这个界面,从上往下看,嗯! 规则名嘛,根据意义来起名。 发起程序,这个就有用了。发起程序的选项是*,在火绒通配符里面的作用指的是任何“东西”代表着所有程序。 保护对象,这个就有用了,保护对象是主角!点击添加保护对象。 这时,出现了三个选项。 文件规则:代表着对文件的防御措施 注册表规则:代表着对注册表的防御作用。 执行规则:代表着对于文件执行的防御 对于腾讯视频这个思路,我们可以选择两种选项,第一种就是文件规则,我们左键选定然后右键桌面的腾讯视频,选择打开文件所在的位置,然后进入到了腾讯视频的文件夹,有一个文件时被选定的(选定就是你左键一个文件后这个文件是蓝色背景的状态),这个文件是QQLive.exe。这个就是腾讯视频的“主文件”。然后我们可以创建这样的规则并对读取选项打勾: *\QQLive.exe C:\Program Files (x86)\QQLive\QQLive.exe 上面两条规则是两个不同的执行方法,第一个就是针对所有目录下的这个文件做出的防护措施 第二个就是在安装目录下的这个文件做出的防护措施(安装目录每个电脑都不一样,这个大家都知道  ) 要说这俩规则不一样在哪里,我这样说哈,第一条规则的话,我在桌面创建一个QQLive.exe,然后点击,无法执行。因为是所有目录下的,如果是第二条的话,桌面那个就没事,不会被误伤啦。 可以说第一个是针对全局的,第二个是精确到目标的! 第二个选项嘛,就是选择执行规则,把桌面的腾讯视频添加进去。 当然,在不同的场景下选择不同的触犯规则反应,比如我不想让腾讯视频启动,是防止我儿子用腾讯视频看熊出没。(虽然我没有儿子 ),因此我要选择直接阻止,要是询问的话……大家都懂~ 注册表规则嘛,很简单!我下一次教程的时候再说吧! 关于新手我要提醒的是: 火绒的规则对与火绒本身加白,也就是说,你禁止了火绒目录的创建修改与删除,但是火绒自己更新可以不受到影响。 在编写规则的时候通配符 * \ > ? 全部在英文状态下输入。 针对文件的规则,后面有.exe的加上.exe,有.txt的加上.txt一定不能忘了文件后缀。 测试规则时,特别是那种全局的规则,有配置的弄个虚拟机测试。没虚拟机的话就想好再测试。 火绒规则起作用的本身就是火绒在进程中。对于那些专门用来防止人为的规则,建议你做一个保护火绒自身的规则,不然下载一个*****就把火绒进程给杀了。(什么克制火绒你就禁止什么,不给它机会) 禁用一个程序,你禁止的应该是这个程序的文件名,而不是桌面快捷方式名字。比如腾讯视频,他的程序名字不叫腾讯视频吧! 针对防御病毒的规则,话说火绒本身就能检测到,无需规则。现在我们模拟一种情况,就是火绒官方没有收录的病毒哈。首先你要有样本,然后把样本放到虚拟云沙箱里面,看他创建了什么?删除了什么?对什么文件做了什么样的反应,然后作规则. 禁用系统程序,却不知道其目录文件位置以及名称,可以用火绒剑看。或者百度!
最后哈,有啥不懂得就问我吧。还有,觉得写得好就评论一下吧,支持也好,建议也好。
| 
发表于 2019-4-7 21:32:23
楼主
