我在小邪邪综合性防护规则(较强保护)071029规则基础上进行的个人修改

sanshui-1

2008-03-19 星期三
1.增加保护系统更新的临时目录
2.增加禁止改写Program Files目录的文件
3.增加禁止建立新帐户
4.增加禁止在windows目录新建.jar文件
5.增加禁止从系统变量中启动程序
6.增加禁止在Commom Files文件夹下新建CHM文件
7.增加禁止在Commom Files文件夹下新建、修改.cpl文件
8.增加禁止未授权程序新建任何.vxd文件
9.增加禁止未授权程序新建任何.sys文件
10.增加禁止读取双后缀cmd文件
11.增加禁止读取双后缀bat文件
12.增加禁止读取双后缀chm文件
13.增加禁止读取双后缀msi文件
14.增加执行双后缀pif文件
15.增加禁止执行双后缀com文件
16.增加禁止执行双后缀exe文件
17.增加保护用户shell
18.增加保护userinit.exe
19.增加保护根目录下的IO.SYS、MSDOS.SYS、CONFIG.SYS
20.增加保护根目录下的bootfont.bin
21.增加保护根目录下的NTDETECT.COM
22.增加保护根目录下的boot.ini
23.增加禁止非信任程序修改注册表想项（HKLM）
24.增加保护根目录下的autoexec.bat
25.增加保护系统引导文件
26.增加禁止在磁盘根目录运行程序
27.增加管制.tmp文件
28.增加禁止在srchasst目录新建任何文件
29.增加禁止在ime目录新建任何文件
30.增加禁止在system32下的setup文件夹新建文件
31.增加禁止在system32下的com文件夹新建文件
32.增加禁止在Debug文件夹下新建任何文件
33.增加WinSock的保护
34.增加禁止在windows media player目录新建任何文件
35.增加禁止在windows目录新建/修改/删除文件
36.增加禁止未授权程序进行文件操作（执行）
37.增加禁止未授权程序进行文件操作（修改\新建\删除）
38.增加禁止未授权程序访问注册表
39.增加禁止调用autoconv.exe
40.增加禁止调用user.exe
41.增加禁止调用ntvdm.exe
42.增加禁止调用sysedit.exe
43.增加禁止调用tlntsvr.exe
44.增加禁止调用label.exe
45.增加禁止调用regedit.exe
46.增加禁止调用AT.exe
47.增加禁止调用schtasks.exe
48.增加禁止调用replace.exe
49.增加禁止调用reg.exe
50.增加禁止调用Tskill.exe、Taskkill.exe
51.增加禁止调用shutdown.exe
52.增加防止修改驱动器相关注册表
53.增加防止修改隐藏文件现实功能
54.增加防止修改文件夹的打开方式
55.增加防止修改.exe文件的打开方式
56.增加防止修改DCOM加载
57.增加防止修改“打开磁盘”右键命令
58.增加防止修改镜像映射
59.增加防止破坏安全模式
60.增加防止修改本地安全设置
61.增加防止写入ShellExecuteHooks项
62.增加禁止调用ntsd.exe
63.增加禁止调用telnet.exe
64.增加禁止调用runas.exe
65.增加禁止调用tlntadmn.exe
66.增加禁止调用net*.exe
67.增加禁止调用dosx.exe、doskey.exe
68.增加禁止调用format.com
69.增加禁止调用*ftp.exe
70.增加禁止调用cacls.exe
71.增加禁止调用sc.exe
72.增加禁止调用command.exe
73.增加禁止调用regini.exe
74.增加禁止调用locator.exe
75.增加禁止调用rasauou.exe
76.增加禁止调用subst.exe
77.增加管制网页缓存文件夹
78.增加管制浏览器（禁止调用hh.exe）
79.增加管制浏览器（禁止新建任何.vbs文件）
80.增加管制浏览器（禁止新建任何.scr文件）
81.增加管制浏览器（禁止新建任何.pif文件）
82.增加管制浏览器（禁止新建任何.bat文件）
83.增加管制浏览器（禁止新建任何.cmd文件）
84.增加管制浏览器（禁止新建修改任何.com文件）
85.增加管制浏览器（禁止新建修改任何.ocx文件）
86.增加管制浏览器（禁止新建修改任何.dll文件）
87.增加管制浏览器（禁止启动storm.exe）
88.增加管制浏览器（禁止调用脚本宿主工具）
89.增加管制浏览器（禁止在磁盘根目录的任何文件操作）
90.增加管制浏览器（禁止调用Msiexec.exe）
91.增加管制浏览器（禁止调用注册表相关编辑工具）
92.增加管制浏览器（禁止调用verclsid.exe）
93.增加管制浏览器（禁止调用svchost.exe）
94.增加管制浏览器（禁止调用cmd.exe）
95.增加管制浏览器（禁止创建wscript.shell对象）
96.增加管制浏览器（禁止调用MDAC，防范MS06014网马）
97.增加管制浏览器（禁止创建FileSystemObject对象）
98.增加管制浏览器（禁止创建Adodb.stream对象）
99.增加管制浏览器（禁止加载urlmon.dll）
100.增加管制浏览器（禁止写入新的CLSID）

gxd

同时借鉴小邪邪和rappar的规则并不是不可以
但是使用的时候最好是根据自己的思路重新做一下
小邪邪的规则偏重FD，而rappar的规则运用了较多AD和RD
并不是把两个思路不太一样的规则机械地加到一起就安全了。。
就楼上增加的这些规则和原规则不少是重复了的，而且规则数量相当多，不是很和谐
不过非常感谢楼主的分享

[ 本帖最后由 gxd 于 2008-3-19 18:52 编辑 ]

sanshui-1

能不能教上几招，让我学习学习

深红的雪

楼主加油吧

PS：在一些重要的规则中不要随便加入 **\Program Files\** 这个排除项

sanshui-1

rappar给个详细的教程吧，让偶们也好好学习一下，还有就是关于**\Program Files\** 排除项，我确实加了很多，主要是我安装的程序都在这个目录中，为了避免总报红，就把整个目录给加入排除项了，请问是不是只加入进程名就可以了？

深红的雪

排除ProgramFiles目录不是不可以，只是要注意是在这些目录的程序可能为你的系统带来恶意程序
例如浏览器、下载工具、阅读器等等，在排除目录的同时，需要对这些程序另加限制。这就是“不要随便加入”的意思，只是一个提醒而已

sanshui-1

感谢rappar的指点，革命尚未成功，同志仍需努力！

sanshui-1

2008-03-20 星期四
加入防止ws2_32.dll被利用
阻止对象：*
要阻挡的文件或文件夹：**\ws2_32.dll
要阻止的文件操作：“对文件进行写访问”“正在创建的新文件”

参考：http://mcafeefans.com/article.asp?id=1524
谢谢麦粉丝中文社区 细水

ren001

喜欢这样的文章

极限

呵呵，学习中