（终结）小白规则【7月15日更新】【智能防御“全系列”】

sdtzsf

辛苦了，谢谢分享。

liusiying

规则1解压失败，包损坏

柯林

liusiying 发表于 2021-3-7 19:42
规则1解压失败，包损坏

重传了一个

用火狐试了下，可以正常下载、打开

Panda418

瞅瞅

柯林

刚换win10试了下，系统更新时，svchost.exe会在windows的目录里创建dll，也会在program files里创建
相关日志摘录：
2021/3/8        14:10:50        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\msiexec.exe        C:\Program Files\Microsoft Update Health Tools\sedplugins.dll        通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件        已阻止的操作: 创建

2021/3/8        14:09:50        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Program Files\WindowsApps\Microsoft.UI.Xaml.2.1_2.11906.6001.0_x64__8wekyb3d8bbwe\Microsoft.UI.Xaml.dll        通用最大保护:禁止在 Program Files 文件夹中创建新的可执行文件        已阻止的操作: 创建

2021/3/8        15:05:41        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\svchost.exe        C:\Windows\CbsTemp\30872551_1284630098\FoDEnum\Metadata\ReserveManager.dll        通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件        已阻止的操作: 创建

然后，有个安全更新接管出来了
2021/3/8        16:14:19        将由访问保护规则 (当前不强制执行规则) 禁止         NT AUTHORITY\SYSTEM        C:\Windows\System32\MoUsoCoreWorker.exe        HKLM\SOFTWARE\CLASSES\APPID\{8C041B02-A593-4791-A513-3FA55B0B8AFF}\        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建

这些对常用5个规则都没有影响，有影响的是《金装防御》---其实无所谓，本来就“焊死”了，装不了程序与更新，添不添加排除，问题都不大，想要更新与安装，切用其它规则就行

sdtzsf

柯林 发表于 2021-3-8 17:05
刚换win10试了下，系统更新时，svchost.exe会在windows的目录里创建dll，也会在program files里创建
相关 ...

WIN10与WIN8还是有区别的。

柯林

sdtzsf 发表于 2021-3-8 17:32
WIN10与WIN8还是有区别的。

确实有些新东东
作为监控规则，在windows里创建新程序和在program files里创建新程序，svchost.exe故意不加入排除名单，就是为了察看——日志会不会显示“svchost.exe中毒”了

ps：谁说的“win8.1是最流畅的，win10老机子跑不动”？这不也挺轻快的，除了可能“巴格崩”

momo5269

导入后占用变得很高，修复安装后恢复正常
以前的配置丢了，很久没折腾过，想着直接用结果还是不行 - - 8L说明反倒比规则更有用了


只有部分截图因为不在安装包目录幸免于难 - -

柯林

momo5269 发表于 2021-3-9 11:54
导入后占用变得很高，修复安装后恢复正常
以前的配置丢了，很久没折腾过，想着直接用结果还是不行 - - 8L ...

看不到图，不明白你想表达什么
有文字规则，可以参照文字规则，结合自己实情，进行设置
现成规则针对普通环境，在我个人的机子上进行过测试，64位win8.1和win10都正常

ps：大众规则不排除不适用于少部分特殊环境的情况，比如编程环境之类。特殊需求，请参照文字规则自己打造——在确保你的目的是需要“保护资料"的前提下，文件保护规则必加，其它的自己把握（比如禁用脚本之类就不适合需要使用脚本的环境）

momo5269

柯林 发表于 2021-3-9 12:07
看不到图，不明白你想表达什么
有文字规则，可以参照文字规则，结合自己实情，进行设置
现成规则针对普 ...

只是感慨一下过去而已，用来说明“以前的配置丢了” = =
那些简单设置的截图和扫描记录，现在的系统根本不适用……

抱歉打扰楼主了。