请教小邪邪版主超级版规则问题

pyphh

仔细的看了一下超级版的规则问题,发现太多太复杂了,好像也有很多是重复的,我想可不可以简化点,把禁止在C盘,windows,system32等文件夹里面新建文件等这些规则这些保留下来,还有保护系统重要进程的,如explorer.exe,smss.exe等这些也保留下来,再加一条A86跟防病毒爆发那条,这样的话行不行得通
我想保护了系统重要进程的话,就不怕病毒会劫持这些程序,那样的话对系统有嫌疑的只是一些应用程序(包括一些不知名的程序),限制它们在硬盘里面胡乱创建文件修改注册表,这样的话即使真是病毒也发作不了,请问版主和各位高手,这样的话行不行,有什么漏洞吗?

小邪邪

那些规则都是精心打造出来的，怎么会重复呢？
全部打开的话是第一道防线：让病毒从一开始就无法进入硬盘（我是到目前还从没见过这条防线被突破过）

超级防护规则是第二道防线：即使病毒已经进入硬盘中，也能让未知病毒无法动弹，即使是你自己想去运行它也是根本就“动”不了的，而且它一想动的话就暴露在日志里（文件名，文件路径，什么时间想干什么事），属于“见光死”了，监控认不出它来不要紧的，有这条防线在它变什么种也等于“废”了（我特意运行过mcafee不能识别的威金，熊猫烧香等病毒的新变种，这条防线也从未被突破过）

所以也够用了，这条规则是很强悍的

那些规则交织成一个多重交叉的防护网
一个病毒若想要通过这些防线进入系统应该是有很漫长的路要走的。。。

[ 本帖最后由 小邪邪 于 2007-1-11 16:29 编辑 ]

pyphh

懂了,不过像我上面所说的保护系统重要进程,禁止胡乱新建修改文件,再加一条A86,这样的话是不是也做到了让病毒无法进入硬盘而且使它无法发作呢,我就是想问下版主这样改行不,或者还有哪些漏洞

小邪邪

如果觉得太麻烦的话这样已经够了，对未知病毒的抑制能力已经很强了

pyphh

谢谢了,谢谢版主这几天不厌其烦的解答我一些锁碎 的问题

pyphh

又想清楚了一下,A86作为第一道墙,防住了大门,第二道墙则是要看守好在A86里面排除了的那些进程,这样的话,定制规则的思路又清晰了一些,但具体又不知该如何保留才能守好第二道墙

[ 本帖最后由 pyphh 于 2007-1-11 20:28 编辑 ]

小邪邪

很简单，不要随便把陌生的进程添加到排除表里就可以了

如果放在整个mcafee8.5i中来看，其实A86规则还只能是“第三道防线”
第二道防线是它的反病毒监控，如果某个程序被识别出是病毒的话会被直接丢进“看守所”里去

pyphh

嗯,小邪邪版主,A86里面排除的进程大致分为两类,一类是系统进程,这些在超级版规则里已经有很强的保护,还有一类是应用程序进程,这些一般也不会出现问题,但会不会出现重名的进程呢,比如QQ.exe,会不会有病毒也叫QQ.exe呢(或是QQ.exe已经被抢劫了),说明白了就是如果病毒的名字也在排除列表里面的话那就很麻烦了,对于这些应用程序进程带来的嫌疑,我们可能没有很好的方法来识别,唯一的方法只能够限制它们胡乱修改你的硬盘,这样的话就做到了防止病毒进入,即使病毒进入也不能有所作为(不知我说的是否正确,版主是不是也是根据这种思路做规则啊),但做到这步还不行,因为这些针对的都是.exe文件,如果遇到非.exe病毒的话,我看到超级版里面就有一些针对非.exe病毒,比如.scr,所以再加进去这些应该可以了吧
这样的话那就是说整个超级版都有用了,没有得删减,除了那些端口,还有一些像禁止outlook,ping命令那些规则,(我觉得如果把病毒牢牢掌握的话,开不开放端口有什么关系呢)