初来乍到+不解的疑惑

苗条的猪

      昨天早上进入这个论坛的，坚持从头到尾把每一篇文章都看了一遍，那个累の丫~~~首先申明，偶是个菜鸟哦，呵呵。。。。感觉来了这个地方真是不虚此行，对电脑方面的安全知识又涨了一大截，恩，8错8错！
     再申明一点：这是本人来的第一个有关病毒方面的论坛，并且不想走了，因此请大家多多照顾！在这里猪猪先谢谢各位叔叔和伯伯们呢o(∩_∩)o...！
      来这之前就用过8.0和8.5（据说中国社会科学院用的就是这个），部分都自己摸索掌握了，可进来后才发现，唉，原来最精髓的个人自定义规则根本就不晓得用嘛~~~嘿嘿，真是败给自己了！非要用刀背去砍人。。。。。
      不过我是菜鸟我怕谁啊~~不懂就要问咯：以下就是问题（看贴的朋友顶顶我，就当是支持新人啦！嘿嘿。。。。）
      问题：如何防护浏览器主页不被修改
      这里引用navigateqd 版主的“麦咖啡设置指南------详细介绍访问保护的设置方法抵御未知病毒”——通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源，而且效果不一定好。而咖啡防护效果相当理想。具体方法如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地创建/修改hosts文件
阻挡对象：IEXPLORE.EXE，或者*
要阻挡的文件或文件名：**\etc*\**
要阻止的文件操作：在创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试
好了。恶意网站不能在更改您的主页了。

     但这里我就有疑问了，如果用超级兔子或者是安全360的修复功能时，主页会不会修改呢？为此我小试一下，结果。。。。。主页被超级兔子和安全360欺凌了一番，唉。。。。。或许我真的很菜吧看不懂这个规则的定义：是不是这个规则只能不被恶意网站修改主页呢？！
     所以偶想问一下：什么样的规则能令超级兔子和安全360在主页的金钟罩下软绵绵呢？？？还请各位高人帮帮我这个初来乍到的菜鸟吧？先谢谢啦~~！

ouran

供参考
8.0保护hosts
规则名称：保护hosts以防范恶意代码侵袭
阻挡对象：*
阻挡的文件夹或者文件名：%windir%\system32\drivers\etc\hosts
阻止的文件操作：写入文件，创建新文件、删除文件
响应方式：阻止并报告访问尝试
注意需要阻止的三项操作方式,阻止对象不光是浏览器IEXPLORE.EXE,应该为*

要更好得保护浏览器的设置，建议８．５，内置的＂保护 Internet Explorer 设置＂规则已经将hosts列入保护范围，不必单独设置

以上为个人看法，仅供参考

小邪邪

果然很菜，而且还是个在用8.0的菜鸟
hosts文件跟保护IE主页无关（8.5的默认的网络设置保护里就有的）
更改主页主要修改的是注册表

保护网络设置（8.5）
注册表项：
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**"
"HKCCS/Services/netbt/**
（以上 创建，删除）
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
（以上为 创建，写入，删除）
排除注册表项（创建，删除）：
HKCCS/Services/tcpip/Performance
HKCCS/Services/netbt/Performance
文件路径（写入，创建，删除）：hosts文件

保护Internet Explorer设置
监视所有进程
注册表项：
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
（以上为 创建，写入，删除）
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet SettingsroxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Search_URL
（以上为 写入，删除）

由此可见：8.5的默认已经对主页进行了保护（标准设置）

而8.0由于没有对注册表实行管制，所以对于主页被修改是无能为力的。。。

[ 本帖最后由 小邪邪 于 2007-2-12 00:43 编辑 ]

苗条的猪

呵呵，谢谢邪主啦！~~~其实俺用的是8.5，不好意思，大家都走眼了。。。。 看了你说的后以前不敢排除的可以放心排了，哈哈~~！

苗条的猪

还有一个相似的问题：如何防止IE标题栏被修改？
     以上的方法用了。。。可貌似IE标题栏还是给废了。。。

zxc789

咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止在本地创建/修改hosts文件
阻挡对象：IEXPLORE.EXE，或者*
要阻挡的文件或文件名：**\etc*\**
要阻止的文件操作：在创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试
好了。恶意网站不能在更改您的主页了。
－－－－－－－－－－－－－－－－－－－－－－－－－－－－－
这个规则可以禁止修改主页吗？～～病毒不是改注册表就可以了吗？～～etc*是什么？～～

jpzy

标题栏也是有对应键值的～！以前遇到主页和标题栏被恶意修改的，用工具清理完以后我都是手动查找，然后把标题栏改回来～！
你可以自己在注册表里面找找，找到以后用咖啡写一条规则保护起来就行了！！

jpzy

借你的地盘问个问题，大家帮忙解答一下～！
前几天玩注册表的时候发现注册表可以对相应的键值指定权限～！也就是说可以指定某个用户拥有或者禁止对注册表相应键值的写入，修改，删除等权限！
那么，我找到相应键值以后，用指定权限的方法进行保护和用咖啡进行保护，效果是否相同呢？如果可以，那一个熟悉操作系统的人，不用咖啡的注册表保护就可以做到对注册表的关键区域进行防护了！！
而且，观察咖啡的规则编写，我觉得，咖啡的访问保护很可能主要是对注册表相关键值进行操作！因为windows的大部分操作都通过注册表来进行～！如果真是这样的话，一个熟悉操作系统底层的人，就有可能编写相关的软件来实现咖啡的访问保护功能了！！

yumiren89

可以的，假如是ntfs，那么文件保护规则也可以不用咖啡的，指定权限就可以。

zxc789

ntfs有进程排除吗？～～没有吧～～难道你想全部禁止？～