菜鸟规则易用版

84291800

看文章时，老蹦出下面的下面的红叉，能搞掉它不？

柯林

回复 121# 84291800
ADOBE阅读器没有认真用过，我平常就用Foxit Reader。
图示是运行那个程序被阻止了，你把它加到程序分组的办公软件里即可。

柯林

用影子或沙盘的测试一下新作的支持沙盘和影子的规则。
规则直接以我用的外网形式打包，内网的就不发了——内网规则无非是防火墙添加了局域网共享的规则，D+部分完全一样，改下防火墙规则即可。
关于沙盘和影子与毛豆打架冲突的问题，我这里初步试验的效果，抱歉，我实在看不出来，表面上好像没有问题。
注：沙盘和影子都是最新版，要注册码的，我试用的是30天免费。影子以影子后卫为例子。
其实我对这两个东西都不感冒，一个是很少用，基本上属于不会用的，另一个是就目前的V3局面来看，个人觉得红伞加毛豆的经典组合已经足够了，下步V4或许可以全套装。

arg10

问下对于U盘病毒是如何防御的    如何修改禁止 U盘下的 exe 文件执行

shuangchun

更新规则了啊 谢谢提供

byxiaochen

回复 124# arg10
在*里添加?:*.exe
隔离区里加*\autorun.inf

柯林

回复 124# arg10
你可以这样看：对于已经感染了病毒的U盘，你所要做的就是禁止U盘上的病毒运行，禁止U盘上的病毒感染其它文件；对于预防U盘被病毒感染而言，你所要做的就是禁止在U盘上创建病毒文件。两方面结合起来，就是你要的效果。
具体方法，如果采用路径防护，那就是禁止U盘上的可执行文件运行【一般只需禁止U盘根目录下的可执行文件运行即可，若出于严厉防范那就是一刀切——彻底禁止U盘上的任何程序运行】，禁止U盘上的驱动安装和加载【一般只需禁止磁盘根目录下的autorun.inf驱动被加载即可，若出于严厉防范那就是一刀切——禁止U盘上的任何驱动文件被安装和加载，禁止启用相关服务】，做到这两步，基本上已经防住了入口。如果你要追求滴水不漏，那当然还可以加上，禁止U盘上的任何文件（主要是可执行文件）改写其它任何磁盘路径的任何文件，禁止U盘上的任何文件（主要是可执行文件）访问注册表。
如果采用文件防护，全局FD，可以禁止任何未知程序运行高危进程（例如cmd.exe之类），禁止任何未知程序创建、修改可执行文件，禁止任何未知程序访问注册表。这样的设置如果列入全局规则，只要没有规则允许U盘上的程序破例可以进行上述操作，基本上已经能够防范U盘病毒。如果要双保险，那就再加上U盘路径全部阻止的隔离规则。
流行观点认为，禁止资源浏览器读取磁盘根目录的autorun.inf文件也是一个有效措施，还有人认为直接把?:\autorun.inf放入拦截区是更保险的做法。这些意见都可以参考。
从规则防护的角度来说，要防御的主要部位或路径，大致也就是那么几处，模式大致也就是那么几种，但是具体的方法——如何才能取得预想的效果，却是可以灵活处理和统筹安排的，这就是各人思维和处理事物的方式不同就会有各种不同规则的原因，这方面是无教条主义及死板可循的。

arg10

谢谢  看你的规则好像没有针对 U盘病毒的内容   所以想问下
还有能把你的规则的分类的组的  权限大体介绍下吧  
以便别人量身定做自己规则时候不知道该改那里
比如我用cad 发现打不开图  自己做了cad的规则放在所有规则上面发现能用
又用别的软件设定用快捷键打开qq   发现 qq的hook 被阻止了 我的qq放再 D:\QQ文件夹下  
单独设了软件的规则置顶权限设为全允许 结果发现依然不能用   找了半天不知道是那里的问题
comodo 的日志也不显示触犯的是那条规则   所以用别人的规则想改的话也能麻烦
要是LZ能把规则介绍的详细些会让大家使用起来更得心应手

柯林

回复 128# arg10
U盘病毒防御，已经做了，主要是两处：
1、计算机安全规则中隔离（全部阻止）U盘路径\Device\Harddisk?\*
2、全局规则（所有应用程序*）禁止任何程序运行\Device\Harddisk?\*和禁止加载驱动（包括了?:\autorun.inf）；禁止任何程序创建可执行文件和脚本文件和?:\autorun.inf【这是全局FD的方法，任何地方都禁止创建修改可执行文件exe等，不用担心病毒会创建病毒文件到U盘上】
此外还有一处就是explorer的规则里，禁止运行磁盘根目录下的可执行文件和U盘路径。
以上3个措施，已经足够防御U盘病毒。你可以试试运行一下U盘上的程序。
我的规则实际上是属于严厉型，但是逻辑关系是极端简单的，你只要记住两点：
1、垫底的那条全局规则【所有应用程序*】是起拦截作用的，基本上属于全部阻止，凡是没有在全局规则之上设置规则给予允许的，一定会被全局规则拦截。你如果把程序规则放到全局规则之下，那是一点作用都不会起的，早被上面的全局规则拦了，要想有作用必须移动到全局规则之上。
2、因为全局规则是全部否定来加以拦截的，所以上面的应用程序规则，你选询问还是阻止，结果都是一样的——被全局规则拦截，一般不会弹出询问。
通常情况之下，如果出现拦截，你只要从那个程序的规则和全局规则这两处来找原因即可。
除了全局规则必须垫底之外，其它的基本上可以无所谓顺序，怎么排都可以，我之所以那样排，是出于优化运行速度的考虑——系统程序及安全软件等常用、急用的程序排在上面，非急用及很少用的程序排在下面，这样可以保证毛豆用最短的时间寻找到程序规则来放行程序。
其实若依我的本意，是需要全部分组管理的，要允许那些程序，需要到程序分组里添加路径。如果程序分组里没有路径，计算机安全规则里是找不到相关的允许规则来放行的，结果只能是被全局规则拦截。这样设计的目的就是——即使程序已经顺利安装，如果没有规则明确规定它可以被允许，那么它也是无法运行的。由于全局规则设置的关系，基本上不会弹窗询问，直接静默阻止。

补充一点，出于安全考虑，对于系统进程和安全软件做了保护设置，一般情况下没必要理会。对于实在需要破例放行的，D+日志中显示的拦截信息，除了访问权限的，有可能就是这里的，请注意检查。

arg10

谢谢
你这个规则还是不错的   很好用  之前用的一些别人的规则都有点不方便的地方  造成很多软件无法使用
最后卸了comodo  用你的规则感觉很不错  公司用  自己弄规则没必要  找个不错的改改套用就行了
确实不错   简洁明了  实用性很强