防病毒安全规则

yhsr

看了这么久的论坛，大家都在说规则，发布规则，可是却没一个人说明为什么要这么写。希望能收集一些防病毒的原理，只有掌握了这些原理，才能更好的编制规则。
大家有什么好的防病毒方案，希望能发出来看看。
1、启动文件的防护：病毒都是要随系统启动的，不然就成死毒了，（感染型的可能不需要），保护好启动项你就成功了一半，包括注册表和启动文件夹
     启动项（补充中）：1、\Documents and Settings/All Users/“开始”菜单/程序/启动/ 2、/Documents and Settings/All Users/Start Menu/Programs/Startup/
                              3、*\SOFTWARE/Microsoft/Windows/CurrentVersion\Run  RunServices RunServicesOnce  RunOnce 4、[HKEY_CURRENT_USER\Software\Microsoft\Windows NT\CurrentVersion\Windows]  load"=    5、Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\StartUp          有哪个能导出comodo中的内容啊，那里面好象全

2、可执行文件的防护 ：病毒当然要运行啦，要么新建可执行文件，要么修改，保护好这个病毒就很难进来了。要注意的是有很多病毒并不用一些常用的可执行文件后缀，往往有什么tmp、bmp的也可以运行
                  （可以用这么一条规则禁止这些特殊的可执行文件  * 运行程序 阻止  允许  允许的可执行文件名    保护开启 例外常用的可执行文件）
3、驱动的防护：这个比较重要，这里一旦中毒就很难处理了，都在drivers文件夹中（我系统启动时有些程序好象要修改其中的东西，不知道正常程序是否有此动作）
4、Dll文件保护：大部分病毒都会注入到这里。要特别注意dllcache这个文件夹，防止里面的东西被随意改动
5、系统盘根目录文件的保护：系统启动必须，一旦被删除可能会造成启动不了
6、根目录下一般不会有可执行文件,临时文件夹中禁止程序运行，很多网上来的病毒都是从这里开始
7、保护好安全模式：HKLM\SYSTEM\ControlSet*\Control\SafeBoot\，有很多问题需要进入到安全模式修复，被破坏后非常麻烦
8、系统服务项，会随机启动  HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet*\Services
9、映象劫持：重要的东西HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options
                     被劫持后安全软件都会没办法运行了，运行安全软件实际上运行的是病毒程序
10、一些会自动被执行的文件：autorun.inf  desktop.ini   folder.htt
11、文件关联：文件用什么样的程序来运行，病毒常改的地方   exefile\shell\open\command] @="\"%1\" %*" 文本文件，可执行文件的关联方式要保护好
12、重要的配置文件，这里也可运行病毒wininit.ini、Win.ini、System.ini %windows%\winstart.bat
13、病毒经常会修改Ie设置，快捷方式来使用户连接到恶意网站等，相关键值大家自己查下吧
14、修改一些系统注册表关键值来达到破坏系统，保护自己的目的，这些地方比较多了，只有慢慢收集、添加
15、一些常被黑客病毒利用的程序，而一般系统几乎不用，可以禁止掉，自己收集吧
16、抓抓有个无行为组值得借签，一些非运行的文件和文件夹可以列出来，减少规则漏洞，防止未知木马

大家如果有好的东西可以跟到下面，我来把他整理到一起，这样编规则这方便多了，一条条来

cucook520

我捡现成的