flo 穿墙性不错的下载者 (演示)

显示全部楼层 · 发表于 2007-3-27 00:58:18

以上两个规则每条都可阻挡写入和删除。

根目录的写法是下面这样的，必须两个规则才可以阻挡写入和删除

[ 本帖最后由 jlennon 于 2007-3-27 01:05 编辑 ]

显示全部楼层 · 发表于 2007-3-27 01:02:26

#**:\##*#.#MODEXT#
只防根目录我是这么写的,应该对吧

反正测试了下好像是对的.

我只保护C盘根目录下的文件防止被删除,禁止生成AUTORUN.INF和一些BAT.VBS,再就是那些MODEXT了.

你设置全局都提问你...天,能点的过来么,可是很多写个LOG,还有那个pchealth里写入也很频繁.

不知道如何精简,反正把文件保护稍微弄了点,,,规则就已经加了50条了.

显示全部楼层 · 发表于 2007-3-27 01:06:13

另外你知道进程交互那里还需要自己设置啥么.就是添加服务上面那条..

还有注册表监控也不知道是否有漏的.一看默认规则那么多,就直接没看,

显示全部楼层 · 发表于 2007-3-27 01:07:00

MODEXT代表各种可执行文件的。

，是你说的根目录防止写，我就按照你字面的意思理解的。

显示全部楼层 · 发表于 2007-3-27 01:09:29

进程交互，原厂设置的不错了，不需要自己添加什么了。

要是能问baba_yu要到他写的规则研究研究就省事多了，我好懒

显示全部楼层 · 发表于 2007-3-27 01:09:40

但可执行文件里不包括VBS和BAT呢.
呵呵.我挨个实验滴..
你自己定的规则都是FD的么?

显示全部楼层 · 发表于 2007-3-27 01:13:57

#*#.#MODEXT#

这么写就可以了

显示全部楼层 · 发表于 2007-3-27 01:14:13

他可是补充了90条规则呢...不过他的肯定都比较精吧.

另外有点,如果设置文件里的第2条打开那个..

设置了一个规则禁止打开这个文件,怎么比方建立一个文件后,然后删除这个文件,这期间一直弹这个打开阻挡规则?其实没打开啊..,,还不是弹一次两次..

现在就只能使劲拿病毒来测试规则有没有漏了.漏了就补充上.

显示全部楼层 · 发表于 2007-3-27 01:14:53

原帖由 icka 于 2007-3-27 01:09 发表
但可执行文件里不包括VBS和BAT呢.
呵呵.我挨个实验滴..
你自己定的规则都是FD的么?

我就定了一条FD

显示全部楼层 · 发表于 2007-3-27 01:16:59

原帖由 jlennon 于 2007-3-27 01:13 发表
#*#.#MODEXT#

这么写就可以了

呵呵,你的这个意思是也是所有盘符根目录下的可执行程序?
把各个盘都保护了,AUTORUN.INF型的病毒可每个盘下都塞个呢

[病毒样本] flo 穿墙性不错的下载者 (演示)

本帖子中包含更多资源