将avast！免费版准确纳入安全系统内的一点心得。

jzty2

回复 10楼 rierman  的帖子


    PCT我将它作为一个墙用，还要加马马屠，或者TF，PCT防火墙用的时候最好设置好规则，不要默认。毛豆的墙跟PCT的防火墙根本不是一个层次的东西，单单墙来说PCT比毛豆墙好很多，毛豆主要有D+而已，毛豆的墙并不能管理的权限层次没有PCT高

rierman

回复 11楼 jzty2  的帖子

学习了。不过我认为一个普通用户，无需搞的那么复杂吧。呵呵。我觉得还是上网习惯更重要。
   

rierman

回复 11楼 jzty2  的帖子

另外想问下你使用什么浏览器？谢谢
   

jzty2

回复 13楼 rierman  的帖子
浏览器我用的IE8.

   

rierman

回复 14楼 jzty2  的帖子


    哦，好的，谢谢。

jzty2

这里补充TF规则的简单说明.
文件保护设置
现在我们进入了规则设置界面,先来设置一下文件保护规则。
规则设置向导出现,按照向导来设置

先来定义父进程

进行触发规则设置
现在就要设置要监控的文件,一共四个选项:A.定义文件  B.在哪个文件目录下(全局监控可以不选) C.可疑可执行文件  D.双后缀名文件
注意在设置特定规则时C和D最好不要选.就选A、B或AB就可以了.
要监控的文件类型一般有*.ax ,*.bat,*. bin, *.cab, *.cmd, *.com, *.dll, *. drv, *.exe, *. hta,  *.ocx,*.pif,*.sys, *.tlb, *.vxd, *.x32,
C:\ntldr，C:\boot.ini，C:\Windows\system.ini，C:\Windows\wininit.ini，C:\Windows\win.ini等等……
接下来就是对一些信任程序进行排除，不受此规则监控．一般选择系统进程和信任进程.
在写上说明一切就OK
注册表保护设置
接下来我们再来看看如何设置注册表监控（已注册表防护为例）
添加要保护的注册表键，注意ＴＦ需要在注册表键后添加＂＼＂才能有效．其他键步骤一样，重复添加就可以把你要保护的键都添加进去了。
建议要保护的注册表键
ＴＦ也可以监控注册表键下特定的值．注意值下不需要＂＼＂
建议保护的值
排除，上面已经说过就不多说了
对于联网的防御，采用非交互防御规则，
设定规则与源是任何非交互式进程，触发事件：创建一个网络连接。例外：源文件在系统进程列表，源文件在信任的进程列表。
TF的信任列表设定在高级工具—自定义规则设置—进程列表里面设定。可以将杀毒软件防火墙，还有你认为安全的软件设到里面。很多人都感觉使用TF很卡，其实就是信任列表没有设置好，如果你设置好以后将非常流畅。

jzty2

TF自定义规则有意义吗？
可以说有也可以说没有。TF是非常智能的，它会自动对行为进行评估，鉴定不正常行为然后发出警报，由用户选择放行还是阻止。TF的默认规则已经对大部分危险区域做了保护（例如注册表中的run和系统文件夹c:\windows等）。但是自定义规则可以更好更全面的保护系统。
文件防御
下面所列文件很少会有进程去改写。除非你正在安装软件或打补丁，正常情况下是不会改写的，所以报警的话隔离是最好的选择。
C:\autoexec.bat
C:\boot.ini
C:\config.sys
C:\msdos.sys
C:\ntdetect.com
C:\ntldr
C:\WINDOWS\system.ini
C:\WINDOWS\System32\AUTOEXEC.nt
C:\WINDOWS\System32\bootvrfy.exe
C:\WINDOWS\System32\CONFIG.nt
C:\WINDOWS\System32\control.ini
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32\ntdos.sys
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\win.ini
C:\WINDOWS\wininit.ini
程序外联网络防御
木马一般都会要求外联发送窃取的信息。下面的规则就是防御木马外联的，适用于非交互程序（和用户没有通讯的，相当于隐藏秘密外联）。如果一个程序要联网，不是杀软升级或WINDOWS自动更新的话就要留意了，建议把报警框里的进程名百度一下，确定是正常程序再点允许并记住。
其他注意事项
把你的安全软件加入到信任区，这样会降低TF的CPU占用。
泄漏防御
如果你已经装有硬件路由或软件防火墙，只需要稍微控制一下内部外联就可以了，下面的规则是用来补充只有防外功能的防火墙的，可以取代comodo，online armor一类具有防内功能的防火墙来节省资源。
这个规则的思路就是把你平时要用到的需要外联的程序事先排除，这样以后报警就是没有排除的，需要注意的有可能是木马一类。
除了系统和信任进程列表中的进程排除之外，你可以创建另外的进程列表，把需要联网的程序加入就可以了。一般有浏览器，播放器，邮件客户端，P2P软件，下载工具等，这个看各人需要自行添加。
调用危险程序保护
一些系统程序被病毒调用的话会对系统造成危害，可以设置规则阻止调用，排除系统进程和信任进程即可。
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\cscript.exe
C:\WINDOWS\System32\msh.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\reg.exe
C:\WINDOWS\System32\regedit.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\System32\wscript.exe
C:\WINDOWS\System32\ntvdm.exe
C:\WINDOWS\System32\ftp.exe

ziucqea

说实话，我觉得TF比Comodo还复杂，而且效率不如Comodo。。。

jzty2

回复 18楼 ziucqea  的帖子
TF规则不用每个程序都设定，只要对系统理解透彻数个规则就完全涵盖。本人感觉很好用，并且不熟悉的进程还可以直接上网查询。
comodo所有程序都要写规则还要排顺序太让我蛋疼！

   

rierman

回复 19楼 jzty2  的帖子

谢谢楼主普及主防知识啊。