简单规则Ⅱ【终版+普通版+加强版】Sp1，让病毒来得更猛烈吧，4.14小更新

zxzy

回复 248楼 群心璀璨 的帖子

看不懂。。如果是那个不在规则中的程序也可以正常使用的方法是阻止修改现有的组，然后在下一条规则中允许整个目录。

w867057887

学习了

zxzy

群心璀璨 发表于 2011-2-8 22:46
正式版发布喽，发来贺信~~

我用XT发现内核的过滤驱动内有代表Volume的路径。。不知道能不能用毛豆进行保护。。不过我用winobj的时候却没发现这个Volume的路径。。真奇怪。。

huangzhifan1

昨天大概看了下规则 分组太少 弹窗太多 有些分组实际是可以限制死的 减少一部分弹窗 系统组文件保护太宽松 估计是老兄机子上软件太少吧 有些设置还不够细致 输入法联网估计有些同学不喜欢 防盗号组 也是游戏组吗 ？？？
今晚再深度发掘下

做通用规则现在大概思路知道了

zxzy

回复 254楼 huangzhifan1 的帖子

我电脑上的软件是很少。。所以有些设置只能不设置的太过于细致。。输入法联网是考虑到云。。。防盗号组主要就是放一些QQ，网游之类的，需要防止被盗号的程序。。
至于分组限制死，可能在别人的电脑上需要更多的排除，不利于通用。。弹窗应该也只有那么三种类型吧，运行一个可执行文件，com接口，FD。。不会还有其他类型的？

huangzhifan1

弹窗规则介绍以及入门概述

比如QQ吧 聊天工具组 你COM 注册表 文件保护询问 全局或者过滤组也是询问

没有规则就会弹框 然后D+规则 会出现一个置顶的 “QQ自定义规则”

QQ自定义规则就是聊天工具组的没有的规则的补充

举个简单例子
比如聊天组没有例外允许 也没有例外阻止
QQ修改\Device\MountPointManager

无规则就会询问弹窗了

ok 当你一路点击允许或者阻止  并且勾选了记住 置顶的QQ自定义规则会自动记录到定义规则里 (j记住不要一路点允许 点了一个就改成通配付 不然弹死你 直接到预定义改 当然白名单做到位了要修改的东西就少了)不会通配符的 比较麻烦

然后你再把置顶的QQ自定义规则   补充到聊天工具组 就不会有弹窗了

当然你的注册表必须是优先阻止一部分黑名单 优先允许些常用的白名单

减少弹窗量

?:\Program Files*\这个通配付是为了适应win7和xp通用

群心璀璨

回复 251楼 zxzy 的帖子

是这个意思：你的想法是先允许了?:\program files\*\*再将?:\program files\*完全阻止，那么就能防止程序根目录里的东东，这个是可以实现的，但不会再有弹窗了~

群心璀璨

zxzy 发表于 2011-2-9 00:04
我用XT发现内核的过滤驱动内有代表Volume的路径。。不知道能不能用毛豆进行保护。。不过我用winobj的时候 ...

那个不是system volume informatiom吗？也许xt做得太底层了，别的工具的写法不一样？
如果毛豆不识别这个目录的话，我感觉毛豆是不能保护它的。我感觉对于一个不识别的东西，它在毛豆看来到底存不存在的东西都不能确定了，还保护什么？纯属猜想~

zxzy

回复 257楼 群心璀璨 的帖子

但如果?:\program files\*\*这条规则带有询问的话，就不能达到相同的效果了这样还真的是有点麻烦。。

zxzy

群心璀璨 发表于 2011-2-9 22:54
那个不是system volume informatiom吗？也许xt做得太底层了，别的工具的写法不一样？
如果毛豆不识别这个 ...

也可能就是system volume informatiom。。那么winobj看到的multi(0)disk(0)rdisk(0)路径是\Device\Harddisk0\Partition0..不知道是什么，感觉像是分区表。。