规则讨论及分享区，大家都把自己收藏的规则晒出来交流下～

必要插件

俗话说：独学而无有，则孤陋而寡闻咖啡区的各位朋友，不要再潜水了，把自己的规则贴出来大家互相参考下吧。
我先来，只贴部分我收集的规则哦
（第一行名称，第二行要包含的进程，第三行要排除的进程，第四行保护的目标，第五行要阻止的操作类型（括号里的括号：有时第六行有些自己的注解））
RD-防镜像劫持
*

HKLM   HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\**
项
写入创建
（当年的AV终结者让我知道了镜像劫持的概念，这个和下面两条都能对AV终结者的某些操作起到防护作用）
RD-禁止无法显示隐藏文件1
*

HKCU  \Software\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Hidden
值
写入创建删除
（我也不知道为啥写两条，按说这条就该够了）
RD-禁止无法显示隐藏文件2
*

HKLM  \SOFTWARE\Microsoft\Windows\CurrentVersion\Explorer\Advanced\Folder\Hidden\SHOWALL\CheckedValue
值
写入创建删除

RD-保护安全模式1
*

HKLM  \SYSTEM\CurrentControlSet\Control\SafeBoot\Minimal\**
项
删除
（这两条没试验过，不知道管用不管用）
RD-保护安全模式2
*

HKLM  \SYSTEM\ControlSet001\Control\SafeBoot\Minimal\**
项
删除

FD-保护hosts文件
*

C:\Windows\System32\drivers\etc\hosts
写创建删除

RD-防范U盘病毒
explorer.exe, svchost.exe

HKCU  /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/*/shell/**
项
写入创建删除
（很经典的规则，忘了从哪抄来的）
FD-禁止私自执行SCR文件
*
**\WIN*\system32\winlogon.exe, *.scr, ?:\Win*\explorer.exe, ?:\WIN*\system32\rundll32.exe
*.scr
执行
（很喜欢这类防后缀名的规则，不管是插入Unicode控制字符还是双后缀都能防）
FD-禁止创建vbs
*
explorer.exe
*.vbs
执行创建删除

FD-禁止恶意创建快捷方式
*
explorer.exe
**\Desktop\*.lnk
写创建删除
（记得抄的时候是 **\桌面\*.lnk，不过经我测试应该是Desktop）
FD-禁止远程访问本机文件
System:Remote

*
读写执行创建删除

ND-禁止连接3389端口
*

3389-3389
入站
（寂寞的端口规则，常见的就这一条了）
AD-禁止执行com
*

*.com
执行

FD-防范脚本病毒,禁止调用scrrun.dll
*

C:\WINDOWS\system32\scrrun.dll
写执行创建删除

FD-禁止在NetworkService目录下新建,修改,删除任何文件
*

**\Documents and Settings\NetworkService\**
创建

（这个是干啥用来着）

cy2000

都是找的规则。

orck4

确实，不是自己编了，只是自己改的   不过还好 慢慢来么

www.baidu.com

3389现在还有抓鸡的么？

必要插件

回复 4楼 www.baidu.com 的帖子

我对这行情不了解用这条防Hacker会不会好点儿
FD-禁止远程访问本地文件
System:Remote

*
读写创建删除执行

福星小子

楼主厉害俺不会写规则，但俺还是喜欢用McAfee。[:26:]

必要插件

回复 6楼 福星小子 的帖子

慢慢就会写了

花君影

都是拿别人的，加入一些自己的排除，方便