XP加强型系统保护规则[小邪邪版]

ljyang5230

根据2008年12月1日小邪邪版规则整理成文档，供大家学习

ljyang5230

回复 1楼 ljyang5230 的帖子

不能上传附件？

ljyang5230

规则包含两部分内容，现就这两部分内容分述如下：
一、公共部分
1.防间谍程序标准保护
① 规则名称（A）：保护 Internet Explorer 收藏夹和设置
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
2.防间谍程序最大保护
① 规则名称（A）：禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
② 规则名称（A）：禁止所有程序从 Temp 文件夹运行文件
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
③ 规则名称（A）：禁止从 Temp 文件夹执行脚本
要包含的进程（B）：?script.exe
要排除的进程（C）：
3.防间病毒标准保护
① 规则名称（A）：禁止禁用注册表编辑器和任务管理器
要包含的进程（B）：**
要排除的进程（C）：
② 规则名称（A）：禁止更改用户权限策略
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
③ 规则名称（A）：禁止远程创建/修改可执行文件和配置文件
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
④ 规则名称（A）： 禁止远程创建自动运行文件
要包含的进程（B）：**
要排除的进程（C）：
⑤ 规则名称（A）： 禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
⑥ 规则名称（A）： 禁止伪装 Windows 进程
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
⑦ 规则名称（A）： 禁止群发邮件蠕虫发送邮件
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
⑧ 规则名称（A）：禁止 IRC 通信
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
⑨ 规则名称（A）： 禁止使用 tftp.exe
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
4.防病毒最大保护
① 规则名称（A）： 禁止 Svchost 执行非 Windows 可执行文件
要包含的进程（B）：?:\WINDOWS\**\*Svchost*.*
要排除的进程（C）：
② 规则名称（A）： 保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
③ 规则名称（A）： 禁止更改所有文件扩展名的注册
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
④ 规则名称（A）： 保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
5.防病毒爆发控制
① 规则名称（A）：将所有共享项设为只读
要包含的进程（B）：system:remote
要排除的进程（C）：
② 规则名称（A）： 阻止对所有共享资源的读写访问
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
6.通用标准保护
① 规则名称（A）： 禁止修改 McAfee 文件和设置
要包含的进程（B）：**
要排除的进程（C）：**\windows\**\system32\lsass.exe, **\windows\**\system32\services.exe, **\windows\**\system32\smss.exe, **\windows\**\system32\winlogon.exe, **\WINDOWS\system32\svchost.exe, ?:\Program Files\**\McAfee\**\*.*, C:\WINDOWS\regedit.exe
② 规则名称（A）： 禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程（B）：**
要排除的进程（C）：**\windows\**\system32\lsass.exe, **\windows\**\system32\services.exe, **\windows\**\system32\smss.exe, **\windows\**\system32\winlogon.exe, **\WINDOWS\system32\svchost.exe, ?:\Program Files\**\McAfee\**\*.*
③ 规则名称（A）：禁止修改 McAfee 扫描引擎文件和设置
要包含的进程（B）：**
要排除的进程（C）：**\windows\**\system32\lsass.exe, **\windows\**\system32\services.exe, **\windows\**\system32\smss.exe, **\windows\**\system32\winlogon.exe, **\WINDOWS\system32\svchost.exe, ?:\Program Files\**\McAfee\**\*.*, C:\WINDOWS\Explorer.EXE
④ 规则名称（A）：保护 Mozilla 及 FireFox 文件和设置
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**, ?:\Program Files\**, ?:\PROGRA~1\**, ?:\WINDOWS\**, SYSTEM, \??\?:\WINDOWS\**, \\?\?:\WINDOWS\**
⑤ 规则名称（A）： 保护 Internet Explorer 设置
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**, ?:\Program Files\**, ?:\PROGRA~1\**, ?:\WINDOWS\**, SYSTEM, \??\?:\WINDOWS\**, \\?\?:\WINDOWS\**
⑥ 规则名称（A）：禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**, ?:\Program Files\**, ?:\PROGRA~1\**, ?:\WINDOWS\**, SYSTEM, \??\?:\WINDOWS\**, \\?\?:\WINDOWS\**
⑦ 规则名称（A）： 保护网络设置
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
⑧ 规则名称（A）：禁止公用程序从 Temp 文件夹运行文件
要包含的进程（B）：cmd.*, conime.*, ntvdm.*
要排除的进程（C）：
⑨ 规则名称（A）： Disable HCP URLs in Internet Explorer
要包含的进程（B）：iexplore.exe, wmplayer.exe
要排除的进程（C）：
⑩ 规则名称（A）： 防止终止 McAfee 进程
要包含的进程（B）：**
要排除的进程（C）：**\windows\**\system32\csrss.exe, ?:\Program Files\**\McAfee\**\*.*
7.通用最大保护
① 规则名称（A）：禁止将程序注册为自动运行
要包含的进程（B）：**
要排除的进程（C）：**\WINDOWS\system32\winlogon.exe, ?:\Program Files\**\McAfee\**\*.*, ?:\WINDOWS\**\MSConfig.exe, ?:\WINDOWS\system32\ctfmon.exe, ?:\WINDOWS\system32\svchost.exe
② 规则名称（A）： 禁止将程序注册为服务
要包含的进程（B）：**
要排除的进程（C）：**\windows\**\system32\lsass.exe, **\windows\**\system32\services.exe, **\windows\**\system32\smss.exe, **\windows\**\system32\winlogon.exe, **\WINDOWS\system32\svchost.exe, ?:\Program Files\**\McAfee\**\*.*
③ 规则名称（A）：禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\McAfee\**\*.*, ?:\WINDOWS\system32\Rundll32.exe, ?:\WINDOWS\System32\svchost.exe
④ 规则名称（A）： 禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\McAfee\**\*.*
⑤ 规则名称（A）： 禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程（B）：**
要排除的进程（C）：
⑥ 规则名称（A）： 禁止 FTP 通信
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
⑦ 规则名称（A）：禁止 HTTP 通信
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*

ljyang5230

二、自定义规则
1.        规则名称（A）：FD 禁止windows下可疑的COM文件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.com
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）  口  正在执行的文件（K）
2.        规则名称（A）：RD 禁止可疑的程序访问注册表(项)
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
要保护的注册表项或注册表值（D）：HKALL  /**
要保护的注册表项或注册表值：⊙项（E）； ○值（F）   
要阻止的注册表操作：
√  向项或值中写入（I）
   口 创建项或值（G）
口 删除项或值（J）
3.        规则名称（A）：FD 禁止在windows下创建可疑的VXD驱动
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.vxd
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
口  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
4.        规则名称（A）：FD 禁止在windows下创建可疑的DRV驱动
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.drv
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
口  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
5.        规则名称（A）：FD 禁止windows下可疑的OCX控件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.ocx
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
6.        规则名称（A）：FD 禁止对分区根目录进行可疑的操作
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\windows\**\explorer.exe, ?:\windows\**\MSConfig.exe, ?:\windows\**\NOTEPAD.EXE, ?:\windows\**\regedit.exe
要阻止的文件或文件夹名（允许使用通配符）（D）：?:\*
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  √  正在删除的文件（J）    口  正在执行的文件（K）
7.        规则名称（A）：FD 禁止Program Files下可疑的COM文件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\Program Files\**\*.com
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
8.        规则名称（A）：FD 禁止Program Files下可疑的SCR文件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\Program Files\**\*.scr
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
9.        规则名称（A）：FD 禁止Program Files下可疑的PIF文件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\Program Files\**\*.pif
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
10.        规则名称（A）：FD 禁止对本机EXE文件进行可疑的修改
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*
要阻止的文件或文件夹名（允许使用通配符）（D）：**\*.exe
要禁止的文件操作：
口  对文件进行读访问（G） 口  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
11.        规则名称（A）：RD 禁止可疑的程序访问注册表(值)
要包含的进程（B）：**
要排除的进程（C）：**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
要保护的注册表项或注册表值（D）：HKALL  /**
要保护的注册表项或注册表值：○项（E）； ⊙值（F）   
要阻止的注册表操作：
√  向项或值中写入（I）
  √  创建项或值（G）
√  删除项或值（J）
12.        规则名称（A）：FD 禁止windows下可疑的EXE文件操作
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\McAfee\**\*.*, ?:\WINDOWS\system32\Rundll32.exe
要阻止的文件或文件夹名（允许使用通配符）（D）：**\WINDOWS\**\*.exe
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
13.        规则名称（A）：FD 禁止windows下可疑的DLL文件操作
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\McAfee\**\*.*
要阻止的文件或文件夹名（允许使用通配符）（D）：**\WINDOWS\**\*.dll
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
14.        规则名称（A）：FD 禁止Program Files下可疑的EXE文件操作
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\McAfee\**\*.*
要阻止的文件或文件夹名（允许使用通配符）（D）：**\Program Files\**\*.exe
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
口  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
15.        规则名称（A）：FD 禁止Program Files下可疑的DLL文件操作
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\McAfee\**\*.*
要阻止的文件或文件夹名（允许使用通配符）（D）：**\Program Files\**\*.dll
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
16.        规则名称（A）：FD 禁止windows下可疑的PIF文件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.pif
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
17.        规则名称（A）：FD 禁止windows下可疑的SCR文件操作
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.scr
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
√  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
18.        规则名称（A）：AD 禁止在本机执行可疑的TMP文件
要包含的进程（B）：**
要排除的进程（C）：?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\Windows\system32\svchost.exe
要阻止的文件或文件夹名（允许使用通配符）（D）：**\*.tmp
要禁止的文件操作：
口  对文件进行读访问（G）  口  正在创建的新文件（H）
口  对文件进行写访问（I）   口  正在删除的文件（J）    √  正在执行的文件（K）
19.        规则名称（A）：FD 禁止在本机创建有风险的BAT文件
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\*.bat
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
口  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）
20.        规则名称（A）：AD 禁止在本机执行可疑的脚本文件
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\**
要禁止的文件操作：
口  对文件进行读访问（G）  口  正在创建的新文件（H）
口  对文件进行写访问（I）   口  正在删除的文件（J）    √  正在执行的文件（K）
21.        规则名称（A）：FD 禁止在windows下创建可疑的SYS驱动
要包含的进程（B）：**
要排除的进程（C）：
要阻止的文件或文件夹名（允许使用通配符）（D）：**\windows\**\*.sys
要禁止的文件操作：
口  对文件进行读访问（G） √  正在创建的新文件（H）
口  对文件进行写访问（I）  口  正在删除的文件（J）    口  正在执行的文件（K）

ljyang5230

没找到上传附件的地方

必要插件

http://bbs.kafan.cn/thread-807554-1-1.html
是不是撞衫了

明月几时有

楼主辛苦 谢谢分享

墨池

辛苦！

pittyopen

以前也有类似贴，还是想说：辛苦……

1e3e

类似贴