纯黑色规则的系统文件规则……

qqq123123

回复 1楼 jiao轩 的帖子

前提是木马进不去系统文件夹并替换文件！如果按这个逻辑来的话，就算罗列所有体统关键进程，就能保证干净？而且楠贺岁版能保证即使系统文件被替换为木马，也无法触及其他文件！看下预设规则即可知道…

accordion

回复 11楼 qqq123123 的帖子

有句话不懂，求解释

“即使系统文件被替换为木马，也无法触及其他文件！”————这句话怎么讲

jiao轩

回复 11楼 qqq123123 的帖子

噢……突然发现还没有研究过贺岁规则……现在去看看

qqq123123

回复 12楼 accordion 的帖子

看下系统组的FD规则即可！

huangzhifan1

http://bbs.kafan.cn/thread-891039-1-1.html 有兴趣就用这个规则 难度超高

jiao轩

回复 15楼 huangzhifan1 的帖子

不敢玩高难度的……

manmust

回复 14楼 qqq123123 的帖子

我也不是很懂 这个 组的 规则 。 我看到 系统组 的规则里 包括 注册表 文件 等等 的权限都是全部允许的 。 那比如一个病毒进入了 system32的文件夹 。在里面创建它的文件 也是可以允许的咯 。那这样的话 。该如何保证系统的安全呢 ？ 我是菜鸟。。希望你能解释下 。。有太多的不明白。。。  谢谢啦 。

accordion

回复 14楼 qqq123123 的帖子

刚刚看了你的规则..有几个问题


1.首先是网上冲浪那部分，首先我想问为什么你要允许修改整个IE的文件夹？IE的安全性大家有目共睹，万一遇到漏洞.......而且我想也不应该允许截屏，毕竟他是访问网页的东西，你懂得

而且我觉得给IE修改整个用户文档那个有点太松了，我想大多数人都会把资料往里面塞吧，如果被改了呢？

2.你的思路是保证了windows不被修改，那么可以放心的给%windir%\*所有权是吧（不给修改其他文件），但是你又为什么允许修改整个windows目录，按道理来说你要做windows排除应该很容易吧。（允许修改APCI.sys用意何在？）           而且explorer是否限的很严了？这样我想在F盘重命名都没办法

3.木马测试这个东西这个规则好像没啥用处吧，基本上木马可以运行，但是具体的行为就没办法看了，虽说可能会看到一些行为，但是很多行为都会被秒杀吧，这是神马意思？

4.最后，全局规则你选择了全局阻止，并且把沙盒关掉了

那么，真正要安装新软件的时候，肯定是要关D+吧
(套到万能分组？不现实吧，很多软件都要改临时文件并以临时文件作为可执行文件，并且还给访问explorer内存？通用分组更不用说了）

沙盘也是关的吧

只有杀软和云？漏了怎么办？

综合第二个问题，假设真有感染性病毒（黑炸弹，熊猫啥的类似），只要被感染了windows任何一个程序，整个windows目录完蛋，部分资料也....）。被改了驱动目录更不用说了


假如你说你的规则是保证在D+开着的情况下......

那还是修改下IE为好


另外，分那么多组是不是有点？直接一个组多好，新手可以不用找的那么麻烦

jiao轩

回复 14楼 qqq123123 的帖子

对了，我还想问一下，那个智能沙箱有什么作用？跟全局规则不是一样吗？多谢了