本帖最后由 hujiwa 于 2011-2-23 12:36 编辑
要拿规则的直接上坐电梯或走楼梯上2楼,目前本文为初稿,还有很多要完善修订的地方,请多多包含哈。
虽然我书写了本文,但是我推荐用浏览器的adblock plus,别用小a来去广告。不过呢,考虑自定义规则放钓鱼,防弹页是不错的。
我这系统xp
找到C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\WebShield.ini
用记事本等编辑器打开。
如下示范:
[WebScanner]
HttpRedirectPort=80,8080,8091,8081,8008,8888,3124,3127,3128
HttpRedirectPortUpdated1=1
IntelligentStreamScanning=1
WebScanning=1
URLBlocking=1
BlockedURLs=http://www.kafan.cn*;http://www.123.com*;http://www.234.com*;
[Common]
ScanFullFiles=0
ScanPUP=0
TaskSensitivity=100
UseCodeEmulation=1
上面3个是我随便写的。
如果你有现成的可以移植的,请自行动动脑子移植。
比如:把*aaa*;*bbb*;*ccc*这样的规则,我试过了也是可以的。
比如:
[WebScanner]
HttpRedirectPort=80,8080,8091,8081,8008,8888,3124,3127,3128
HttpRedirectPortUpdated1=1
IntelligentStreamScanning=1
WebScanning=1
URLBlocking=1
BlockedURLs=*aaa*;*bbb*;*ccc*
[Common]
ScanFullFiles=0
ScanPUP=0
TaskSensitivity=100
UseCodeEmulation=1
----------------------------------------------------------------------------------------------------------------------------------
如果想要比较多的写的话,
可以写成比如www.123.com;www.234.com;www.345.com;www.456.com;
如下:
[WebScanner]
HttpRedirectPort=80,8080,8091,8081,8008,8888,3124,3127,3128
HttpRedirectPortUpdated1=1
IntelligentStreamScanning=1
WebScanning=1
URLBlocking=1
BlockedURLs=www.123.com;www.234.com;www.345.com;www.456.com;
[Common]
ScanFullFiles=0
ScanPUP=0
TaskSensitivity=100
UseCodeEmulation=1
再利用替换,把www替换成http://www;把com替换成com*,同理cn换成cn*等。
如图:
最后保存。同意小a的警报
-----------------------------------------------------------------------------------------------------------------------------------------------------------
附上本人得知此方法的方法:
1、安装malware defender,4d全开。
2、把默认规则基本全部删掉,都改成* 询问
3、开学习模式——在小a界面里增加一个阻止的网址。
4、看日志
2011-1-30 19:50:13 从其他进程复制句柄 允许
进程: c:\windows\system32\svchost.exe
目标: c:\program files\malware defender\mdservice.exe
句柄: (File) \Device\Afd\Endpoint
规则: [应用程序]c:\windows\system32\svchost.exe
2011-1-30 19:50:24 创建新进程 允许
进程: c:\program files\avast software\avast\avastui.exe
目标: d:\program files\qqpinyin\4.1.1063.400\qqpycloud.exe
命令行: "D:\Program Files\QQPinyin\4.1.1063.400\QQPYCloud.exe" ## CMD = 23;
规则: [应用程序]*
2011-1-30 19:50:25 从其他进程复制句柄 允许
进程: c:\windows\system32\svchost.exe
目标: d:\program files\qqpinyin\4.1.1063.400\qqpycloud.exe
句柄: (File) \Device\Afd\Endpoint
规则: [应用程序]c:\windows\system32\svchost.exe
2011-1-30 19:50:25 访问网络 允许
进程: d:\program files\qqpinyin\4.1.1063.400\qqpycloud.exe
目标: UDP [本机 : 1223] -> [221.131.143.69 : 53 (domain)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-1-30 19:50:25 访问网络 允许
进程: d:\program files\qqpinyin\4.1.1063.400\qqpycloud.exe
目标: TCP [本机 : 1224] -> [221.130.23.157 : 80 (http)]
规则: [网络]任意协议 [本机 : 任意端口] <-> [任意地址 : 任意端口]
2011-1-30 19:51:20 读文件 允许
进程: d:\program files\everything-1.2.1.371\everything-1.2.1.371.exe
目标: C:\WINDOWS\system32\msctf.dll
规则: [文件]*
2011-1-30 19:51:46 修改注册表值 允许
进程: c:\windows\explorer.exe
目标: HKEY_CURRENT_USER\SessionInformation\ProgramCount
值: 0x00000003(3)
规则: [注册表]*
2011-1-30 19:51:52 读文件 允许
进程: c:\program files\avast software\avast\avastui.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\aswResp.dat
规则: [文件]*
2011-1-30 19:51:52 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\aswResp.dat
规则: [文件]*
2011-1-30 19:51:52 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\WebShield.ini
规则: [文件]*
2011-1-30 19:51:52 修改文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\WebShield.ini
规则: [应用程序]c:\program files\avast software\avast\avastsvc.exe -> [文件]c:\documents and settings\all users\application data\avast software\avast; webshield.ini
2011-1-30 19:51:53 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\avast5.ini
规则: [文件]*
2011-1-30 19:51:53 修改注册表值 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\aswRdr\Parameters\WSIgnoreLSPDefault
值: nl_lsp.dll,imon.dll,xfire_lsp.dll,mslsp.dll,mssplsp.dll,cwhook.dll,spi.dll,bmnet.dll,winsflt.dll
规则: [注册表]*
2011-1-30 19:52:01 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Program Files\Malware Defender\mdreschs.dll
规则: [文件]*
2011-1-30 19:52:03 修改文件 允许
进程: c:\windows\system32\svchost.exe
目标: C:\WINDOWS\system32\wbem\Repository\FS\MAPPING1.MAP
规则: [文件]*
2011-1-30 19:52:13 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Program Files\AVAST Software\Avast\defs\11012901\aswRawFS.dll
规则: [文件]*
2011-1-30 19:52:14 加载动态链接库 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: c:\program files\avast software\avast\defs\11012901\aswrawfs.dll
规则: [应用程序]*
2011-1-30 19:52:14 读文件夹 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\WINDOWS\system32\drivers
规则: [文件]*
2011-1-30 19:52:14 读文件夹 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\WINDOWS\system32\drivers\disdn
规则: [文件]*
2011-1-30 19:52:14 读文件夹 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\WINDOWS\system32\drivers\etc
规则: [文件]*
2011-1-30 19:52:16 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\aswAr.run
规则: [文件]*
2011-1-30 19:52:16 删除文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Documents and Settings\All Users\Application Data\AVAST Software\Avast\aswAr.run
规则: [应用程序]c:\program files\avast software\avast\avastsvc.exe -> [文件]c:\documents and settings\all users\application data\avast software\avast; aswar.run
2011-1-30 19:52:26 读文件 允许
进程: c:\program files\avast software\avast\avastsvc.exe
目标: C:\Program Files\AVAST Software\Avast\Setup\setup.ini
规则: [文件]*
2011-1-30 19:53:01 读文件 允许
进程: c:\program files\avast software\avast\avastui.exe
目标: C:\WINDOWS\system32\msctf.dll
规则: [文件]*
-----------------------------------------------------------------------------------------------------------------------------------------------------------
bug反馈
1、我曾今写过*qq*,保存。后来把规则去了改成其他规则。我在火狐再次登录www.qq.com依然被阻止。试过几次都这样。重启火狐,再试还是不行。我打开avast内容再看看,又关了火狐1,2次的样子。再登录www.qq.com可以访问了。——说明有规则生效延迟的问题。
其他待定
-----------------------------------------------------------------------------------------------------------------------------------------------------------
探讨:
1、期望支持:如下书写方式,我大致试了下,貌似不行。希望各位也验证下是不是。
[WebScanner]
HttpRedirectPort=80,8080,8091,8081,8008,8888,3124,3127,3128
HttpRedirectPortUpdated1=1
IntelligentStreamScanning=1
WebScanning=1
URLBlocking=1
BlockedURLs=www.123.com;
www.234.com;
www.345.com;
www.456.com;
[Common]
ScanFullFiles=0
ScanPUP=0
TaskSensitivity=100
UseCodeEmulation=1
2、希望处理好通配符代表0字符的问题
比如:如果我像阻止qq1.com,qq12.com,qq123.com,但是排除qq.com
那么显然*qq*会把腾讯家官网也阻止掉。至于是否 目前可以排除,我还没研究。因为我不研究杀毒软件的,对avast的使用比大家陌生许多。
3、阻止广告实例:
http://a.alimama.cn/inf.js
上面卡饭顶部广告成功屏蔽
 大家可以来研究avast的去广告规则的定制与移植了
-----------------------------------------------------------------------------------------------------------------------------------------------------------
更新日志:2011年1月30日,完成本文初稿。
今后是否更新,待定。我写的文章多数是更新的。
最后提示:不要局限与本文:由于我自己几乎不琢磨杀软的,所以更多好方法,技巧,还得各位杀毒软件玩家自行变通。(欢迎分享各种移植技巧。个人估计尤其是替换技巧会很实用。)
|
[复制链接]
发表于 2011-1-30 20:18:46
楼主
为了知道小a的配置文件居然连MD都用上了 直接问我们嘛支持的通配符还有“?”
