搜索
查看: 118306|回复: 957
收起左侧

【交叉分组】规则(2012.8.24生日版——控制感与易用相结合,你懂的!)

  [复制链接]
sanhu35
发表于 2011-3-21 11:58:50 | 显示全部楼层 |阅读模式
本帖最后由 sanhu35 于 2013-3-5 17:01 编辑

Malware Defender交叉分组强力规则
适用于:winxp & win 7
转载请注明来源!

有时间会小更新一下!!
使用方法:
1.设置-规则-管理规则文件-导入本规则。
2.将交叉规则设置为当前规则。
3.切换到学习模式,重启电脑。
4.关闭MD保护,按照最后的说明调整规则。
5.开启保护并切换为正常模式。
--------------------------------------------------------------

注意:
1.并非专业人士,水平有限,难免有不足之处,若对本规则有更好的建议或发现漏洞希望及时提出。(PS:使用上的不习惯请自己打磨)
2.本规则没有对COM和DLL进行特别的控制,需要的可以自行添加。
3.RD采用黑名单模式统对所有程序统一管控。
4.本规则仅供参考、学习,希望大家举一反三,触类旁通,共同探讨!
5.需要调整的地方:图中选中的组,请自行添加或修改为自己的目录!

2011-05-17_224358.jpg

2011-05-17_224533.jpg

================================================

★★★★★★排除教程★★★★★★

第一次运行程序请分组

2011-05-17_232953.jpg


1.若是电脑上已有的、确认干净的一般程序可以大量的加入低受限。
2.若是新程序不确定其安全性,可以加入高受限。
3.若是安软可以直接加入可信组。
4.若是办公或其他类软件可以加入相应的分组,若没有可以加入低受限。
5.若是系统自带的程序弹出可以加入[允许_系统程序] 组;若是高危的可以加入[特权_系统程序]组


以图中的软件被阻止 排除为例:

2011-05-17_230817.jpg



2011-05-17_231005.jpg


2011-05-17_231128.jpg


2011-05-17_231758.jpg

其他的未分组的程序也是一样排除,只不过是看你放到哪个组。
FD或RD更好排除,分组了以后直接在日志上面创建允许规则后,他会自动跳到该程序组,
你可以看看相应规则标签里面添加成功了没有,可以手动扩大允许范围 。
日志创建允许规则,一般都是精确到绝对路径,你可以在目录后加* 适当扩大范围!



===========================================================
规则优点:

1.采用双向交叉保护模式,可以更有效的保护电脑!!

2.规则中有大量的说明和注释,帮助理解和使用!

3.低限制组内合理的预设规则
,大大增加易用性,减少排除量。

4.秒杀三部曲,免疫和秒杀病毒。在发现病毒高危行为的第一时间秒杀病毒,同时也可以降低损失.

5.询问作为分组的入口,不同权限的分组可以适应各种程序!

6.层次清晰,优先级分明,最大化发挥优先级作用。不会出现优先级问题导致无法排除的情况.

7.对系统的程序严格管控,使用黑名单模式只过滤高危行为,严格的同时也不用做太多的排除.

8.高效、简洁、清晰的询问框.



具体图文

1.采用双向交叉保护模式,可以更有效的保护电脑!!

(1)对于陌生程序采用白名单模式,由外面的全局FD控制,只读自身目录和C盘,隐藏其他盘.

2012-01-14_131241.jpg

(2)对于已分组的程序采用黑名单模式,允许自身、保护重点,其他允许.

2012-01-14_114650.jpg


2.规则中有大量的说明和注释,帮助理解和使用!

2012-01-14_133023.jpg

2012-01-14_133030.jpg

2012-01-14_133043.jpg

2012-01-14_133056.jpg

2012-01-14_133105.jpg

2012-01-14_133118.jpg

2012-01-14_135520.jpg

2012-01-14_135611.jpg

2012-01-14_135628.jpg



3.低限制组内合理的预设规则,大大增加易用性,减少排除量。

低限制组:
主要预设   ?:\program files\*\*.exe        AD允许.\* 调用本级程序           FD允许.\*  操作本级目录
                 ?:\program files\*\*\*.exe    AD允许..\*调用上级和子目录    FD允许..\* 操作上级和子目录

低限制组内不同程序之间互相调用预设为允许。   (不需要的可以自行修改)
在预设规则路径之内的基本不会有弹窗,也不会越权,在预设规则路径之外的就会被全局*规则限制。

program files 下的 exe 程序默认为低限制权限。
一个新程序运行若有窗口弹出,并且在program files路径下,请直接加入到低限制组,加入 高限制组也会先执行低限制组的规则.
在 program files 路径下又想信任的程序,可以手动添加,或者从日志添加允许规则后 移动到 可信任组
非 program files 路径下的新程序可以加入 任意组

2012-02-17_124718.jpg

2012-02-17_124826.jpg

2012-02-17_125010.jpg

2012-02-17_125018.jpg


4.秒杀三部曲,免疫和秒杀病毒。在发现病毒高危行为的第一时间秒杀病毒,同时也可以降低损失.

秒杀三部曲,互不影响、一层不漏的过滤、误杀率低. (使用忽略)   

2012-01-14_114618.jpg

2012-01-14_114410.jpg



5
.询问作为分组的入口,不同权限的分组可以适应各种程序!

权限分组:
(1)可信任组:隐私文件不可见,不可删除gho,其他允许

(2)低限制组: 秒杀三部曲、保护隐私、保护重要、保护系统文件、系统高危文件、保护根目录、保护全局可执行文件、用户数据、保护页面文件、 其他允许
   (可以在临时目录创建可执行文件)

(3)高限制组:  秒杀三部曲、保护隐私、保护重要、保护系统文件、系统高危文件(创建询问)、保护根目录、保护全局可执行文件(创建询问)、用户数据、保护页面文件、其他全阻止
   (禁止在临时目录创建可执行文件)

(4)软件安装:安装软件组,和系统更新组(不足指出请自行完善)

2012-01-14_114936.jpg

(5)系统分组:  允许组 系统一般程序
               特权组  高危系统程序,其中的程序包含在 黑名单_系统组内,具体有说明。


(6)病毒测试组:主要是询问,观察病毒动作。

2012-01-14_114841.jpg


(7)特殊目录组:限制常被病毒利用,但日常用极少会从中提权的目录。

2012-01-14_114749.jpg

(8)绝对禁止组:此组为高优先,中毒时直接把病毒加入,虐杀病毒。

2012-01-14_114803.jpg


****保护重要资料和保护应用程序组里包含了系统盘外大部分重要目录,在加上可执行文件保护,系统文件保护,免疫病毒写入等等,虽然不是*阻止,但是巧妙的打蛇七寸,规则即使再简单一点带毒不中毒都不是问题!****



6.层次清晰,优先级分明,最大化发挥优先级作用。不会出现优先级问题导致无法排除的情况。

2011-05-18_110757.jpg

2011-05-18_110517.jpg

7.对系统的程序严格管控,使用黑名单模式只过滤高危行为,严格的同时也不用做太多的排除。

2012-01-14_135203.jpg


2012-01-14_135218.jpg

2012-01-14_135250.jpg

2012-01-14_135318.jpg


8.高效、简洁、清晰的询问框.   一目了然、独此一家。


勾选创建规则后,直接就是高限制 不用选。视情况加入低限制、可信任。
想要测试病毒可以入病毒测试组,加入分割线 不会误操作加入更新组。
想要安装可以入安装组。
绝对是病毒的可以直接入最后2个组。
家具旅行必备之良品。



2012-01-14_115437.jpg

--------------------------------------------------
--------------------------------------------------

本帖打包:
【交叉分组】规则说明及排除教程.part1.rar (900 KB, 下载次数: 2318)

评分

参与人数 10魅力 +1 人气 +9 收起 理由
华语天空 + 1
c287432622 + 1 有你更精彩(^_^)/~~
FreeEquFraT + 1 我可以评分啦,感谢您的规则,造福大众。
change_018 + 1 版区有你更精彩: )
roam + 1

查看全部评分

sanhu35
 楼主| 发表于 2011-3-21 11:59:08 | 显示全部楼层
本帖最后由 sanhu35 于 2011-5-27 23:10 编辑

★★★★更新规则,保留个人规则,傻瓜教程★★★★

平时打磨好了以后 创建1个自己的组
2011-05-18_111508.jpg



把创建的程序组添加出来

2011-05-18_111612.jpg


2011-05-18_111916.jpg


把自己要保留的程序 移动至个人程序组

2011-05-18_112043.jpg



导出选定规则组,保存位置
2011-05-18_112136.jpg


2011-05-18_112207.jpg


更新完规则以后导入即可!

2011-05-18_112253.jpg


如自己没有打磨规则,平时使用的低受限或信任组较多,也可以使用这样的方法,稍稍有些不同。

因为从组中分离,只能分离一个程序,效率太低,使用复制、粘贴可以达到批量分离的效果
2011-05-18_112549.jpg


2011-05-18_112632.jpg


2011-05-18_112659.jpg


这样以后  更新玩规则以后导入,然后把相应的程序加入以前使用的组即可






评分

参与人数 1经验 +20 魅力 +1 人气 +1 收起 理由
秘书 + 20 + 1 + 1 加一组 艳照门防被盗

查看全部评分

zxzy
发表于 2011-3-21 12:20:44 | 显示全部楼层
等你的规则~~
ppy0606
发表于 2011-3-21 12:22:32 | 显示全部楼层
  先支持个

在看疗效
唯我独尊
发表于 2011-3-21 12:23:38 | 显示全部楼层
晕,带编辑
FreeEquFraT
发表于 2011-3-21 12:27:34 | 显示全部楼层
首页支持了
雪拥蓝关
发表于 2011-3-21 12:37:58 | 显示全部楼层

强力支持。随时候读。
wmcxdb
发表于 2011-3-21 12:45:22 | 显示全部楼层
支持一下
405942873
发表于 2011-3-21 12:49:55 | 显示全部楼层
强力插入首页,与lz喜好相同
qqq123123
发表于 2011-3-21 12:50:14 | 显示全部楼层
本帖最后由 qqq123123 于 2011-3-21 12:50 编辑

最近MD区有点火啊···真是新规不断···
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2020-1-27 15:08 , Processed in 0.170060 second(s), 20 queries .

快速回复 返回顶部 返回列表