規則要點:
1、深入挖掘默認規則,使默認規則威力發揮到極致,自定義規則只為補充與強化。
2、所有進程采用絕對路徑排除,部分規則分成系統組、軟件組兩條,解決了排除容量(計空格2599字符)的限制。
3、安全性極高,可以做到帶毒不爆發,歡迎虛擬機測試,但不建議實機玩兒毒自虐。
4、易用性稍差,視個人軟件情況,有的排除量可能較大。
5、流暢性極好,飛一般的享受。
6、支持系統自動監測更新,下載並安裝時最好關閉訪問保護。
7、默認支持與金山網盾、毛豆純牆\HIP8.0(二選一)安全搭配,一般用戶單奔足矣。
8、不直接分享規則,規則自己設置:
(1)系統進程基本排除完畢,出現觸紅需要謹慎排除。
(2)常用軟件已經排除,但路徑多為E盤,請根據實際通過替換法修改盤符(如把E:\替換成C:\或D:\等)。
友情提示:如果追求通用,可以把軟件路徑中的“E:\Program Files\”替換成“*\Program Files*\”即可,安全性影響很小。
(3)沒有排除的軟件根據日志排除,或自行整理後添加排除。
排除技巧:一般軟件要想正常運行,需要在“禁止遠程創建/修改可執行文件和配置文件”、“將所有共享項設為只讀”、“保護Windows下的文件”、“保護Windows注冊表_項”、“保護Windows注冊表_值”規則相應的系統組和軟件組同時排除,某些大型或耍點小流氓的軟件還需要在“保護電話簿文件免受密碼和電子郵件地址竊賊的攻擊”、“保護緩存文件免受密碼和電子郵件地址竊賊的攻擊”中排除。
(4)排除原則:善用百度搜索,輔以http://www.virscan.org/掃描,放行已知安全,杜絕一切隱患。
(5)請在相應操作系統下設置,不建議不同系統之間直接導入規則。
(6)不同系統,規則設置有所區別,請詳細閱讀規則說明。
9、獻給喜歡折騰朋友的終極規則,安全盡在自己掌控!不好折騰的朋友不建議使用!
規則設置:
----------------------------默認規則---------------------------------------
《防間諜程序標准保護》
規則名稱:保護Internet Explorer收藏夾和設置
要包含的進程:**
要排除的進程:C:\Windows\Explorer.EXE, C:\Program Files\Internet Explorer\iexplore.exe
是否勾選報告:否
----------------------------------------
說明:排除C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是為了自己能夠修改Internet Explorer收藏夾和設置。不勾選報告,避免大量日志。
《防間諜程序最大保護》
規則名稱:禁止安裝新的 CLSID、APPID 和 TYPELIB
要包含的進程:**
要排除的進程:無
是否勾選報告:否
----------------------------------
說明:該規則用於阻止新的 COM servers的安裝和注冊。某些廣告以及間諜程序能夠將自身添加到Microsoft Internet Explorer的COM 加載項中,或者附加到Microsoft Office。安裝某些程序時才需要加載新的COM,所以日常應用不排除,不勾選報告。
規則名稱:禁止所有程序從 Temp 文件夾運行文件
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-----------------------------
說明:一個可執行文件在被Windows運行之前都要先被保存在磁盤上,其最普遍的運行方式是,先保存在user或者system賬號的 Temp 文件夾下,再運行。該規則其中之一的目的在於不斷地提醒用戶:“切勿從email中打開附件。”而另一個目的是防止應用程序bug(漏洞)導致的安全隱患危害電腦,比如老版本的Outlook以及Internet Explorer,就因為未經用戶的許可則自動執行代碼以預覽email或者網頁內容而臭名昭著。排除咖啡相關進程是為了正常升級和使用。
規則名稱:禁止從 Temp 文件夾執行腳本
要包含的進程:?script.exe
要排除的進程:無
是否勾選報告:否
-------------------------------
說明:阻止Windows 腳本執行器從Temp文件夾中運行VBScript以及JavaScript文件,這樣能夠阻擋大部分的木馬,以及常被廣告和間諜程序利用的提問式的網頁安裝模式。沒必要勾選報告。
《防病毒標准保護》
規則名稱:禁止禁用注冊表編輯器和任務管理器
要包含的進程:**
要排除的進程:無
是否勾選報告:是
------------------------------------
說明:保護Windows 注冊表中的部分鍵值,用以防止注冊表編輯器和任務管理器被禁用。不用排除。
規則名稱:禁止更改用戶權限策略
要包含的進程:**
要排除的進程:C:\Windows\system32\lsass.exe
是否勾選報告:是
------------------------------------
說明:防止蠕蟲病毒獲知該賬號在網絡中是否擁有管理權限,防止惡意代碼修改用戶組的權限,同時亦會保護注冊表中包含Windows 安全信息的鍵值,譬如,某些病毒會借助管理員賬號來移除某些重要的權限。排除應該極少。
規則名稱:禁止遠程創建/修改可執行文件和配置文件(系統組)
要包含的進程:**(Win7下用*.*)
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\System32\msdtc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾選報告:是
--------------------------------
說明:該規則是規則“將所有共享項設為只讀”的閹割版。保護了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按絕對路徑排除已知的安全程序,全局有效防止了對*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的創建、寫入、刪除。只此一條,就涵蓋了壇子裡原有規則自定義規則的N條。還有com、sys、drv、vxd、bat等,交給自定義規則補充吧。此處排除的是系統組進程,軟件組在自定義中補充。( 友情提示:如果軟件數量不多,完全可以不分組,這樣自定義規則就會少很多,下同。)
規則名稱:禁止遠程創建自動運行文件
要包含的進程:**
要排除的進程:無
要阻止的文件或文件夾名:autorun.inf
是否勾選報告:是
--------------------------------
說明:禁止創建所有自動播放。
規則名稱:禁止攔截 .EXE 和其他可執行文件擴展名
要包含的進程:**
要排除的進程:無
是否勾選報告:是
--------------------------------------
說明:禁止間諜和惡意程序修改操作系統的配置以及可執行文件。
規則名稱:禁止偽裝 Windows 進程
要包含的進程:**
要排除的進程:無
是否勾選報告:是
---------------------------------------
說明:禁止針對Windows核心進程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止渾水摸魚。啟用該規則能夠防止文件或者程序的名稱被偽造,以及偽造名稱的程序被執行,而真正的 Windows 文件不受該規則限制。切記不用排除。
規則名稱:禁止群發郵件蠕蟲發送郵件
要包含的進程:**
要排除的進程:無
是否勾選報告:是
----------------------------
說明:郵件客戶端,禁止通過SMTP 端口(25和587)出站發送email。需要排除所用郵件軟件的進程,否則軟件將無法使用。
規則名稱:禁止 IRC 通信
要包含的進程:**
要排除的進程:無
是否勾選報告:是
---------------------------
說明:屏蔽了6666-6669端口,防止後門木馬連接到IRC服務器並接收來自其作者的命令。
規則名稱:禁止使用 tftp.exe
要包含的進程:**
要排除的進程:無
是否勾選報告:是
---------------------------------
說明:防止通過利用脆弱的應用緩沖區溢出散播一些病毒。使用Windows的TFTP客戶端(tftp.exe)執行下載的用戶才需要排除。
《防病毒最大保護》
規則名稱:禁止 Svchost 執行非 Windows 可執行文件
要包含的進程:svchost.exe
要排除的進程:無
是否勾選報告:否
---------------------------------
說明:禁止Svchost.exe加載非Windows服務.DLL文件。用則不要排除,也不用勾選報告。否則可以不用。
規則名稱:保護電話簿文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
------------------------------------------
說明:隱私保護規則。保護Rasphone.pbk文件存儲在用戶的配置文件的目錄,不被讀取和注入惡意代碼。排除已知的安全程序。
規則名稱:禁止更改所有文件擴展名的注冊
要包含的進程:**
要排除的進程:C:\WINDOWS\explorer.exe
是否勾選報告:否
------------------------------
說明:這是一個嚴格的版本“反病毒標准保護:防止其他可執行的EXE和擴展劫持”規則,而不是只保護的.EXE。這條規則可以防止通過保護登記處登記的文件擴展名擴展的選項鍵。排除C:\WINDOWS\explorer.exe是為了只允許自己修改擴展名。不勾選報告,否則日志量大。
規則名稱:保護緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程:**
要排除的進程:C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
--------------------------------------
說明:隱私保護規則。防止病毒、木馬讀取上網隱私。排除已知的安全程序,否則某些軟件無法啟動(這本身就是流氓行為)。
《防病毒爆發控制》
規則名稱:將所有共享項設為只讀(系統組)
要包含的進程:**(Win7下用*.*)
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾選報告:是
---------------------------------------
說明:這是非常強大的全局禁改規則。按絕對路徑排除已知的安全程序,可以禁止一切未知程序的創建、寫入、刪除行為,這樣就算病毒已經進入信任區,也無法搞破壞了。有效防止信任區病毒爆發。軟件組在自定義中補充。
規則名稱:阻止對所有共享資源的讀寫訪問 (即 禁止非信任區程序訪問-文件 )
要包含的進程:**(Win7下用*.*)
要排除的進程:*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
------------------------------------------------
說明:這是非常強大的全局禁運規則。排除信任區後,非信任區一切程序的所有操作都無法進行。有效防止非信任區病毒爆發。注冊表在自定義中補充。
《通用標准保護》
規則名稱:禁止修改 McAfee 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
-------------------------------------------
說明:只排除了咖啡本身和C:\Windows\system32\services.exe。
規則名稱:禁止修改 McAfee Common Management Agent 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
------------------------------------------
說明:只排除了咖啡本身和C:\Windows\system32\services.exe。
規則名稱:禁止修改 McAfee 掃描引擎文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
----------------------------------------
說明:只排除了咖啡本身。
規則名稱:保護 Mozilla 及 FireFox 文件和設置
要包含的進程:**
要排除的進程:*\Program Files\**\*.*
是否勾選報告:是
-------------------------------
說明:本人不用,常規排除。
規則名稱:保護 Internet Explorer 設置
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE
是否勾選報告:是
----------------------------------
說明:排除*\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是為了自己能修改IE設置。
規則名稱:禁止安裝 Browser Helper Objects 和 Shell Extensions
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-----------------------------------------
說明:防止廣告軟件、間諜軟件和一些木馬程序安裝運行浏覽器助手、插件、工具欄等。只給咖啡這個權利。
規則名稱:保護網絡設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\svchost.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
----------------------------------------
說明:反廣告規則。禁止發送、捕獲網絡流量並把它發送到第三方網站浏覽行為的數據。只給咖啡和svchost.exe這個權利。
規則名稱:禁止公用程序從 Temp 文件夾運行文件
要包含的進程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的進程:無
是否勾選報告:是
---------------------------
說明:官方默認。
規則名稱:在 Internet Explorer 中禁用 HCP URL
要包含的進程:iexplore.exe, wmplayer.exe
要排除的進程:無
是否勾選報告:是
------------------------------------------------
說明:官方默認。
規則名稱:防止終止 McAfee 進程
要包含的進程:**
要排除的進程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
是否勾選報告:是
------------------------------
說明:官方默認。
《通用最大保護》
規則名稱:禁止將程序注冊為自動運行
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-------------------------------------
說明:安全軟件給這個權利。
規則名稱:禁止將程序注冊為服務
要包含的進程:**
要排除的進程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
---------------------------------------
說明:保護的注冊表項和目錄,也提供了一些針對新的內核模式rootkit安裝有限的保護。嚴格排除已知的安全進程。
規則名稱:禁止在 Windows 文件夾中創建新的可執行文件
要包含的進程:**
要排除的進程:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
是否勾選報告:是
------------------------------
說明:只防了EXE和DLL的創建,自定義規則還需要補充。
規則名稱:禁止在 Program Files 文件夾中創建新的可執行文件
要包含的進程:**
要排除的進程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-----------------------------
說明:只防了EXE和DLL的創建,自定義規則還需要補充。
規則名稱:禁止從 Downloaded Program Files 文件夾啟動文件
要包含的進程:**
要排除的進程:無
是否勾選報告:是
--------------------------------
說明:“要包含的進程”改成**,禁止所有程序從 Downloaded Program Files 文件夾啟動文件。
規則名稱:禁止 FTP 通信
要包含的進程:**
要排除的進程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾選報告:是
------------------------------
說明:默認,到自定義規則中去詳細控制。
規則名稱:禁止 HTTP 通信
要包含的進程:**
要排除的進程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾選報告:是
--------------------------------
說明:默認加簡單排除,到自定義規則中去詳細控制。
《虛擬機保護》
規則名稱:防止終止 VMWare 進程
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
--------------------------------------
說明:本人不用,常規排除。
規則名稱:禁止修改 VMWare Workstation 文件和設置
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
----------------------------------------
說明:本人不用,常規排除。
規則名稱:禁止修改 VMWare Server 文件和設置
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
-----------------------------------
說明:本人不用,常規排除。
規則名稱:禁止修改 VMWare 虛擬機文件
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
---------------------------------
說明:本人不用,常規排除。
----------------------------用戶定義的規則-----------------------------------------
01 規則名稱:禁止非信任區程序訪問注冊表_項
要包含的進程:**
要排除的進程:*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保護的注冊表項目或注冊表值:HKALL /**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“阻止對所有共享資源的讀寫訪問”規則的補充。
02 規則名稱:禁止非信任區程序訪問注冊表_值
要包含的進程:**
要排除的進程:*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保護的注冊表項目或注冊表值:HKALL /**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“阻止對所有共享資源的讀寫訪問”規則的補充。
03 規則名稱:禁止未知程序訪問端口_入站
要包含的進程:**(Win7下用*.*)
要排除的進程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾選報告:是
-------------------------------------------------
說明:程序入站自己控制。
04 規則名稱:禁止未知程序訪問端口_出站
要包含的進程:**(Win7下用*.*)
要排除的進程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:出站
是否勾選報告:是
-------------------------------------------------
說明:程序出站自己控制。
05 規則名稱:防病毒標准保護_禁止遠程創建/修改可執行文件和配置文件_軟件組
要包含的進程:**(Win7下用*.*)
要排除的進程:**\Windows\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\svchost.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:“禁止遠程創建/修改可執行文件和配置文件”規則的軟件組。全局防止對*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的創建、寫入、刪除。
06 規則名稱:防病毒爆發_將所有共享項設為只讀_ 軟件組
要包含的進程:**(Win7下用*.*)
要排除的進程:*\WINDOWS\**\*.*, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Program Files\Angry Birds\Angry Birds\AngryBirds.exe, E:\Program Files\Program Files\WinRAR\WinRAR.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:“將所有共享項設為只讀”規則的軟件組。防止信任區病毒爆發。
07 規則名稱:保護Windows下的文件
要包含的進程:**(Win7下用*.*)
要排除的進程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**\WINDOWS\**(Win7下用C:\WINDOWS\**)
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“禁止遠程創建/修改可執行文件和配置文件”、“禁止在 Windows 文件夾中創建新的可執行文件” 規則的補充,對“將所有共享項設為只讀” 規則的強化。目的是嚴格控制,防止信任的WINDOWS區病毒爆發。
08 規則名稱:保護Windows注冊表_項_系統組
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保護的注冊表項目或注冊表值:HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“保護Windows下的文件”規則的補充(系統組)。
09 規則名稱:保護Windows注冊表_值_系統組
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保護的注冊表項目或注冊表值:HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值:值
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“保護Windows下的文件”規則的補充(系統組)。
10 規則名稱:保護Windows注冊表_項_軟件組
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保護的注冊表項目或注冊表值:HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“保護Windows下的文件”規則的補充(軟件組)。
11 規則名稱:保護Windows注冊表_值_軟件組
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保護的注冊表項目或注冊表值:HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值:值
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“保護Windows下的文件”規則的補充(軟件組)。
12 規則名稱:保護AppData下的Windows文件(Win7下適用)
要包含的進程:**
要排除的進程:*\CCleaner\CCleaner*.exe, *\COMODO\COMODO Internet Security\cmdagent.exe, *\Kingsoft\webshield\KSWebShield.exe, *\Kingsoft\webshield\kwsupd.exe, *\McAfee\Common Framework\McScanCheck.exe, *\McAfee\Common Framework\FrameworkService.exe, *\McAfee\Common Framework\UdaterUI.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\system32\NOTEPAD.EXE
要阻止的文件或文件夾名:**\AppData\**\Windows\**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“禁止遠程創建/修改可執行文件和配置文件”規則的補充,對“將所有共享項設為只讀”的強化。目的是嚴格控制,防止信任的AppData區病毒爆發。追求通用性者可以參照本條規則的通配符語法排除。
13 規則名稱:保護Program Files下的文件
要包含的進程:**
要排除的進程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\system32\NOTEPAD.EXE, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
說明:對“禁止遠程創建/修改可執行文件和配置文件”、“禁止在 Program Files 文件夾中創建新的可執行文件” 規則的補充,對“將所有共享項設為只讀”規則的強化。目的是嚴格控制,防止信任的Program Files區病毒爆發。
1、sandyyangjie :
天諾兄不准備直接附上規則是不?~我覺得可以附上一個都沒開啟的規則,這樣可能別人好修改一些~~~從頭開始創建這麼多規則傷不起呀~~
答復:附上本人實機規則,方便導入修改:
McAfee 8.8 天諾規則加強版 XP.rar
所有進程采用絕對路徑排除。
McAfee 8.8 天諾規則加強版 32.rar
軟件采用相對路徑排除。不影響邊用邊改。
McAfee 8.8 天諾規則加強版 64.rar
軟件采用相對路徑排除。不影響邊用邊改。
McAfee 8.8 天諾規則加強版 XP_2.rar
需要修改的規則沒有勾選阻擋,方便修改,完成後不要忘了勾上。
2、bighead :
規則名稱:保護緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程:**
要排除的進程:C:\Program FilesE:\Program Files
這個是啥意思?應該是多了吧?
答復:替換*\時出的錯誤,完整的應該是C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe,文中已經改正,規則已經重新上傳。
3、bmjp007:
為什麼
2011/5/20 17:58:37 已由訪問保護規則禁止 NT AUTHORITY\SYSTEM C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe C:\Program Files\Agnitum\Outpost Firewall Pro\log\netstat4.log 防病毒爆發控制:將所有共享項設為只讀 已阻止的操作: 寫入這一項排除不了
答復:更正:C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe,這個可能是Win7下排除無效。
後補:根據bmjp007的實踐,Win7下似乎~1排除無效,請遇到的朋友說一下經驗。
4、bmjp007:
好多要排除的,連排除項裡都放不下了,很惱火,倒不是怕麻煩,就是怕放不下。怎麼辦?
答復:軟件很多就把軟件改成通配符路徑可以節省很多,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe寫成*\McAfee\Host Intrusion Prevention\FireSvc.exe,這樣還有32位、64位以及軟件裝在任意盤通用的好處。以此類推。
5、bighead:
這個規則樓主調試過多久了呢,怎麼好多系統進程都還沒排除掉用起來太辛苦了。換回自己的了呵呵(可能是系統問題,我的是win7 32位)
答復:文字版是在XP下做的,Win7有所不同。現在64位Win7下設了一個規則通用版,軟件采用通配符路徑,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe寫成*\McAfee\Host Intrusion Prevention\FireSvc.exe,這樣既節省了很多排除空間,又可以通用。規則直接導入,可以邊用邊排除:
McAfee 8.8 天諾規則加強通用版 32位.rar
McAfee 8.8 天諾規則加強通用版 64位.rar
McAfee 8.8 天諾規則加強通用版 XP.rar
打包下載地址:
- 軟件名稱:
- McAfee 8.8 企業版規則正式版 32/64位 for xp、win7、2008打包
- 軟件大小:
- 16KB
- 更新時間:
- 2016-09-04
個人系統軟件不同,完全通用而不排除是不可能的,所以導入後一般都需要進一步排除。歡迎大家導入測試並反饋!我將視情況適時推出正式的通用版規則。