McAfee大企業版規則之強,天諾時空現有規則之厲,相信大家已有所見聞與實踐。但是否真的滴水不漏、固若金湯,相信誰也不敢妄言。本教程力圖充分利用咖啡規則現有語法特點,引導有一定基礎的新手和有興趣的朋友構築一個防范嚴密、高效放心的規則。
既然是防毒,必須從病毒的行為特點出發,制定相應的規則進行防御。按照時間劃分,病毒行為可以分為三個階段:
第一,前期行為,表現為創建病毒文件到本地,途徑不外乎有兩個,可移動設備和網絡,其中病毒文件主體90%都是exe文件和dll文件,其它尚有sys、bat、com、pif、vbs、autorun.inf等;
第二,中期行為,表現為從本地激活運行病毒,釋放sys驅動文件、bat批處理文件、autorun.inf驅動文件等;
第三,後期行為,表現為修改、創建exe、dll、sys等文件,訪問服務管理器添加服務或加載驅動,修改注冊表以實現自啟動,添加開機啟動項目,添加任務計劃,注入其它進程,底層訪問磁盤、屏幕、鍵盤,修改hosts文件等。
針對病毒的以上特點,規則必須做到:
第一、前期防御:設置規則防止病毒創建文件到本地,即所謂的入口防御。入口規則設置可以有幾種思路,一是分別設置全局規則禁止創建可執行文件,例如邪版8.8經典規則;二是分別設置浏覽器、U盤規則禁止創建可執行文件,如貓版64位Win7規則;三是通過嚴格保護系統和軟件文件夾來變相實現入口防御,如墨池鎮版規則和storyhare的系列規則。
第二、中期防御:設置規則防止本地病毒激活並運行。禁運規則必須有效直接禁止已知病毒和未知程序在任何位置運行,而不是等著病毒去修改系統文件才阻止,這是目前所有規則的弱項。墨池鎮版規則有這個意識,但沒有完全實現。原因很簡單,大家對咖啡的權限控制還沒有完全搞懂,後面專門論述。
第三,後期防御:設置規則防止病毒運行後的一系列破壞行為,這可以通過禁止未知程序修改系統、軟件文件或者全局禁止修改可執行文件來實現。這是目前所有規則防御的重點,而且效果很好。
從防御效果方面而言,防御越靠前越主動,越靠後越被動。雖然最終效果可能一樣,但時間長了機器的干淨和正常程度可能會有區別,例如系統一切正常,而實際可能成了養馬場、病毒庫。所以前期入口規則一定要重視,中期禁運規則必須要加強。
搞清楚咖啡提供的權限控制方法,是設置禁運規則的關鍵。下面先看以下兩條規則的區別。
規則名稱:只讀權限_Windows
要包含的進程:*\Windows\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
規則名稱:只讀保護_Windows
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:寫 創建 刪除
第一條規則的含義是禁止Windows文件夾下的所有文件修改所有文件,也就是沒有排除的系統文件沒有修改別人的權力。第二條規則的含義是禁止所有程序修改Windows文件夾下的所有文件,即保護系統文件不被別人修改,排除者除外。由此可見,要想控制系統文件修改別人的權限——即中期防御,應該采用第一種寫法。同理,要想控制Windows文件夾下的文件的運行權限,應該寫成:
規則名稱:讀寫權限_Windows
要包含的進程:*\Windows\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
這樣就可以防止Windows文件夾下的未知文件運行,從而達到直接防止病毒激活並運行的目的,讓它自娛自樂的機會都沒有。
歸納了一下,有意義的文件權限可以分為:
1、讀寫權限——“讀 寫 執行 創建 刪除”別人的權力;
2、只讀權限——“寫 創建 刪除”別人的權力;
與以上相關的規則可以稱之為“權限規則”。
3、讀寫保護——別人“讀 寫 執行 創建 刪除”保護對象的權力;
4、只讀保護——別人“寫 創建 刪除”保護對象的權力
與以上相關的規則可以稱之為“保護規則”。
5、雙向讀寫——既管制程序讀寫別人的權限,又保護對象文件不可讀寫。
6、雙向只讀——既管制程序修改別人的權限,又保護對象文件不被修改。
以上規則只有全局通配符的規則可以做到,可以稱之為“全局規則”。
如果我們把不同權限與合理的分組結合起來,就可以嚴密控制,使任意位置的病毒、木馬完全癱瘓,沒有一絲爆發的機會。這裡要特別說明一下,為什麼要分組呢?兩個原因,一個是咖啡的排除字符數有限制(2599),一個是分組容易區別控制。至於怎樣分組為好、分組多少為好,視個人軟件數量和個人喜好而定。下面給一個按權限分組防御的參考框架:
一、讀寫雙向權限(修改默認規則)
規則名稱:阻止對所有共享資源的讀寫訪問
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
--------------------------------------------
權限:運行權力+訪問保護。
作用:禁止一切非信任區文件的運行
對所有本地文件進行訪問保護
禁止所有非exe文件的運行與訪問
禁止所有遠程操作
排除:不要使用絕對路徑,目的有二:一是保證規則優先起作用(咖啡規則有一定的優先級,下面專門介紹),規則威力最大;二是方便自定義規則的分組;三是一旦排除就獲得雙向控制權,反而於安全不利。
二、只讀雙向權限(修改默認規則)
規則名稱:將所有共享項設為只讀
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
--------------------------------------------
這種寫法包含了修改與只讀兩種權限,作用有四:禁止一切非信任區的文件的修改文件,對所有本地文件進行只讀保護,禁止所有非exe文件修改本地文件,禁止所有遠程修改操作。這裡的排除不要用絕對路徑,原因同上。
三、讀寫權限
規則名稱:讀寫權限_Windows
要包含的進程:*\Windows\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除,內存進程參照*\WINDOWS\system32\winlogon.exe排除。
規則名稱:讀寫權限_C:\Program Files
要包含的進程:C:\Program Files\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。
規則名稱:分組運行權限_E:\Program Files
要包含的進程:E:\Program Files\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。這裡是把軟件裝在E盤的寫法。如果裝在C盤,比較麻煩,可以把進程較多的軟件單提出來分組,作為權變,例如C:\Program Files\McAfee\**、C:\Program Files\Microsoft Office\**、C:\Program Files\Common Files\**等。
四、只讀權限
規則名稱:只讀權限_Windows
要包含的進程:*\Windows\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。
規則名稱:只讀權限_Program Files
要包含的進程:*\Program Files*\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。
五、讀寫保護
規則名稱:讀寫保護_Windows
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。需要分組。
規則名稱:讀寫保護_Program Files
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。需要分組。
六、只讀保護
規則名稱:只讀保護_Windows
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。
規則名稱:只讀保護_Program Files
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
-------------------------------------------------
排除:采用絕對路徑排除。
按權限分組防御系統至此完全形成。總體防護效果是:非信任區一切運行與修改都無法進行,“全局規則”起作用,止步於中期行為,攔截徹底,速度快,無彈窗,無遺漏,日志僅一條;信任區內未排除程序一切運行與修改都無法進行,“只讀權限”規則先起作用,如有遺漏,“全局只讀”以及相應的“分組訪問保護”規則迅速補上,攔截徹底,速度快,無彈窗,日志較少,無遺漏。所以,以上“組以權分,分期防御”組成了一個強大的防御系統,可以完美攔截一切未知程序的所有行為。這種交叉火力防護,是純後期防御無法達到的。
下面補充幾個問題:
第一,咖啡規則的優先級。有人說咖啡沒有優先級,這是片面的。咖啡規則的優先級很復雜,歸納如下(“>”表示優先於):
1、殺毒 > 規則
2、文件規則 > 注冊表 > 端口規則
3、注冊表項規則 > 注冊表值規則
4、全局規則 > 權限規則 > 保護規則
5、全通配符規則 > 帶通配符相對路徑規則 > 無通配符絕對路徑規則 > 單文件規則
所以,全局規則采用絕對路徑排除會降低規則優先級,反而會在應該起作用的時候反應滯後,起不到應有的中期攔截的作用,故用通配符相對路徑排除更好。
第二、要想把規則打造成鐵桶,還要做好入口防御和高危過濾。建議設置和補充如下規則:
規則名稱:禁止遠程創建/修改可執行文件和配置文件
要包含的進程:**
要排除的進程:
是否勾選報告:是
--------------------------------
采用絕對路徑排除,只要不排除浏覽器,入口就基本扎好了。
規則名稱:文件禁改_exe
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**.exe
要禁止的文件操作:寫入 創建
-------------------------------------------------
作用:彌補默認“最大保護”規則防護面積的不足(默認只防了C盤Windows與Program Files文件夾)
規則名稱:文件禁改_dll
要包含的進程:**
要排除的進程:
要阻止的文件或文件夾名:**.dll
要禁止的文件操作:寫入 創建
-------------------------------------------------
作用:彌補默認“最大保護”規則防護面積的不足(默認只防了C盤Windows與Program Files文件夾)
規則名稱:高危過濾_文件
要包含的進程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\Local Settings\Temporary Internet Files\**, *\RECYCLER*\**, *\System Volume Information\**, *文檔.exe, *桌面.exe, *用戶.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夾*.exe
要排除的進程:無
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:否
-------------------------------------------------
要包含的進程可以自由添加,包括容易被病毒利用而又不常用的系統文件,以及已知的病毒文件名、雙後綴文件名等,相當於黑名單。
規則名稱:高危過濾_注冊表項
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護的注冊表項目或注冊表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:否
-------------------------------------------------
一般不用添加排除。
13 規則名稱:高危過濾_注冊表值
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護的注冊表項目或注冊表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護的注冊表項或注冊表值:值
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:否
-------------------------------------------------
一般不用添加排除。
第三、設置規則必須全盤考慮,盡量做到滴水不漏。規則最好自己設置、排除,這樣才能完全適合自己,排除容量才會夠用。
第四、一條規則誤排除沒有關系,全部誤排除才會中毒,這就是分組分權限詳細設置規則的優勢,當然,打磨的難度的確大大增加。如果你是一個愛好折騰、追求高安全的人,其樂無窮!
第五、打磨規則是有順序的。盡量按照咖啡的優先級逐個打磨,即全局規則——>權限規則——>保護規則——>文件規則。打磨一個規則時,只勾選報告,完成後再勾選阻止,而其它規則一律不阻止、不報告。這樣逐個磨出來的規則會減少許多重復排除,對系統運行的影響可以降到最低。
最後的關鍵:其它的默認規則也盡量采用絕對路徑排除,降低優先級,這樣就把全局規則推到最高優先級別,使整套規則形成這樣一種優先級別合理、按權限分組、分期行為交叉防御的高效的強大體系:
全局規則——>分組權限規則——>分組保護規則——>文件權限規則——>文件保護規則。
如果你詳細閱讀並理解了以上內容,就可以進入規則打磨了。
下面把自己XP下的8.8實機規則完整貼出來,供大家打磨規則時參考,歡迎批評指正!
----------------------------默認規則---------------------------------------
《防間諜程序標准保護》
規則名稱:保護Internet Explorer收藏夾和設置
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, E:\Program Files\CCleaner\CCleaner.exe
是否勾選報告:否
《防間諜程序最大保護》
規則名稱:禁止安裝新的 CLSID、APPID 和 TYPELIB
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\Restore\rstrui.exe
是否勾選報告:否
規則名稱:禁止所有程序從 Temp 文件夾運行文件
要包含的進程:**
要排除的進程:C:\Windows\System32\cleanmgr.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾選報告:是
規則名稱:禁止從 Temp 文件夾執行腳本
要包含的進程:?script.exe
要排除的進程:無
是否勾選報告:否
《防病毒標准保護》
規則名稱:禁止禁用注冊表編輯器和任務管理器
要包含的進程:**
要排除的進程:無
是否勾選報告:是
規則名稱:禁止更改用戶權限策略
要包含的進程:**
要排除的進程:C:\Windows\system32\lsass.exe
是否勾選報告:是
規則名稱:禁止遠程創建/修改可執行文件和配置文件
要包含的進程:*.*
要排除的進程:*\Windows\system32\wbem\WMIADAP.EXE, *\Windows\system32\winlogon.exe, C:\Program Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\defrag.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\ie4uinit.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\msdt.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee*.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\Macromedia\Flash*\Flash.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\植物大戰僵屍綠色版\PlantsVsZombies.exe, H:\**\*.exe
是否勾選報告:是
規則名稱:禁止遠程創建自動運行文件
要包含的進程:**
要排除的進程:無
是否勾選報告:否
規則名稱:禁止攔截 .EXE 和其他可執行文件擴展名
要包含的進程:**
要排除的進程:無
是否勾選報告:否
規則名稱:禁止偽裝 Windows 進程
要包含的進程:**
要排除的進程:C:\Windows\explorer.exe
是否勾選報告:否
規則名稱:禁止群發郵件蠕蟲發送郵件
要包含的進程:**
要排除的進程:無
是否勾選報告:是
規則名稱:禁止 IRC 通信
要包含的進程:**
要排除的進程:無
是否勾選報告:是
規則名稱:禁止使用 tftp.exe
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\wbem\wmiprvse.exe
是否勾選報告:是
《防病毒最大保護》
規則名稱:禁止 Svchost 執行非 Windows 可執行文件
要包含的進程:svchost.exe
要排除的進程:無
是否勾選報告:否
規則名稱:保護電話簿文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程:**
要排除的進程:C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\dwwin.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\Adobe\Adobe Photoshop CS*\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE
是否勾選報告:是
規則名稱:禁止更改所有文件擴展名的注冊
要包含的進程:**
要排除的進程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報告:否
規則名稱:保護緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程:**
要排除的進程:C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\powercfg.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\Macromedia\Flash 8\Flash.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
《防病毒爆發控制》
規則名稱:將所有共享項設為只讀
要包含的進程:*.*
要排除的進程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
是否勾選報告:是
規則名稱:阻止對所有共享資源的讀寫訪問
要包含的進程:*.*
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
是否勾選報告:是
《通用標准保護》
規則名稱:禁止修改 McAfee 文件和設置
要包含的進程:**
要排除的進程:C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
是否勾選報告:是
規則名稱:禁止修改 McAfee Common Management Agent 文件和設置
要包含的進程:**
要排除的進程:C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
規則名稱:禁止修改 McAfee 掃描引擎文件和設置
要包含的進程:**
要排除的進程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
規則名稱:保護 Mozilla 及 FireFox 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\**\*.*, E:\Program Files\**\*.*
是否勾選報告:是
規則名稱:保護 Internet Explorer 設置
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe
是否勾選報告:是
規則名稱:禁止安裝 Browser Helper Objects 和 Shell Extensions
要包含的進程:**
要排除的進程:E:\Program Files\McAfee\**\*.exe
是否勾選報告:是
規則名稱:保護網絡設置
要包含的進程:**
要排除的進程:C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, E:\Program Files\McAfee\**\*.exe
是否勾選報告:是
規則名稱:禁止公用程序從 Temp 文件夾運行文件
要包含的進程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的進程:無
是否勾選報告:是
規則名稱:在 Internet Explorer 中禁用 HCP URL
要包含的進程:iexplore.exe, wmplayer.exe
要排除的進程:無
是否勾選報告:是
規則名稱:防止終止 McAfee 進程
要包含的進程:**
要排除的進程:無
是否勾選報告:是
《通用最大保護》
規則名稱:禁止將程序注冊為自動運行
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe
是否勾選報告:是
規則名稱:禁止將程序注冊為服務
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\vssvc.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe
是否勾選報告:是
規則名稱:禁止在 Windows 文件夾中創建新的可執行文件
要包含的進程:*.*
要排除的進程:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe
是否勾選報告:是
規則名稱:禁止在 Program Files 文件夾中創建新的可執行文件
要包含的進程:**
要排除的進程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾選報告:是
規則名稱:禁止從 Downloaded Program Files 文件夾啟動文件
要包含的進程:**
要排除的進程:無
是否勾選報告:是
規則名稱:禁止 FTP 通信
要包含的進程:**
要排除的進程:無
是否勾選報告:是
規則名稱:禁止 HTTP 通信
要包含的進程:**
要排除的進程:C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
是否勾選報告:是
《虛擬機保護》
規則名稱:防止終止 VMWare 進程
要包含的進程:**
要排除的進程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報告:是
規則名稱:禁止修改 VMWare Workstation 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報告:是
規則名稱:禁止修改 VMWare Server 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報告:是
規則名稱:禁止修改 VMWare 虛擬機文件
要包含的進程:**
要排除的進程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報告:是
----------------------------用戶定義的規則-----------------------------------------
01 規則名稱:全局只讀保護_注冊表項
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要保護的注冊表項目或注冊表值:HKALL /**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
02 規則名稱:全局只讀保護_注冊表項
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要保護的注冊表項目或注冊表值:HKALL /**
要保護的注冊表項或注冊表值:值
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
03 規則名稱:全局控制端口_入站
要包含的進程:*.*
要排除的進程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾選報告:是
04 規則名稱:全局控制端口_出站
要包含的進程:*.*
要排除的進程:C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
要阻止的端口:1-65535
方向:出站
是否勾選報告:是
05 規則名稱:讀寫權限_Windows
要包含的進程:*\Windows\**
要排除的進程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\cmd.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dumprep.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\ntbackup.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\WINDOWS\system32\rsmsink.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\sndrec32.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\Taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\System32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
06 規則名稱:讀寫權限_C:\Program Files
要包含的進程:C:\Program Files\**
要排除的進程:C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\IMSCMIG.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
07 規則名稱:讀寫權限_E:\Program Files
要包含的進程:E:\Program Files\**
要排除的進程:E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大戰僵屍綠色版\PlantsVsZombies.exe
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
08 規則名稱:只讀權限_Windows
要包含的進程:*\Windows\**
要排除的進程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, *\WINDOWS\system32\winlogon.exe. C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
09 規則名稱:只讀權限_Program Files
要包含的進程:*\Program Files*\**
要排除的進程:C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSeeQV10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\Macromedia\Flash*\Flash.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大戰僵屍綠色版\PlantsVsZombies.exe
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
10 規則名稱:讀寫保護Windows_W
要包含的進程:**
要排除的進程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
11 規則名稱:讀寫保護Windows_C:\P
要包含的進程:**
要排除的進程:*\Windows\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
12 規則名稱:讀寫保護Windows_E:\P
要包含的進程:**
要排除的進程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大戰僵屍綠色版\PlantsVsZombies.exe, H:\**\*.exe
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
13 規則名稱:讀寫保護Program Files_W
要包含的進程:**
要排除的進程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
14 規則名稱:讀寫保護Program Files_C:\P
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, , E:\Program Files\**\*.exe
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
15 規則名稱:讀寫保護Program Files_E:\P
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大戰僵屍綠色版\PlantsVsZombies.exe
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
16 規則名稱:只讀保護_Windows
要包含的進程:**
要排除的進程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\*\update\update.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\ESET_VC52_Scan 1.0.1.0\ESET_VC52_Scan 1.0.1.0.exe
要阻止的文件或文件夾名:**\Windows\**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
17 規則名稱:只讀保護_Program Files
要包含的進程:**
要排除的進程:C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\WINDOWS\Explorer.EXE, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
18 規則名稱:只讀保護_exe
要包含的進程:**
要排除的進程:C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夾名:**.exe
要禁止的文件:寫 創建
是否勾選報告:是
19 規則名稱:只讀保護_dll
要包含的進程:**
要排除的進程:C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夾名:**.dll
要禁止的文件:寫 創建
是否勾選報告:是
20 規則名稱:高危過濾_文件
要包含的進程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\Local Settings\Temporary Internet Files\**, *\RECYCLER*\**, *\System Volume Information\**, *文檔.exe, *桌面.exe, *用戶.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夾*.exe
要排除的進程:無
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
21 規則名稱:高危過濾_注冊表項
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護的注冊表項目或注冊表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護的注冊表項或注冊表值:項
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
22 規則名稱:高危過濾_注冊表值
要包含的進程:**
要排除的進程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護的注冊表項目或注冊表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護的注冊表項或注冊表值:值
要阻止的注冊表:寫入 創建 刪除
是否勾選報告:是
23 規則名稱:全局雙向讀寫_非P
要包含的進程:**
要排除的進程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
是否勾選報告:是
24 規則名稱:全局雙向只讀_非P
要包含的進程:**
要排除的進程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
是否勾選報告:是
寫在後面:
一、本文在理解與應用咖啡規則方面有幾個基礎性突破:
1、分期防御,完美防止病毒爆發。
2、廓清權限,程序控制更加方便。
3、辨明優先級,使規則打造和防御更加高效。
二、誠如版主所言,本文的規則是“按時間分組”,個人認為,這樣做安全性高於“縱向分組”。要想縱向分組,可以對“權限規則”這樣設置:
規則名稱:系統組:讀寫權限
要包含的進程:*\Windows\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
規則名稱:安全軟件組:讀寫權限
要包含的進程:*\McAfee\**, *\COMODO\**, *\Kingsoft\webshield\**
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:讀 寫 執行 創建 刪除
規則名稱:浏覽器組:只讀權限
要包含的進程:iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
規則名稱:P2P軟件組:只讀權限
要包含的進程:*\Thunder\**, ……
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
規則名稱:常用軟件組:只讀權限
要包含的進程:*\Microsoft Office\OFFICE*\**, ……
要排除的進程:
要阻止的文件或文件夾名:**
要禁止的文件:寫 創建 刪除
然後配合以合適的全局規則、保護規則。這樣做效果一樣,但設置更加復雜。
三、本文規則要想安裝程序,必須關閉“訪問保護”,如果想要不關閉“訪問保護”就安裝程序,請參考葉知規則,加入相關排除,並設置“關閉程序安裝管道”規則。在這裡,首先要向葉知致敬!安裝規則應該是他的專利,本人規則中永遠不會加入,以示尊重。
四、文中的Windows XP實機規則經過本人幾個月的完善和測試,安全與性能很是理想,推薦追求高安全的有興趣折騰的朋友參考打磨!