McAfee麦咖啡企业版8.8设置方法
程序员文章站
2022-03-23 16:25:44
McAfee麦咖啡企业版8.8设置方法McAfee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定... 16-09-04...
mcafee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则。
既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段:
第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、com、pif、vbs、autorun.inf等;
第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
针对病毒的以上特点,规则必须做到:
第一、前期防御:设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、u盘规则禁止创建可执行文件,如猫版64位win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
第二、中期防御:设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
第三,后期防御:设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。下面先看以下两条规则的区别。
规则名称:只读权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:只读保护_windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:写 创建 删除
第一条规则的含义是禁止windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制windows文件夹下的文件的运行权限,应该写成:
规则名称:读写权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
这样就可以防止windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
归纳了一下,有意义的文件权限可以分为:
1、读写权限——“读 写 执行 创建 删除”别人的权力;
2、只读权限——“写 创建 删除”别人的权力;
与以上相关的规则可以称之为“权限规则”。
3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
4、只读保护——别人“写 创建 删除”保护对象的权力
与以上相关的规则可以称之为“保护规则”。
5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架:
一、读写双向权限(修改默认规则)
规则名称:阻止对所有共享资源的读写访问
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\program files\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
--------------------------------------------
权限:运行权力+访问保护。
作用:禁止一切非信任区文件的运行
对所有本地文件进行访问保护
禁止所有非exe文件的运行与访问
禁止所有远程操作
排除:不要使用绝对路径,目的有二:一是保证规则优先起作用(咖啡规则有一定的优先级,下面专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
二、只读双向权限(修改默认规则)
规则名称:将所有共享项设为只读
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
--------------------------------------------
这种写法包含了修改与只读两种权限,作用有四:禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
三、读写权限
规则名称:读写权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除,内存进程参照*\windows\system32\winlogon.exe排除。
规则名称:读写权限_c:\program files
要包含的进程:c:\program files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:分组运行权限_e:\program files
要包含的进程:e:\program files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。这里是把软件装在e盘的写法。如果装在c盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如c:\program files\mcafee\**、c:\program files\microsoft office\**、c:\program files\common files\**等。
四、只读权限
规则名称:只读权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读权限_program files
要包含的进程:*\program files*\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
五、读写保护
规则名称:读写保护_windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
规则名称:读写保护_program files
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
六、只读保护
规则名称:只读保护_windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读保护_program files
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
按权限分组防御系统至此完全形成。总体防护效果是:非信任区一切运行与修改都无法进行,“全局规则”起作用,止步于中期行为,拦截彻底,速度快,无弹窗,无遗漏,日志仅一条;信任区内未排除程序一切运行与修改都无法进行,“只读权限”规则先起作用,如有遗漏,“全局只读”以及相应的“分组访问保护”规则迅速补上,拦截彻底,速度快,无弹窗,日志较少,无遗漏。所以,以上“组以权分,分期防御”组成了一个强大的防御系统,可以完美拦截一切未知程序的所有行为。这种交叉火力防护,是纯后期防御无法达到的。
下面补充几个问题:
第一,咖啡规则的优先级。有人说咖啡没有优先级,这是片面的。咖啡规则的优先级很复杂,归纳如下(“>”表示优先于):
1、杀毒 > 规则
2、文件规则 > 注册表 > 端口规则
3、注册表项规则 > 注册表值规则
4、全局规则 > 权限规则 > 保护规则
5、全通配符规则 > 带通配符相对路径规则 > 无通配符绝对路径规则 > 单文件规则
所以,全局规则采用绝对路径排除会降低规则优先级,反而会在应该起作用的时候反应滞后,起不到应有的中期拦截的作用,故用通配符相对路径排除更好。
第二、要想把规则打造成铁桶,还要做好入口防御和高危过滤。建议设置和补充如下规则:
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:**
要排除的进程:
是否勾选报告:是
--------------------------------
采用绝对路径排除,只要不排除浏览器,入口就基本扎好了。
规则名称:文件禁改_exe
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**.exe
要禁止的文件操作:写入 创建
-------------------------------------------------
作用:弥补默认“最大保护”规则防护面积的不足(默认只防了c盘windows与program files文件夹)
规则名称:文件禁改_dll
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**.dll
要禁止的文件操作:写入 创建
-------------------------------------------------
作用:弥补默认“最大保护”规则防护面积的不足(默认只防了c盘windows与program files文件夹)
规则名称:高危过滤_文件
要包含的进程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\local settings\temporary internet files\**, *\recycler*\**, *\system volume information\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, del*.exe, diskpart.exe, dsc*.exe, fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:否
-------------------------------------------------
要包含的进程可以*添加,包括容易被病毒利用而又不常用的系统文件,以及已知的病毒文件名、双后缀文件名等,相当于黑名单。
规则名称:高危过滤_注册表项
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:否
-------------------------------------------------
一般不用添加排除。
13 规则名称:高危过滤_注册表值
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:否
-------------------------------------------------
一般不用添加排除。
第三、设置规则必须全盘考虑,尽量做到滴水不漏。规则最好自己设置、排除,这样才能完全适合自己,排除容量才会够用。
第四、一条规则误排除没有关系,全部误排除才会中毒,这就是分组分权限详细设置规则的优势,当然,打磨的难度的确大大增加。如果你是一个爱好折腾、追求高安全的人,其乐无穷!
第五、打磨规则是有顺序的。尽量按照咖啡的优先级逐个打磨,即全局规则——>权限规则——>保护规则——>文件规则。打磨一个规则时,只勾选报告,完成后再勾选阻止,而其它规则一律不阻止、不报告。这样逐个磨出来的规则会减少许多重复排除,对系统运行的影响可以降到最低。
最后的关键:其它的默认规则也尽量采用绝对路径排除,降低优先级,这样就把全局规则推到最高优先级别,使整套规则形成这样一种优先级别合理、按权限分组、分期行为交叉防御的高效的强大体系:
全局规则——>分组权限规则——>分组保护规则——>文件权限规则——>文件保护规则。
如果你详细阅读并理解了以上内容,就可以进入规则打磨了。
下面把自己xp下的8.8实机规则完整贴出来,供大家打磨规则时参考,欢迎批评指正!
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称:保护internet explorer收藏夹和设置
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe, e:\program files\ccleaner\ccleaner.exe
是否勾选报告:否
《防间谍程序最大保护》
规则名称:禁止安装新的 clsid、appid 和 typelib
要包含的进程:**
要排除的进程:c:\windows\system32\restore\rstrui.exe
是否勾选报告:否
规则名称:禁止所有程序从 temp 文件夹运行文件
要包含的进程:**
要排除的进程:c:\windows\system32\cleanmgr.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
是否勾选报告:是
规则名称:禁止从 temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
是否勾选报告:否
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止更改用户权限策略
要包含的进程:**
要排除的进程:c:\windows\system32\lsass.exe
是否勾选报告:是
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*.*
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\program files\adobe\arm\1.0\adobearm.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\windows media player\setup_wm.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\**\mscorsvw.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\regedit.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\defrag.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\ie4uinit.exe, c:\windows\system32\imapi.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mmc.exe, c:\windows\system32\msdt.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\searchprotocolhost.exe, c:\windows\system32\services.exe, c:\windows\system32\spoolsv.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiadap.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuapp.exe, c:\windows\system32\wuauclt.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\acd systems\acdsee\10.0\acdsee*.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\**\*.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\macromedia\flash*\flash.exe, e:\program files\mcafee\**\*.exe, e:\program files\microsoft office\office11\*.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe, h:\**\*.exe
是否勾选报告:是
规则名称:禁止远程创建自动运行文件
要包含的进程:**
要排除的进程:无
是否勾选报告:否
规则名称:禁止拦截 .exe 和其他可执行文件扩展名
要包含的进程:**
要排除的进程:无
是否勾选报告:否
规则名称:禁止伪装 windows 进程
要包含的进程:**
要排除的进程:c:\windows\explorer.exe
是否勾选报告:否
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止 irc 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止使用 tftp.exe
要包含的进程:**
要排除的进程:c:\windows\system32\wbem\wmiprvse.exe
是否勾选报告:是
《防病毒最大保护》
规则名称:禁止 svchost 执行非 windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
是否勾选报告:否
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\helppane.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\restore\rstrui.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\svchost.exe, c:\windows\system32\verclsid.exe, c:\windows\syswow64\rundll32.exe, e:\program files\adobe\adobe photoshop cs*\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\**\*.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\mcafee\**\*.exe, e:\program files\microsoft office\office11\*.exe
是否勾选报告:是
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:否
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\helppane.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\mmc.exe, c:\windows\system32\powercfg.exe, c:\windows\system32\restore\rstrui.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\searchprotocolhost.exe, c:\windows\system32\svchost.exe, c:\windows\system32\verclsid.exe, c:\windows\syswow64\rundll32.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\**\*.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\macromedia\flash 8\flash.exe, e:\program files\mcafee\**\*.exe, e:\program files\microsoft office\office11\*.exe, e:\program files\thunder network\thunder\program\thunder.exe
是否勾选报告:是
《防病毒爆发控制》
规则名称:将所有共享项设为只读
要包含的进程:*.*
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
是否勾选报告:是
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*.*
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
是否勾选报告:是
《通用标准保护》
规则名称:禁止修改 mcafee 文件和设置
要包含的进程:**
要排除的进程:c:\windows\system32\services.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\virusscan enterprise\vstskmgr.exe
是否勾选报告:是
规则名称:禁止修改 mcafee common management agent 文件和设置
要包含的进程:**
要排除的进程:c:\windows\system32\services.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
规则名称:禁止修改 mcafee 扫描引擎文件和设置
要包含的进程:**
要排除的进程:e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
规则名称:保护 mozilla 及 firefox 文件和设置
要包含的进程:**
要排除的进程:c:\program files\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:保护 internet explorer 设置
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe
是否勾选报告:是
规则名称:禁止安装 browser helper objects 和 shell extensions
要包含的进程:**
要排除的进程:e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:保护网络设置
要包含的进程:**
要排除的进程:c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:禁止公用程序从 temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, mapisp32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, owstimer.exe, packager.exe, pine.exe, poco.exe, resrcmon.exe, spsnotific*, thebat.exe, thunde*.exe, vmimb.exe, winmail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
是否勾选报告:是
规则名称:在 internet explorer 中禁用 hcp url
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
是否勾选报告:是
规则名称:防止终止 mcafee 进程
要包含的进程:**
要排除的进程:无
是否勾选报告:是
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\comodo\**\*.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:禁止将程序注册为服务
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\dllhost.exe, c:\windows\system32\mmc.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\searchindexer.exe, c:\windows\system32\services.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\vssvc.exe, c:\windows\syswow64\rundll32.exe, e:\program files\comodo\**\*.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:禁止在 windows 文件夹中创建新的可执行文件
要包含的进程:*.*
要排除的进程:c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe
是否勾选报告:是
规则名称:禁止在 program files 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
是否勾选报告:是
规则名称:禁止从 downloaded program files 文件夹启动文件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止 ftp 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止 http 通信
要包含的进程:**
要排除的进程:c+wclient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, frameworkservice.exe, iexplore.exe, itudou.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, mcshield.exe, npe.exe, sppsvc.exe, svchost.exe, thunder.exe, virtual pc.exe
是否勾选报告:是
《虚拟机保护》
规则名称:防止终止 vmware 进程
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:禁止修改 vmware workstation 文件和设置
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:禁止修改 vmware server 文件和设置
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:禁止修改 vmware 虚拟机文件
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
----------------------------用户定义的规则-----------------------------------------
01 规则名称:全局只读保护_注册表项
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
要保护的注册表项目或注册表值:hkall /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
02 规则名称:全局只读保护_注册表项
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
要保护的注册表项目或注册表值:hkall /**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
03 规则名称:全局控制端口_入站
要包含的进程:*.*
要排除的进程:cmdagent.exe, frameworkservice.exe, iexplore.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, mcshield.exe, npe.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾选报告:是
04 规则名称:全局控制端口_出站
要包含的进程:*.*
要排除的进程:c+wclient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, frameworkservice.exe, iexplore.exe, itudou.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, mcshield.exe, npe.exe, sppsvc.exe, svchost.exe, thunder.exe, virtual pc.exe
要阻止的端口:1-65535
方向:出站
是否勾选报告:是
05 规则名称:读写权限_windows
要包含的进程:*\windows\**
要排除的进程:*\windows\system32\csrss.exe, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\windows\explorer.exe, c:\windows\ime\imjp8_1\imjpmig.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\regedit.exe, c:\windows\rthdcpl.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\cmd.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\defrag.exe, c:\windows\system32\dfrgntfs.exe, c:\windows\system32\drwtsn32.exe, c:\windows\system32\dumprep.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\imapi.exe, c:\windows\system32\ime\tintlgnt\tintsetp.exe, c:\windows\system32\logonui.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mmc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\ntbackup.exe, c:\windows\system32\restore\rstrui.exe, c:\windows\system32\rsmsink.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\sndrec32.exe, c:\windows\system32\spoolsv.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\userinit.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\watchdata\watchdata ccb csp v3.2\wdkeymonitorccb.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
06 规则名称:读写权限_c:\program files
要包含的进程:c:\program files\**
要排除的进程:c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\chinatelecom c+w\cwcleantools.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe, c:\program files\common files\mcafee\systemcore\entvutil.exe, c:\program files\common files\microsoft shared\ime\imsc40a\imscmig.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\intel\intel(r) management engine components\lms\lms.exe, c:\program files\intel\intel(r) management engine components\uns\uns.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
07 规则名称:读写权限_e:\program files
要包含的进程:e:\program files\**
要排除的进程:e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cfplogvw.exe, e:\program files\comodo\comodo internet security\cfpupdat.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\ha_goldwave557_hz\goldwave.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\naprdmgr.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\mcafee\virusscan enterprise\scan32.exe, e:\program files\mcafee\virusscan enterprise\shcfg32.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\ttkn\cajviewer 7.0\cajviewer.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
08 规则名称:只读权限_windows
要包含的进程:*\windows\**
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, *\windows\system32\winlogon.exe. c:\windows\system32\wbem\wmiprvse.exe, c:\windows\explorer.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
09 规则名称:只读权限_program files
要包含的进程:*\program files*\**
要排除的进程:c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\windows defender\msascui.exe, c:\program files\windows media player\setup_wm.exe, c:\program files\windows media player\wmplayer.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\acd systems\acdsee\10.0\acdseeqv10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cfplogvw.exe, e:\program files\comodo\comodo internet security\cfpupdat.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\ha_goldwave557_hz\goldwave.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\macromedia\flash*\flash.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft office\office11\*.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
10 规则名称:读写保护windows_w
要包含的进程:**
要排除的进程:*\windows\system32\csrss.exe, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\program files\**\*.exe, c:\windows\explorer.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\rthdcpl.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\defrag.exe, c:\windows\system32\dfrgntfs.exe, c:\windows\system32\logonui.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\spoolsv.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\watchdata\watchdata ccb csp v3.2\wdkeymonitorccb.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
11 规则名称:读写保护windows_c:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
12 规则名称:读写保护windows_e:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\ttkn\cajviewer 7.0\cajviewer.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe, h:\**\*.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
13 规则名称:读写保护program files_w
要包含的进程:**
要排除的进程:*\windows\system32\csrss.exe, *\windows\system32\winlogon.exe, c:\program files\**\*.exe, c:\windows\explorer.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\wbem\wmiprvse.exe, e:\program files\**\*.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
14 规则名称:读写保护program files_c:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\common files\mcafee\systemcore\entvutil.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\wbem\wmiprvse.exe, , e:\program files\**\*.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
15 规则名称:读写保护program files_e:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\naprdmgr.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\ttkn\cajviewer 7.0\cajviewer.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
16 规则名称:只读保护_windows
要包含的进程:**
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\regedit.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\*\update\update.exe, c:\windows\system32\imapi.exe, c:\windows\system32\mmc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\eset_vc52_scan 1.0.1.0\eset_vc52_scan 1.0.1.0.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:写 创建 删除
是否勾选报告:是
17 规则名称:只读保护_program files
要包含的进程:**
要排除的进程:c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:写 创建 删除
是否勾选报告:是
18 规则名称:只读保护_exe
要包含的进程:**
要排除的进程:c:\windows\microsoft.net\framework\**\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\system32\svchost.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
要阻止的文件或文件夹名:**.exe
要禁止的文件:写 创建
是否勾选报告:是
19 规则名称:只读保护_dll
要包含的进程:**
要排除的进程:c:\windows\microsoft.net\framework\**\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\system32\svchost.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
要阻止的文件或文件夹名:**.dll
要禁止的文件:写 创建
是否勾选报告:是
20 规则名称:高危过滤_文件
要包含的进程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\local settings\temporary internet files\**, *\recycler*\**, *\system volume information\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, del*.exe, diskpart.exe, dsc*.exe, fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
21 规则名称:高危过滤_注册表项
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
22 规则名称:高危过滤_注册表值
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
23 规则名称:全局双向读写_非p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
24 规则名称:全局双向只读_非p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
写在后面:
一、本文在理解与应用咖啡规则方面有几个基础性突破:
1、分期防御,完美防止病毒爆发。
2、廓清权限,程序控制更加方便。
3、辨明优先级,使规则打造和防御更加高效。
二、诚如版主所言,本文的规则是“按时间分组”,个人认为,这样做安全性高于“纵向分组”。要想纵向分组,可以对“权限规则”这样设置:
规则名称:系统组:读写权限
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
规则名称:安全软件组:读写权限
要包含的进程:*\mcafee\**, *\comodo\**, *\kingsoft\webshield\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
规则名称:浏览器组:只读权限
要包含的进程:iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:p2p软件组:只读权限
要包含的进程:*\thunder\**, ……
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:常用软件组:只读权限
要包含的进程:*\microsoft office\office*\**, ……
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
然后配合以合适的全局规则、保护规则。这样做效果一样,但设置更加复杂。
三、本文规则要想安装程序,必须关闭“访问保护”,如果想要不关闭“访问保护”就安装程序,请参考叶知规则,加入相关排除,并设置“关闭程序安装管道”规则。在这里,首先要向叶知致敬!安装规则应该是他的专利,本人规则中永远不会加入,以示尊重。
四、文中的windows xp实机规则经过本人几个月的完善和测试,安全与性能很是理想,推荐追求高安全的有兴趣折腾的朋友参考打磨!
既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段:
第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、com、pif、vbs、autorun.inf等;
第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
针对病毒的以上特点,规则必须做到:
第一、前期防御:设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、u盘规则禁止创建可执行文件,如猫版64位win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
第二、中期防御:设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
第三,后期防御:设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。下面先看以下两条规则的区别。
规则名称:只读权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:只读保护_windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:写 创建 删除
第一条规则的含义是禁止windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制windows文件夹下的文件的运行权限,应该写成:
规则名称:读写权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
这样就可以防止windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
归纳了一下,有意义的文件权限可以分为:
1、读写权限——“读 写 执行 创建 删除”别人的权力;
2、只读权限——“写 创建 删除”别人的权力;
与以上相关的规则可以称之为“权限规则”。
3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
4、只读保护——别人“写 创建 删除”保护对象的权力
与以上相关的规则可以称之为“保护规则”。
5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架:
一、读写双向权限(修改默认规则)
规则名称:阻止对所有共享资源的读写访问
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\program files\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
--------------------------------------------
权限:运行权力+访问保护。
作用:禁止一切非信任区文件的运行
对所有本地文件进行访问保护
禁止所有非exe文件的运行与访问
禁止所有远程操作
排除:不要使用绝对路径,目的有二:一是保证规则优先起作用(咖啡规则有一定的优先级,下面专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
二、只读双向权限(修改默认规则)
规则名称:将所有共享项设为只读
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
--------------------------------------------
这种写法包含了修改与只读两种权限,作用有四:禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
三、读写权限
规则名称:读写权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除,内存进程参照*\windows\system32\winlogon.exe排除。
规则名称:读写权限_c:\program files
要包含的进程:c:\program files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:分组运行权限_e:\program files
要包含的进程:e:\program files\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。这里是把软件装在e盘的写法。如果装在c盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如c:\program files\mcafee\**、c:\program files\microsoft office\**、c:\program files\common files\**等。
四、只读权限
规则名称:只读权限_windows
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读权限_program files
要包含的进程:*\program files*\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
五、读写保护
规则名称:读写保护_windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
规则名称:读写保护_program files
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。需要分组。
六、只读保护
规则名称:只读保护_windows
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
规则名称:只读保护_program files
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:写 创建 删除
是否勾选报告:是
-------------------------------------------------
排除:采用绝对路径排除。
按权限分组防御系统至此完全形成。总体防护效果是:非信任区一切运行与修改都无法进行,“全局规则”起作用,止步于中期行为,拦截彻底,速度快,无弹窗,无遗漏,日志仅一条;信任区内未排除程序一切运行与修改都无法进行,“只读权限”规则先起作用,如有遗漏,“全局只读”以及相应的“分组访问保护”规则迅速补上,拦截彻底,速度快,无弹窗,日志较少,无遗漏。所以,以上“组以权分,分期防御”组成了一个强大的防御系统,可以完美拦截一切未知程序的所有行为。这种交叉火力防护,是纯后期防御无法达到的。
下面补充几个问题:
第一,咖啡规则的优先级。有人说咖啡没有优先级,这是片面的。咖啡规则的优先级很复杂,归纳如下(“>”表示优先于):
1、杀毒 > 规则
2、文件规则 > 注册表 > 端口规则
3、注册表项规则 > 注册表值规则
4、全局规则 > 权限规则 > 保护规则
5、全通配符规则 > 带通配符相对路径规则 > 无通配符绝对路径规则 > 单文件规则
所以,全局规则采用绝对路径排除会降低规则优先级,反而会在应该起作用的时候反应滞后,起不到应有的中期拦截的作用,故用通配符相对路径排除更好。
第二、要想把规则打造成铁桶,还要做好入口防御和高危过滤。建议设置和补充如下规则:
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:**
要排除的进程:
是否勾选报告:是
--------------------------------
采用绝对路径排除,只要不排除浏览器,入口就基本扎好了。
规则名称:文件禁改_exe
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**.exe
要禁止的文件操作:写入 创建
-------------------------------------------------
作用:弥补默认“最大保护”规则防护面积的不足(默认只防了c盘windows与program files文件夹)
规则名称:文件禁改_dll
要包含的进程:**
要排除的进程:
要阻止的文件或文件夹名:**.dll
要禁止的文件操作:写入 创建
-------------------------------------------------
作用:弥补默认“最大保护”规则防护面积的不足(默认只防了c盘windows与program files文件夹)
规则名称:高危过滤_文件
要包含的进程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\local settings\temporary internet files\**, *\recycler*\**, *\system volume information\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, del*.exe, diskpart.exe, dsc*.exe, fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:否
-------------------------------------------------
要包含的进程可以*添加,包括容易被病毒利用而又不常用的系统文件,以及已知的病毒文件名、双后缀文件名等,相当于黑名单。
规则名称:高危过滤_注册表项
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:否
-------------------------------------------------
一般不用添加排除。
13 规则名称:高危过滤_注册表值
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:否
-------------------------------------------------
一般不用添加排除。
第三、设置规则必须全盘考虑,尽量做到滴水不漏。规则最好自己设置、排除,这样才能完全适合自己,排除容量才会够用。
第四、一条规则误排除没有关系,全部误排除才会中毒,这就是分组分权限详细设置规则的优势,当然,打磨的难度的确大大增加。如果你是一个爱好折腾、追求高安全的人,其乐无穷!
第五、打磨规则是有顺序的。尽量按照咖啡的优先级逐个打磨,即全局规则——>权限规则——>保护规则——>文件规则。打磨一个规则时,只勾选报告,完成后再勾选阻止,而其它规则一律不阻止、不报告。这样逐个磨出来的规则会减少许多重复排除,对系统运行的影响可以降到最低。
最后的关键:其它的默认规则也尽量采用绝对路径排除,降低优先级,这样就把全局规则推到最高优先级别,使整套规则形成这样一种优先级别合理、按权限分组、分期行为交叉防御的高效的强大体系:
全局规则——>分组权限规则——>分组保护规则——>文件权限规则——>文件保护规则。
如果你详细阅读并理解了以上内容,就可以进入规则打磨了。
下面把自己xp下的8.8实机规则完整贴出来,供大家打磨规则时参考,欢迎批评指正!
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称:保护internet explorer收藏夹和设置
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe, e:\program files\ccleaner\ccleaner.exe
是否勾选报告:否
《防间谍程序最大保护》
规则名称:禁止安装新的 clsid、appid 和 typelib
要包含的进程:**
要排除的进程:c:\windows\system32\restore\rstrui.exe
是否勾选报告:否
规则名称:禁止所有程序从 temp 文件夹运行文件
要包含的进程:**
要排除的进程:c:\windows\system32\cleanmgr.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
是否勾选报告:是
规则名称:禁止从 temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
是否勾选报告:否
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止更改用户权限策略
要包含的进程:**
要排除的进程:c:\windows\system32\lsass.exe
是否勾选报告:是
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*.*
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\program files\adobe\arm\1.0\adobearm.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\windows media player\setup_wm.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\**\mscorsvw.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\regedit.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\defrag.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\ie4uinit.exe, c:\windows\system32\imapi.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mmc.exe, c:\windows\system32\msdt.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\searchprotocolhost.exe, c:\windows\system32\services.exe, c:\windows\system32\spoolsv.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiadap.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuapp.exe, c:\windows\system32\wuauclt.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\acd systems\acdsee\10.0\acdsee*.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\**\*.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\macromedia\flash*\flash.exe, e:\program files\mcafee\**\*.exe, e:\program files\microsoft office\office11\*.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe, h:\**\*.exe
是否勾选报告:是
规则名称:禁止远程创建自动运行文件
要包含的进程:**
要排除的进程:无
是否勾选报告:否
规则名称:禁止拦截 .exe 和其他可执行文件扩展名
要包含的进程:**
要排除的进程:无
是否勾选报告:否
规则名称:禁止伪装 windows 进程
要包含的进程:**
要排除的进程:c:\windows\explorer.exe
是否勾选报告:否
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止 irc 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止使用 tftp.exe
要包含的进程:**
要排除的进程:c:\windows\system32\wbem\wmiprvse.exe
是否勾选报告:是
《防病毒最大保护》
规则名称:禁止 svchost 执行非 windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
是否勾选报告:否
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\helppane.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\restore\rstrui.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\svchost.exe, c:\windows\system32\verclsid.exe, c:\windows\syswow64\rundll32.exe, e:\program files\adobe\adobe photoshop cs*\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\**\*.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\mcafee\**\*.exe, e:\program files\microsoft office\office11\*.exe
是否勾选报告:是
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:否
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\helppane.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\mmc.exe, c:\windows\system32\powercfg.exe, c:\windows\system32\restore\rstrui.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\searchprotocolhost.exe, c:\windows\system32\svchost.exe, c:\windows\system32\verclsid.exe, c:\windows\syswow64\rundll32.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\**\*.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\macromedia\flash 8\flash.exe, e:\program files\mcafee\**\*.exe, e:\program files\microsoft office\office11\*.exe, e:\program files\thunder network\thunder\program\thunder.exe
是否勾选报告:是
《防病毒爆发控制》
规则名称:将所有共享项设为只读
要包含的进程:*.*
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
是否勾选报告:是
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*.*
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
是否勾选报告:是
《通用标准保护》
规则名称:禁止修改 mcafee 文件和设置
要包含的进程:**
要排除的进程:c:\windows\system32\services.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\virusscan enterprise\vstskmgr.exe
是否勾选报告:是
规则名称:禁止修改 mcafee common management agent 文件和设置
要包含的进程:**
要排除的进程:c:\windows\system32\services.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
规则名称:禁止修改 mcafee 扫描引擎文件和设置
要包含的进程:**
要排除的进程:e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
规则名称:保护 mozilla 及 firefox 文件和设置
要包含的进程:**
要排除的进程:c:\program files\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:保护 internet explorer 设置
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe
是否勾选报告:是
规则名称:禁止安装 browser helper objects 和 shell extensions
要包含的进程:**
要排除的进程:e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:保护网络设置
要包含的进程:**
要排除的进程:c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:禁止公用程序从 temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, mapisp32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, owstimer.exe, packager.exe, pine.exe, poco.exe, resrcmon.exe, spsnotific*, thebat.exe, thunde*.exe, vmimb.exe, winmail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
是否勾选报告:是
规则名称:在 internet explorer 中禁用 hcp url
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
是否勾选报告:是
规则名称:防止终止 mcafee 进程
要包含的进程:**
要排除的进程:无
是否勾选报告:是
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\comodo\**\*.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:禁止将程序注册为服务
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\dllhost.exe, c:\windows\system32\mmc.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\searchindexer.exe, c:\windows\system32\services.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\vssvc.exe, c:\windows\syswow64\rundll32.exe, e:\program files\comodo\**\*.exe, e:\program files\kingsoft\webshield\*.exe, e:\program files\mcafee\**\*.exe
是否勾选报告:是
规则名称:禁止在 windows 文件夹中创建新的可执行文件
要包含的进程:*.*
要排除的进程:c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe
是否勾选报告:是
规则名称:禁止在 program files 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
是否勾选报告:是
规则名称:禁止从 downloaded program files 文件夹启动文件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止 ftp 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
规则名称:禁止 http 通信
要包含的进程:**
要排除的进程:c+wclient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, frameworkservice.exe, iexplore.exe, itudou.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, mcshield.exe, npe.exe, sppsvc.exe, svchost.exe, thunder.exe, virtual pc.exe
是否勾选报告:是
《虚拟机保护》
规则名称:防止终止 vmware 进程
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:禁止修改 vmware workstation 文件和设置
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:禁止修改 vmware server 文件和设置
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
规则名称:禁止修改 vmware 虚拟机文件
要包含的进程:**
要排除的进程:c:\program files\**\*.*, c:\windows\**\*.*, e:\program files\**\*.*
是否勾选报告:是
----------------------------用户定义的规则-----------------------------------------
01 规则名称:全局只读保护_注册表项
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
要保护的注册表项目或注册表值:hkall /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
02 规则名称:全局只读保护_注册表项
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\**\*.exe, e:\alonesbck\**\*.exe, e:\kangxidict\**\*.exe, e:\program files\**\*.exe, h:\**\*.exe
要保护的注册表项目或注册表值:hkall /**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
03 规则名称:全局控制端口_入站
要包含的进程:*.*
要排除的进程:cmdagent.exe, frameworkservice.exe, iexplore.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, mcshield.exe, npe.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾选报告:是
04 规则名称:全局控制端口_出站
要包含的进程:*.*
要排除的进程:c+wclient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, frameworkservice.exe, iexplore.exe, itudou.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, mcshield.exe, npe.exe, sppsvc.exe, svchost.exe, thunder.exe, virtual pc.exe
要阻止的端口:1-65535
方向:出站
是否勾选报告:是
05 规则名称:读写权限_windows
要包含的进程:*\windows\**
要排除的进程:*\windows\system32\csrss.exe, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\windows\explorer.exe, c:\windows\ime\imjp8_1\imjpmig.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\regedit.exe, c:\windows\rthdcpl.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\cmd.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\defrag.exe, c:\windows\system32\dfrgntfs.exe, c:\windows\system32\drwtsn32.exe, c:\windows\system32\dumprep.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\imapi.exe, c:\windows\system32\ime\tintlgnt\tintsetp.exe, c:\windows\system32\logonui.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mmc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\ntbackup.exe, c:\windows\system32\restore\rstrui.exe, c:\windows\system32\rsmsink.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\sndrec32.exe, c:\windows\system32\spoolsv.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\userinit.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\watchdata\watchdata ccb csp v3.2\wdkeymonitorccb.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
06 规则名称:读写权限_c:\program files
要包含的进程:c:\program files\**
要排除的进程:c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\chinatelecom c+w\cwcleantools.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe, c:\program files\common files\mcafee\systemcore\entvutil.exe, c:\program files\common files\microsoft shared\ime\imsc40a\imscmig.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\intel\intel(r) management engine components\lms\lms.exe, c:\program files\intel\intel(r) management engine components\uns\uns.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
07 规则名称:读写权限_e:\program files
要包含的进程:e:\program files\**
要排除的进程:e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cfplogvw.exe, e:\program files\comodo\comodo internet security\cfpupdat.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\ha_goldwave557_hz\goldwave.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\naprdmgr.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\mcafee\virusscan enterprise\scan32.exe, e:\program files\mcafee\virusscan enterprise\shcfg32.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\ttkn\cajviewer 7.0\cajviewer.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
08 规则名称:只读权限_windows
要包含的进程:*\windows\**
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, *\windows\system32\winlogon.exe. c:\windows\system32\wbem\wmiprvse.exe, c:\windows\explorer.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
09 规则名称:只读权限_program files
要包含的进程:*\program files*\**
要排除的进程:c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\windows defender\msascui.exe, c:\program files\windows media player\setup_wm.exe, c:\program files\windows media player\wmplayer.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\acd systems\acdsee\10.0\acdseeqv10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cfplogvw.exe, e:\program files\comodo\comodo internet security\cfpupdat.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\ha_goldwave557_hz\goldwave.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\macromedia\flash*\flash.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft office\office11\*.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
10 规则名称:读写保护windows_w
要包含的进程:**
要排除的进程:*\windows\system32\csrss.exe, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\program files\**\*.exe, c:\windows\explorer.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\rthdcpl.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\defrag.exe, c:\windows\system32\dfrgntfs.exe, c:\windows\system32\logonui.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\spoolsv.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\watchdata\watchdata ccb csp v3.2\wdkeymonitorccb.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
11 规则名称:读写保护windows_c:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\common files\macrovision shared\flexnet publisher\fnplicensingservice.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
12 规则名称:读写保护windows_e:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\ttkn\cajviewer 7.0\cajviewer.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe, h:\**\*.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
13 规则名称:读写保护program files_w
要包含的进程:**
要排除的进程:*\windows\system32\csrss.exe, *\windows\system32\winlogon.exe, c:\program files\**\*.exe, c:\windows\explorer.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\wbem\wmiprvse.exe, e:\program files\**\*.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
14 规则名称:读写保护program files_c:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\common files\mcafee\systemcore\entvutil.exe, c:\program files\cyberlink\youcam\youcam.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\scandrv6\5000\scandrv.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\wbem\wmiprvse.exe, , e:\program files\**\*.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
15 规则名称:读写保护program files_e:\p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\naprdmgr.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\ttkn\cajviewer 7.0\cajviewer.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\winrar\winrar.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe, e:\program files\植物大战僵尸绿色版\plantsvszombies.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
16 规则名称:只读保护_windows
要包含的进程:**
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\framework\v2.0.50727\mscorsvw.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\regedit.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\*\update\update.exe, c:\windows\system32\imapi.exe, c:\windows\system32\mmc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\eset_vc52_scan 1.0.1.0\eset_vc52_scan 1.0.1.0.exe
要阻止的文件或文件夹名:**\windows\**
要禁止的文件:写 创建 删除
是否勾选报告:是
17 规则名称:只读保护_program files
要包含的进程:**
要排除的进程:c:\program files\ccbcomponents\detector\ccbdetector.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe, e:\program files\adobe\adobe photoshop cs3\photoshop.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\工具\**\*.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:写 创建 删除
是否勾选报告:是
18 规则名称:只读保护_exe
要包含的进程:**
要排除的进程:c:\windows\microsoft.net\framework\**\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\system32\svchost.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
要阻止的文件或文件夹名:**.exe
要禁止的文件:写 创建
是否勾选报告:是
19 规则名称:只读保护_dll
要包含的进程:**
要排除的进程:c:\windows\microsoft.net\framework\**\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\system32\svchost.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscript_inuse.exe
要阻止的文件或文件夹名:**.dll
要禁止的文件:写 创建
是否勾选报告:是
20 规则名称:高危过滤_文件
要包含的进程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\local settings\temporary internet files\**, *\recycler*\**, *\system volume information\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, del*.exe, diskpart.exe, dsc*.exe, fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
21 规则名称:高危过滤_注册表项
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
22 规则名称:高危过滤_注册表值
要包含的进程:**
要排除的进程:c:\windows\system32\ctfmon.exe, e:\program files\ccleaner\ccleaner.exe
要保护的注册表项目或注册表值:hkcu /software/microsoft/windows/currentversion/run/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
23 规则名称:全局双向读写_非p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是
24 规则名称:全局双向只读_非p
要包含的进程:**
要排除的进程:*\windows\**\*.exe, c:\program files\**\*.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\**\*.exe, h:\**\*.exe
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
是否勾选报告:是
写在后面:
一、本文在理解与应用咖啡规则方面有几个基础性突破:
1、分期防御,完美防止病毒爆发。
2、廓清权限,程序控制更加方便。
3、辨明优先级,使规则打造和防御更加高效。
二、诚如版主所言,本文的规则是“按时间分组”,个人认为,这样做安全性高于“纵向分组”。要想纵向分组,可以对“权限规则”这样设置:
规则名称:系统组:读写权限
要包含的进程:*\windows\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
规则名称:安全软件组:读写权限
要包含的进程:*\mcafee\**, *\comodo\**, *\kingsoft\webshield\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
规则名称:浏览器组:只读权限
要包含的进程:iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:p2p软件组:只读权限
要包含的进程:*\thunder\**, ……
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
规则名称:常用软件组:只读权限
要包含的进程:*\microsoft office\office*\**, ……
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件:写 创建 删除
然后配合以合适的全局规则、保护规则。这样做效果一样,但设置更加复杂。
三、本文规则要想安装程序,必须关闭“访问保护”,如果想要不关闭“访问保护”就安装程序,请参考叶知规则,加入相关排除,并设置“关闭程序安装管道”规则。在这里,首先要向叶知致敬!安装规则应该是他的专利,本人规则中永远不会加入,以示尊重。
四、文中的windows xp实机规则经过本人几个月的完善和测试,安全与性能很是理想,推荐追求高安全的有兴趣折腾的朋友参考打磨!
上一篇: 用mcafee麦咖啡设置服务器基本用户安全(防止新建用户与修改密码)
下一篇: 养身传奇 经络演绎