McAfee麦咖啡企业版8.8设置方法
网络安全 2021-07-03 09:33www.168986.cn网络安全知识
McAfee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则。
既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段
第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、、pif、vbs、autorun.inf等;
第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
针对病毒的以上特点,规则必须做到
第一、前期防御设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、U盘规则禁止创建可执行文件,如猫版64位Win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
第二、中期防御设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
第三,后期防御设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。狼蚁网站SEO优化先看以下两条规则的区别。
规则名称只读权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
规则名称只读保护_Windows
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Windows\
要禁止的文件写 创建 删除
第一条规则的含义是禁止Windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改Windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制Windows文件夹下的文件的运行权限,应该写成
规则名称读写权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
这样就可以防止Windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
归纳了一下,有意义的文件权限可以分为
1、读写权限——“读 写 执行 创建 删除”别人的权力;
2、只读权限——“写 创建 删除”别人的权力;
与以上相关的规则可以称之为“权限规则”。
3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
4、只读保护——别人“写 创建 删除”保护对象的权力
与以上相关的规则可以称之为“保护规则”。
5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。狼蚁网站SEO优化给一个按权限分组防御的参考框架
一、读写双向权限(修改默认规则)
规则名称阻止对所有共享资源的读写访问
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\Program Files\\.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
--------------------------------------------
权限运行权力+访问保护。
作用禁止一切非信任区文件的运行
对所有本地文件进行访问保护
禁止所有非exe文件的运行与访问
禁止所有远程操作
排除不要使用绝对路径,目的有二一是保证规则优先起作用(咖啡规则有一定的优先级,狼蚁网站SEO优化专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
二、只读双向权限(修改默认规则)
规则名称将所有共享项设为只读
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
--------------------------------------------
这种写法包含了修改与只读两种权限,作用有四禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
三、读写权限
规则名称读写权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除,内存进程参照\WINDOWS\system32\winlogon.exe排除。
规则名称读写权限_C:\Program Files
要包含的进程C:\Program Files\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
规则名称分组运行权限_E:\Program Files
要包含的进程E:\Program Files\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。这里是把软件装在E盘的写法。如果装在C盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如C:\Program Files\McAfee\、C:\Program Files\Microsoft Office\、C:\Program Files\Common Files\等。
四、只读权限
规则名称只读权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
规则名称只读权限_Program Files
要包含的进程\Program Files\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
五、读写保护
规则名称读写保护_Windows
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。需要分组。
规则名称读写保护_Program Files
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。需要分组。
六、只读保护
规则名称只读保护_Windows
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Windows\
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
规则名称只读保护_Program Files
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Program Files\
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
按权限分组防御系统至此完全形成。总体防护效果是非信任区一切运行与修改都无法进行,“全局规则”起作用,止步于中期行为,拦截彻底,速度快,无弹窗,无遗漏,日志仅一条;信任区内未排除程序一切运行与修改都无法进行,“只读权限”规则先起作用,如有遗漏,“全局只读”以及相应的“分组访问保护”规则迅速补上,拦截彻底,速度快,无弹窗,日志较少,无遗漏。所以,以上“组以权分,分期防御”组成了一个强大的防御系统,可以完美拦截一切未知程序的所有行为。这种交叉火力防护,是纯后期防御无法达到的。
狼蚁网站SEO优化补充几个问题
第一,咖啡规则的优先级。有人说咖啡没有优先级,这是片面的。咖啡规则的优先级很复杂,归纳如下(“>”表示优先于)
1、杀毒 > 规则
2、文件规则 > 注册表 > 端口规则
3、注册表项规则 > 注册表值规则
4、全局规则 > 权限规则 > 保护规则
5、全通配符规则 > 带通配符相对路径规则 > 无通配符绝对路径规则 > 单文件规则
所以,全局规则采用绝对路径排除会降低规则优先级,反而会在应该起作用的时候反应滞后,起不到应有的中期拦截的作用,故用通配符相对路径排除更好。
第二、要想把规则打造成铁桶,还要做好入口防御和高危过滤。建议设置和补充如下规则
规则名称禁止远程创建/修改可执行文件和配置文件
要包含的进程
要排除的进程
是否勾选报告是
--------------------------------
采用绝对路径排除,只要不排除浏览器,入口就基本扎好了。
规则名称文件禁改_exe
要包含的进程
要排除的进程
要阻止的文件或文件夹名.exe
要禁止的文件操作写入 创建
-------------------------------------------------
作用弥补默认“最大保护”规则防护面积的不足(默认只防了C盘Windows与Program Files文件夹)
规则名称文件禁改_dll
要包含的进程
要排除的进程
要阻止的文件或文件夹名.dll
要禁止的文件操作写入 创建
-------------------------------------------------
作用弥补默认“最大保护”规则防护面积的不足(默认只防了C盘Windows与Program Files文件夹)
规则名称高危过滤_文件
要包含的进程.7z.exe, .7z.msi, .ade., .adp., .avi.exe, .bas., .bat, .bat., .bmp.exe, .bmp.msi, .chm.exe, .cmd, .cmd., ..exe, ..msi, .dib., .dir.exe, .dir.msi, .doc.exe, .drv.exe, .fnr., .gho., .gif.exe, .hiv., .hlp., .hta., .img., .inf., .jfif., .jpe., .jpeg., .jpg.exe, .js, .jse, .link., .lnk., .mde., .mp3.exe, .mpeg., .msc, .msc., .msi., .msp., .mst., .pcd., .pif., .png.exe, .ppt.exe, .rar.exe, .rar.msi, .reg, .scr, .scr.exe, .shs., .tif.exe, .tif.msi, .tiff., .txt.exe, .url., .vb., .vbe, .vbs, .vbs., .win., .wps.exe, .wpt.exe, .wsc., .wsf, .wsh, .xls.exe, .zip.exe, .zip.msi, autorun., \Local Settings\Temporary Inter Files\, \RECYCLER\, \System Volume Information\, 文档.exe, 桌面.exe, 用户.exe, ?.cab, ?.chm, ?., ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del.exe, diskpart.exe, dsc.exe, Fdisk.exe, format., found..exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, .exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, tel.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹.exe
要排除的进程无
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告否
-------------------------------------------------
要包含的进程可以自由添加,包括容易被病毒利用而又不常用的系统文件,以及已知的病毒文件名、双后缀文件名等,相当于黑名单。
规则名称高危过滤_注册表项
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值项
要阻止的注册表写入 创建 删除
是否勾选报告否
-------------------------------------------------
一般不用添加排除。
13 规则名称高危过滤_注册表值
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值值
要阻止的注册表写入 创建 删除
是否勾选报告否
-------------------------------------------------
一般不用添加排除。
第三、设置规则必须全盘考虑,尽量做到滴水不漏。规则最好自己设置、排除,这样才能完全适合自己,排除容量才会够用。
第四、一条规则误排除没有关系,全部误排除才会中毒,这就是分组分权限详细设置规则的优势,,打磨的难度的确大大增加。如果你是一个爱好折腾、追求高安全的人,其乐无穷!
第五、打磨规则是有顺序的。尽量按照咖啡的优先级逐个打磨,即全局规则——>权限规则——>保护规则——>文件规则。打磨一个规则时,只勾选报告,完成后再勾选阻止,而其它规则一律不阻止、不报告。这样逐个磨出来的规则会减少许多重复排除,对系统运行的影响可以降到最低。
的关键其它的默认规则也尽量采用绝对路径排除,降低优先级,这样就把全局规则推到最高优先级别,使整套规则形成这样一种优先级别合理、按权限分组、分期行为交叉防御的高效的强大体系
全局规则——>分组权限规则——>分组保护规则——>文件权限规则——>文件保护规则。
如果你详细阅读并理解了以上内容,就可以进入规则打磨了。
狼蚁网站SEO优化把自己XP下的8.8实机规则完整贴出来,供大家打磨规则时参考,欢迎批评指正!
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称保护Inter Explorer收藏夹和设置
要包含的进程
要排除的进程C:\Program Files\Inter Explorer\iexplore.exe, C:\Windows\explorer.exe, E:\Program Files\CCleaner\CCleaner.exe
是否勾选报告否
《防间谍程序最大保护》
规则名称禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程
要排除的进程C:\WINDOWS\system32\Restore\rstrui.exe
是否勾选报告否
规则名称禁止所有程序从 Temp 文件夹运行文件
要包含的进程
要排除的进程C:\Windows\System32\cleanmgr.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾选报告是
规则名称禁止从 Temp 文件夹执行脚本
要包含的进程?script.exe
要排除的进程无
是否勾选报告否
《防病毒标准保护》
规则名称禁止禁用注册表编辑器和任务管理器
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止更改用户权限策略
要包含的进程
要排除的进程C:\Windows\system32\lsass.exe
是否勾选报告是
规则名称禁止远程创建/修改可执行文件和配置文件
要包含的进程.
要排除的进程\Windows\system32\wbem\WMIADAP.EXE, \Windows\system32\winlogon.exe, C:\Program Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\defrag.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\ie4uinit.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\msdt.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\Macromedia\Flash\Flash.exe, E:\Program Files\McAfee\\.exe, E:\Program Files\Microsoft Office\OFFICE11\.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\\.exe
是否勾选报告是
规则名称禁止远程创建自动运行文件
要包含的进程
要排除的进程无
是否勾选报告否
规则名称禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程
要排除的进程无
是否勾选报告否
规则名称禁止伪装 Windows 进程
要包含的进程
要排除的进程C:\Windows\explorer.exe
是否勾选报告否
规则名称禁止群发邮件蠕虫发送邮件
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止 IRC 通信
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止使用 tftp.exe
要包含的进程
要排除的进程C:\WINDOWS\system32\wbem\wmiprvse.exe
是否勾选报告是
《防病毒最大保护》
规则名称禁止 Svchost 执行非 Windows 可执行文件
要包含的进程svchost.exe
要排除的进程无
是否勾选报告否
规则名称保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程
要排除的进程C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\Windows\system32\dwwin.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\Adobe\Adobe Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\McAfee\\.exe, E:\Program Files\Microsoft Office\OFFICE11\.EXE
是否勾选报告是
规则名称禁止更改所有文件扩展名的注册
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告否
规则名称保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程
要排除的进程C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\powercfg.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\Macromedia\Flash 8\Flash.exe, E:\Program Files\McAfee\\.exe, E:\Program Files\Microsoft Office\OFFICE11\.EXE, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告是
《防病毒爆发控制》
规则名称将所有共享项设为只读
要包含的进程.
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
是否勾选报告是
规则名称阻止对所有共享资源的读写访问
要包含的进程.
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
是否勾选报告是
《通用标准保护》
规则名称禁止修改 McAfee 文件和设置
要包含的进程
要排除的进程C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
是否勾选报告是
规则名称禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程
要排除的进程C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告是
规则名称禁止修改 McAfee 扫描引擎文件和设置
要包含的进程
要排除的进程E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告是
规则名称保护 Mozilla 及 FireFox 文件和设置
要包含的进程
要排除的进程C:\Program Files\\., E:\Program Files\\.
是否勾选报告是
规则名称保护 Inter Explorer 设置
要包含的进程
要排除的进程C:\Program Files\Inter Explorer\iexplore.exe, C:\Windows\explorer.exe
是否勾选报告是
规则名称禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程
要排除的进程E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称保护网络设置
要包含的进程
要排除的进程C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称禁止公用程序从 Temp 文件夹运行文件
要包含的进程eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, scp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific, thebat.exe, thunde.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程无
是否勾选报告是
规则名称在 Inter Explorer 中禁用 HCP URL
要包含的进程iexplore.exe, wmplayer.exe
要排除的进程无
是否勾选报告是
规则名称防止终止 McAfee 进程
要包含的进程
要排除的进程无
是否勾选报告是
《通用最大保护》
规则名称禁止将程序注册为自动运行
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称禁止将程序注册为服务
要包含的进程
要排除的进程C:\Program Files\Inter Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\vssvc.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程.
要排除的进程C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe
是否勾选报告是
规则名称禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程
要排除的进程E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾选报告是
规则名称禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止 FTP 通信
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止 HTTP 通信
要包含的进程
要排除的进程C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
是否勾选报告是
《虚拟机保护》
规则名称防止终止 VMWare 进程
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
规则名称禁止修改 VMWare Workstation 文件和设置
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
规则名称禁止修改 VMWare Server 文件和设置
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
规则名称禁止修改 VMWare 虚拟机文件
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
----------------------------用户定义的规则-----------------------------------------
01 规则名称全局只读保护_注册表项
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
要保护的注册表项目或注册表值HKALL /
要保护的注册表项或注册表值项
要阻止的注册表写入 创建 删除
是否勾选报告是
02 规则名称全局只读保护_注册表项
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
要保护的注册表项目或注册表值HKALL /
要保护的注册表项或注册表值值
要阻止的注册表写入 创建 删除
是否勾选报告是
03 规则名称全局控制端口_入站
要包含的进程.
要排除的进程cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe
要阻止的端口1-65535
方向入站
是否勾选报告是
04 规则名称全局控制端口_出站
要包含的进程.
要排除的进程C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
要阻止的端口1-65535
方向出站
是否勾选报告是
05 规则名称读写权限_Windows
要包含的进程\Windows\
要排除的进程\WINDOWS\system32\csrss.exe, \WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\cmd.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dumprep.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\ntbackup.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\WINDOWS\system32\rsmsink.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\sndrec32.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\Taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\System32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
06 规则名称读写权限_C:\Program Files
要包含的进程C:\Program Files\
要排除的进程C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Chinatele C+W\CWCleanTools.exe, C:\Program Files\Chinatele C+W\LoginAount.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEX Publisher\FNPLicensingService.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\IMSCMIG.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
07 规则名称读写权限_E:\Program Files
要包含的进程E:\Program Files\
要排除的进程E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Inter Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\monsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
08 规则名称只读权限_Windows
要包含的进程\Windows\
要排除的进程\WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, \WINDOWS\system32\winlogon.exe. C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\SoftwareDistribution\Download\\update.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
09 规则名称只读权限_Program Files
要包含的进程\Program Files\
要排除的进程C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEX Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSeeQV10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Inter Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\Macromedia\Flash\Flash.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
10 规则名称读写保护Windows_W
要包含的进程
要排除的进程\WINDOWS\system32\csrss.exe, \WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, C:\Program Files\\.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
11 规则名称读写保护Windows_C:\P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Chinatele C+W\LoginAount.exe, C:\Program Files\Common Files\Macrovision Shared\FLEX Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
12 规则名称读写保护Windows_E:\P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\monsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\\.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
13 规则名称读写保护Program Files_W
要包含的进程
要排除的进程\WINDOWS\system32\csrss.exe, \WINDOWS\system32\winlogon.exe, C:\Program Files\\.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, E:\Program Files\\.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
14 规则名称读写保护Program Files_C:\P
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Chinatele C+W\LoginAount.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, , E:\Program Files\\.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
15 规则名称读写保护Program Files_E:\P
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\monsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
16 规则名称只读保护_Windows
要包含的进程
要排除的进程\WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\\update\update.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\ESET_VC52_Scan 1.0.1.0\ESET_VC52_Scan 1.0.1.0.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件写 创建 删除
是否勾选报告是
17 规则名称只读保护_Program Files
要包含的进程
要排除的进程C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\WINDOWS\Explorer.EXE, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件写 创建 删除
是否勾选报告是
18 规则名称只读保护_exe
要包含的进程
要排除的进程C:\Windows\Microsoft.NET\Framework\\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夹名.exe
要禁止的文件写 创建
是否勾选报告是
19 规则名称只读保护_dll
要包含的进程
要排除的进程C:\Windows\Microsoft.NET\Framework\\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夹名.dll
要禁止的文件写 创建
是否勾选报告是
20 规则名称高危过滤_文件
要包含的进程.7z.exe, .7z.msi, .ade., .adp., .avi.exe, .bas., .bat, .bat., .bmp.exe, .bmp.msi, .chm.exe, .cmd, .cmd., ..exe, ..msi, .dib., .dir.exe, .dir.msi, .doc.exe, .drv.exe, .fnr., .gho., .gif.exe, .hiv., .hlp., .hta., .img., .inf., .jfif., .jpe., .jpeg., .jpg.exe, .js, .jse, .link., .lnk., .mde., .mp3.exe, .mpeg., .msc, .msc., .msi., .msp., .mst., .pcd., .pif., .png.exe, .ppt.exe, .rar.exe, .rar.msi, .reg, .scr, .scr.exe, .shs., .tif.exe, .tif.msi, .tiff., .txt.exe, .url., .vb., .vbe, .vbs, .vbs., .win., .wps.exe, .wpt.exe, .wsc., .wsf, .wsh, .xls.exe, .zip.exe, .zip.msi, autorun., \Local Settings\Temporary Inter Files\, \RECYCLER\, \System Volume Information\, 文档.exe, 桌面.exe, 用户.exe, ?.cab, ?.chm, ?., ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del.exe, diskpart.exe, dsc.exe, Fdisk.exe, format., found..exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, .exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, tel.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹.exe
要排除的进程无
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
21 规则名称高危过滤_注册表项
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值项
要阻止的注册表写入 创建 删除
是否勾选报告是
22 规则名称高危过滤_注册表值
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值值
要阻止的注册表写入 创建 删除
是否勾选报告是
23 规则名称全局双向读写_非P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
24 规则名称全局双向只读_非P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
写在后面
一、本文在理解与应用咖啡规则方面有几个基础性突破
1、分期防御,完美防止病毒爆发。
2、廓清权限,程序控制更加方便。
3、辨明优先级,使规则打造和防御更加高效。
二、诚如版主所言,本文的规则是“按时间分组”,个人认为,这样做安全性高于“纵向分组”。要想纵向分组,可以对“权限规则”这样设置
规则名称系统组读写权限
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
规则名称安全软件组读写权限
要包含的进程\McAfee\, \COMODO\, \Kingsoft\webshield\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
规则名称浏览器组只读权限
要包含的进程iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
规则名称P2P软件组只读权限
要包含的进程\Thunder\, ……
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
规则名称常用软件组只读权限
要包含的进程\Microsoft Office\OFFICE\, ……
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
然后配合以合适的全局规则、保护规则。这样做效果一样,但设置更加复杂。
三、本文规则要想安装程序,必须关闭“访问保护”,如果想要不关闭“访问保护”就安装程序,请参考叶知规则,加入相关排除,并设置“关闭程序安装管道”规则。在这里,要向叶知致敬!安装规则应该是他的专利,本人规则中永远不会加入,以示尊重。
四、文中的Windows XP实机规则经过本人几个月的完善和测试,安全与性能很是理想,推荐追求高安全的有兴趣折腾的朋友参考打磨!
既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段
第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、、pif、vbs、autorun.inf等;
第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
针对病毒的以上特点,规则必须做到
第一、前期防御设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、U盘规则禁止创建可执行文件,如猫版64位Win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
第二、中期防御设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
第三,后期防御设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。狼蚁网站SEO优化先看以下两条规则的区别。
规则名称只读权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
规则名称只读保护_Windows
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Windows\
要禁止的文件写 创建 删除
第一条规则的含义是禁止Windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改Windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制Windows文件夹下的文件的运行权限,应该写成
规则名称读写权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
这样就可以防止Windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
归纳了一下,有意义的文件权限可以分为
1、读写权限——“读 写 执行 创建 删除”别人的权力;
2、只读权限——“写 创建 删除”别人的权力;
与以上相关的规则可以称之为“权限规则”。
3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
4、只读保护——别人“写 创建 删除”保护对象的权力
与以上相关的规则可以称之为“保护规则”。
5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。狼蚁网站SEO优化给一个按权限分组防御的参考框架
一、读写双向权限(修改默认规则)
规则名称阻止对所有共享资源的读写访问
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\Program Files\\.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
--------------------------------------------
权限运行权力+访问保护。
作用禁止一切非信任区文件的运行
对所有本地文件进行访问保护
禁止所有非exe文件的运行与访问
禁止所有远程操作
排除不要使用绝对路径,目的有二一是保证规则优先起作用(咖啡规则有一定的优先级,狼蚁网站SEO优化专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
二、只读双向权限(修改默认规则)
规则名称将所有共享项设为只读
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
--------------------------------------------
这种写法包含了修改与只读两种权限,作用有四禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
三、读写权限
规则名称读写权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除,内存进程参照\WINDOWS\system32\winlogon.exe排除。
规则名称读写权限_C:\Program Files
要包含的进程C:\Program Files\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
规则名称分组运行权限_E:\Program Files
要包含的进程E:\Program Files\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。这里是把软件装在E盘的写法。如果装在C盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如C:\Program Files\McAfee\、C:\Program Files\Microsoft Office\、C:\Program Files\Common Files\等。
四、只读权限
规则名称只读权限_Windows
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
规则名称只读权限_Program Files
要包含的进程\Program Files\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
五、读写保护
规则名称读写保护_Windows
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。需要分组。
规则名称读写保护_Program Files
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。需要分组。
六、只读保护
规则名称只读保护_Windows
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Windows\
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
规则名称只读保护_Program Files
要包含的进程
要排除的进程
要阻止的文件或文件夹名\Program Files\
要禁止的文件写 创建 删除
是否勾选报告是
-------------------------------------------------
排除采用绝对路径排除。
按权限分组防御系统至此完全形成。总体防护效果是非信任区一切运行与修改都无法进行,“全局规则”起作用,止步于中期行为,拦截彻底,速度快,无弹窗,无遗漏,日志仅一条;信任区内未排除程序一切运行与修改都无法进行,“只读权限”规则先起作用,如有遗漏,“全局只读”以及相应的“分组访问保护”规则迅速补上,拦截彻底,速度快,无弹窗,日志较少,无遗漏。所以,以上“组以权分,分期防御”组成了一个强大的防御系统,可以完美拦截一切未知程序的所有行为。这种交叉火力防护,是纯后期防御无法达到的。
狼蚁网站SEO优化补充几个问题
第一,咖啡规则的优先级。有人说咖啡没有优先级,这是片面的。咖啡规则的优先级很复杂,归纳如下(“>”表示优先于)
1、杀毒 > 规则
2、文件规则 > 注册表 > 端口规则
3、注册表项规则 > 注册表值规则
4、全局规则 > 权限规则 > 保护规则
5、全通配符规则 > 带通配符相对路径规则 > 无通配符绝对路径规则 > 单文件规则
所以,全局规则采用绝对路径排除会降低规则优先级,反而会在应该起作用的时候反应滞后,起不到应有的中期拦截的作用,故用通配符相对路径排除更好。
第二、要想把规则打造成铁桶,还要做好入口防御和高危过滤。建议设置和补充如下规则
规则名称禁止远程创建/修改可执行文件和配置文件
要包含的进程
要排除的进程
是否勾选报告是
--------------------------------
采用绝对路径排除,只要不排除浏览器,入口就基本扎好了。
规则名称文件禁改_exe
要包含的进程
要排除的进程
要阻止的文件或文件夹名.exe
要禁止的文件操作写入 创建
-------------------------------------------------
作用弥补默认“最大保护”规则防护面积的不足(默认只防了C盘Windows与Program Files文件夹)
规则名称文件禁改_dll
要包含的进程
要排除的进程
要阻止的文件或文件夹名.dll
要禁止的文件操作写入 创建
-------------------------------------------------
作用弥补默认“最大保护”规则防护面积的不足(默认只防了C盘Windows与Program Files文件夹)
规则名称高危过滤_文件
要包含的进程.7z.exe, .7z.msi, .ade., .adp., .avi.exe, .bas., .bat, .bat., .bmp.exe, .bmp.msi, .chm.exe, .cmd, .cmd., ..exe, ..msi, .dib., .dir.exe, .dir.msi, .doc.exe, .drv.exe, .fnr., .gho., .gif.exe, .hiv., .hlp., .hta., .img., .inf., .jfif., .jpe., .jpeg., .jpg.exe, .js, .jse, .link., .lnk., .mde., .mp3.exe, .mpeg., .msc, .msc., .msi., .msp., .mst., .pcd., .pif., .png.exe, .ppt.exe, .rar.exe, .rar.msi, .reg, .scr, .scr.exe, .shs., .tif.exe, .tif.msi, .tiff., .txt.exe, .url., .vb., .vbe, .vbs, .vbs., .win., .wps.exe, .wpt.exe, .wsc., .wsf, .wsh, .xls.exe, .zip.exe, .zip.msi, autorun., \Local Settings\Temporary Inter Files\, \RECYCLER\, \System Volume Information\, 文档.exe, 桌面.exe, 用户.exe, ?.cab, ?.chm, ?., ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del.exe, diskpart.exe, dsc.exe, Fdisk.exe, format., found..exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, .exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, tel.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹.exe
要排除的进程无
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告否
-------------------------------------------------
要包含的进程可以自由添加,包括容易被病毒利用而又不常用的系统文件,以及已知的病毒文件名、双后缀文件名等,相当于黑名单。
规则名称高危过滤_注册表项
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值项
要阻止的注册表写入 创建 删除
是否勾选报告否
-------------------------------------------------
一般不用添加排除。
13 规则名称高危过滤_注册表值
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值值
要阻止的注册表写入 创建 删除
是否勾选报告否
-------------------------------------------------
一般不用添加排除。
第三、设置规则必须全盘考虑,尽量做到滴水不漏。规则最好自己设置、排除,这样才能完全适合自己,排除容量才会够用。
第四、一条规则误排除没有关系,全部误排除才会中毒,这就是分组分权限详细设置规则的优势,,打磨的难度的确大大增加。如果你是一个爱好折腾、追求高安全的人,其乐无穷!
第五、打磨规则是有顺序的。尽量按照咖啡的优先级逐个打磨,即全局规则——>权限规则——>保护规则——>文件规则。打磨一个规则时,只勾选报告,完成后再勾选阻止,而其它规则一律不阻止、不报告。这样逐个磨出来的规则会减少许多重复排除,对系统运行的影响可以降到最低。
的关键其它的默认规则也尽量采用绝对路径排除,降低优先级,这样就把全局规则推到最高优先级别,使整套规则形成这样一种优先级别合理、按权限分组、分期行为交叉防御的高效的强大体系
全局规则——>分组权限规则——>分组保护规则——>文件权限规则——>文件保护规则。
如果你详细阅读并理解了以上内容,就可以进入规则打磨了。
狼蚁网站SEO优化把自己XP下的8.8实机规则完整贴出来,供大家打磨规则时参考,欢迎批评指正!
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称保护Inter Explorer收藏夹和设置
要包含的进程
要排除的进程C:\Program Files\Inter Explorer\iexplore.exe, C:\Windows\explorer.exe, E:\Program Files\CCleaner\CCleaner.exe
是否勾选报告否
《防间谍程序最大保护》
规则名称禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程
要排除的进程C:\WINDOWS\system32\Restore\rstrui.exe
是否勾选报告否
规则名称禁止所有程序从 Temp 文件夹运行文件
要包含的进程
要排除的进程C:\Windows\System32\cleanmgr.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾选报告是
规则名称禁止从 Temp 文件夹执行脚本
要包含的进程?script.exe
要排除的进程无
是否勾选报告否
《防病毒标准保护》
规则名称禁止禁用注册表编辑器和任务管理器
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止更改用户权限策略
要包含的进程
要排除的进程C:\Windows\system32\lsass.exe
是否勾选报告是
规则名称禁止远程创建/修改可执行文件和配置文件
要包含的进程.
要排除的进程\Windows\system32\wbem\WMIADAP.EXE, \Windows\system32\winlogon.exe, C:\Program Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\defrag.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\ie4uinit.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\msdt.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\Macromedia\Flash\Flash.exe, E:\Program Files\McAfee\\.exe, E:\Program Files\Microsoft Office\OFFICE11\.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\\.exe
是否勾选报告是
规则名称禁止远程创建自动运行文件
要包含的进程
要排除的进程无
是否勾选报告否
规则名称禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程
要排除的进程无
是否勾选报告否
规则名称禁止伪装 Windows 进程
要包含的进程
要排除的进程C:\Windows\explorer.exe
是否勾选报告否
规则名称禁止群发邮件蠕虫发送邮件
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止 IRC 通信
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止使用 tftp.exe
要包含的进程
要排除的进程C:\WINDOWS\system32\wbem\wmiprvse.exe
是否勾选报告是
《防病毒最大保护》
规则名称禁止 Svchost 执行非 Windows 可执行文件
要包含的进程svchost.exe
要排除的进程无
是否勾选报告否
规则名称保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程
要排除的进程C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\Windows\system32\dwwin.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\Adobe\Adobe Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\McAfee\\.exe, E:\Program Files\Microsoft Office\OFFICE11\.EXE
是否勾选报告是
规则名称禁止更改所有文件扩展名的注册
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告否
规则名称保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程
要排除的进程C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\powercfg.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\Macromedia\Flash 8\Flash.exe, E:\Program Files\McAfee\\.exe, E:\Program Files\Microsoft Office\OFFICE11\.EXE, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告是
《防病毒爆发控制》
规则名称将所有共享项设为只读
要包含的进程.
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
是否勾选报告是
规则名称阻止对所有共享资源的读写访问
要包含的进程.
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
是否勾选报告是
《通用标准保护》
规则名称禁止修改 McAfee 文件和设置
要包含的进程
要排除的进程C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
是否勾选报告是
规则名称禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程
要排除的进程C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告是
规则名称禁止修改 McAfee 扫描引擎文件和设置
要包含的进程
要排除的进程E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告是
规则名称保护 Mozilla 及 FireFox 文件和设置
要包含的进程
要排除的进程C:\Program Files\\., E:\Program Files\\.
是否勾选报告是
规则名称保护 Inter Explorer 设置
要包含的进程
要排除的进程C:\Program Files\Inter Explorer\iexplore.exe, C:\Windows\explorer.exe
是否勾选报告是
规则名称禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程
要排除的进程E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称保护网络设置
要包含的进程
要排除的进程C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称禁止公用程序从 Temp 文件夹运行文件
要包含的进程eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, scp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific, thebat.exe, thunde.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程无
是否勾选报告是
规则名称在 Inter Explorer 中禁用 HCP URL
要包含的进程iexplore.exe, wmplayer.exe
要排除的进程无
是否勾选报告是
规则名称防止终止 McAfee 进程
要包含的进程
要排除的进程无
是否勾选报告是
《通用最大保护》
规则名称禁止将程序注册为自动运行
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称禁止将程序注册为服务
要包含的进程
要排除的进程C:\Program Files\Inter Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\vssvc.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\\.exe, E:\Program Files\Kingsoft\webshield\.exe, E:\Program Files\McAfee\\.exe
是否勾选报告是
规则名称禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程.
要排除的进程C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe
是否勾选报告是
规则名称禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程
要排除的进程E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾选报告是
规则名称禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止 FTP 通信
要包含的进程
要排除的进程无
是否勾选报告是
规则名称禁止 HTTP 通信
要包含的进程
要排除的进程C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
是否勾选报告是
《虚拟机保护》
规则名称防止终止 VMWare 进程
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
规则名称禁止修改 VMWare Workstation 文件和设置
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
规则名称禁止修改 VMWare Server 文件和设置
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
规则名称禁止修改 VMWare 虚拟机文件
要包含的进程
要排除的进程C:\Program Files\\., C:\WINDOWS\\., E:\Program Files\\.
是否勾选报告是
----------------------------用户定义的规则-----------------------------------------
01 规则名称全局只读保护_注册表项
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
要保护的注册表项目或注册表值HKALL /
要保护的注册表项或注册表值项
要阻止的注册表写入 创建 删除
是否勾选报告是
02 规则名称全局只读保护_注册表项
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\4KBrowser\\.exe, E:\AloneSbck\\.exe, E:\KangXiDict\\.exe, E:\Program Files\\.exe, H:\\.exe
要保护的注册表项目或注册表值HKALL /
要保护的注册表项或注册表值值
要阻止的注册表写入 创建 删除
是否勾选报告是
03 规则名称全局控制端口_入站
要包含的进程.
要排除的进程cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe
要阻止的端口1-65535
方向入站
是否勾选报告是
04 规则名称全局控制端口_出站
要包含的进程.
要排除的进程C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
要阻止的端口1-65535
方向出站
是否勾选报告是
05 规则名称读写权限_Windows
要包含的进程\Windows\
要排除的进程\WINDOWS\system32\csrss.exe, \WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\cmd.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dumprep.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\ntbackup.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\WINDOWS\system32\rsmsink.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\sndrec32.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\Taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\System32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
06 规则名称读写权限_C:\Program Files
要包含的进程C:\Program Files\
要排除的进程C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Chinatele C+W\CWCleanTools.exe, C:\Program Files\Chinatele C+W\LoginAount.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEX Publisher\FNPLicensingService.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\IMSCMIG.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
07 规则名称读写权限_E:\Program Files
要包含的进程E:\Program Files\
要排除的进程E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Inter Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\monsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
08 规则名称只读权限_Windows
要包含的进程\Windows\
要排除的进程\WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, \WINDOWS\system32\winlogon.exe. C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\SoftwareDistribution\Download\\update.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
09 规则名称只读权限_Program Files
要包含的进程\Program Files\
要排除的进程C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEX Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSeeQV10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Inter Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\Macromedia\Flash\Flash.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
10 规则名称读写保护Windows_W
要包含的进程
要排除的进程\WINDOWS\system32\csrss.exe, \WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, C:\Program Files\\.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
11 规则名称读写保护Windows_C:\P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Chinatele C+W\LoginAount.exe, C:\Program Files\Common Files\Macrovision Shared\FLEX Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
12 规则名称读写保护Windows_E:\P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\monsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\\.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
13 规则名称读写保护Program Files_W
要包含的进程
要排除的进程\WINDOWS\system32\csrss.exe, \WINDOWS\system32\winlogon.exe, C:\Program Files\\.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, E:\Program Files\\.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
14 规则名称读写保护Program Files_C:\P
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\c.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Chinatele C+W\LoginAount.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, , E:\Program Files\\.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
15 规则名称读写保护Program Files_E:\P
要包含的进程
要排除的进程\WINDOWS\\.exe, C:\Program Files\\.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\monsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
16 规则名称只读保护_Windows
要包含的进程
要排除的进程\WINDOWS\system32\WBEM\WMIADAP.EXE, \WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\\update\update.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\ESET_VC52_Scan 1.0.1.0\ESET_VC52_Scan 1.0.1.0.exe
要阻止的文件或文件夹名\Windows\
要禁止的文件写 创建 删除
是否勾选报告是
17 规则名称只读保护_Program Files
要包含的进程
要排除的进程C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatele C+W\C+WClient.exe, C:\Program Files\Inter Explorer\IEXPLORE.EXE, C:\WINDOWS\Explorer.EXE, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\COMODO\COMODO Inter Security\cfp.exe, E:\Program Files\COMODO\COMODO Inter Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\\.exe
要阻止的文件或文件夹名\Program Files\
要禁止的文件写 创建 删除
是否勾选报告是
18 规则名称只读保护_exe
要包含的进程
要排除的进程C:\Windows\Microsoft.NET\Framework\\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夹名.exe
要禁止的文件写 创建
是否勾选报告是
19 规则名称只读保护_dll
要包含的进程
要排除的进程C:\Windows\Microsoft.NET\Framework\\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夹名.dll
要禁止的文件写 创建
是否勾选报告是
20 规则名称高危过滤_文件
要包含的进程.7z.exe, .7z.msi, .ade., .adp., .avi.exe, .bas., .bat, .bat., .bmp.exe, .bmp.msi, .chm.exe, .cmd, .cmd., ..exe, ..msi, .dib., .dir.exe, .dir.msi, .doc.exe, .drv.exe, .fnr., .gho., .gif.exe, .hiv., .hlp., .hta., .img., .inf., .jfif., .jpe., .jpeg., .jpg.exe, .js, .jse, .link., .lnk., .mde., .mp3.exe, .mpeg., .msc, .msc., .msi., .msp., .mst., .pcd., .pif., .png.exe, .ppt.exe, .rar.exe, .rar.msi, .reg, .scr, .scr.exe, .shs., .tif.exe, .tif.msi, .tiff., .txt.exe, .url., .vb., .vbe, .vbs, .vbs., .win., .wps.exe, .wpt.exe, .wsc., .wsf, .wsh, .xls.exe, .zip.exe, .zip.msi, autorun., \Local Settings\Temporary Inter Files\, \RECYCLER\, \System Volume Information\, 文档.exe, 桌面.exe, 用户.exe, ?.cab, ?.chm, ?., ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del.exe, diskpart.exe, dsc.exe, Fdisk.exe, format., found..exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, .exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, tel.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹.exe
要排除的进程无
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
21 规则名称高危过滤_注册表项
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值项
要阻止的注册表写入 创建 删除
是否勾选报告是
22 规则名称高危过滤_注册表值
要包含的进程
要排除的进程C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保护的注册表项目或注册表值HKCU /Software/Microsoft/Windows/CurrentVersion/Run/
要保护的注册表项或注册表值值
要阻止的注册表写入 创建 删除
是否勾选报告是
23 规则名称全局双向读写_非P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
是否勾选报告是
24 规则名称全局双向只读_非P
要包含的进程
要排除的进程\Windows\\.exe, C:\Program Files\\.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\\.exe, H:\\.exe
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
是否勾选报告是
写在后面
一、本文在理解与应用咖啡规则方面有几个基础性突破
1、分期防御,完美防止病毒爆发。
2、廓清权限,程序控制更加方便。
3、辨明优先级,使规则打造和防御更加高效。
二、诚如版主所言,本文的规则是“按时间分组”,个人认为,这样做安全性高于“纵向分组”。要想纵向分组,可以对“权限规则”这样设置
规则名称系统组读写权限
要包含的进程\Windows\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
规则名称安全软件组读写权限
要包含的进程\McAfee\, \COMODO\, \Kingsoft\webshield\
要排除的进程
要阻止的文件或文件夹名
要禁止的文件读 写 执行 创建 删除
规则名称浏览器组只读权限
要包含的进程iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
规则名称P2P软件组只读权限
要包含的进程\Thunder\, ……
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
规则名称常用软件组只读权限
要包含的进程\Microsoft Office\OFFICE\, ……
要排除的进程
要阻止的文件或文件夹名
要禁止的文件写 创建 删除
然后配合以合适的全局规则、保护规则。这样做效果一样,但设置更加复杂。
三、本文规则要想安装程序,必须关闭“访问保护”,如果想要不关闭“访问保护”就安装程序,请参考叶知规则,加入相关排除,并设置“关闭程序安装管道”规则。在这里,要向叶知致敬!安装规则应该是他的专利,本人规则中永远不会加入,以示尊重。
四、文中的Windows XP实机规则经过本人几个月的完善和测试,安全与性能很是理想,推荐追求高安全的有兴趣折腾的朋友参考打磨!
网络安全培训
- 网络安全常见漏洞类型 网络安全常见漏洞类型包
- 绿色上网顺口溜七言 绿色上网的宣传标语
- 网络安全等级保护测评 网络安全等级保护条例
- 如何加强网络安全 网络安全隐患有哪些
- 网络安全防护措施有哪些 网络安全等级保护等级
- 如何保障网络安全 如何做好网络安全保障工作
- 维护网络安全的措施有哪些 维护网络安全的主要
- 网络安全工程师好学吗 2024年网络安全工程师好学
- 网络安全注意事项简短 网络安全注意事项100字
- 网络安全面临的挑战 当前网络安全面临的新问题
- 网络安全培训哪个靠谱 网络安全培训找哪个
- 普及网络安全知识内容 普及网络安全教育
- 网络安全防范知识宣传内容 网络安全防范知识宣
- 如何做好网络安全工作 如何做好网络安全工作
- 网络安全常识的丰富内容 网络安全的相关知识
- 青少年网络安全教育片 青少年网络安全知识讲座