|
|
声明:本规则不强迫使用,使用本规则前请保证系统的纯净(无恶意软件),然后开启全部规则,对所有弹窗允许并记住操作,一段时间后就可以按照提示进行选择了。本规则不能保证绝对的安全,因本规则造成的一切损失与本人无关。 鉴于公开使用,为了减少弹窗次数,规则做了不少调整,一些拦截项被删掉。
在这个病毒纵横的时代,扫描已经不能满足一切了,主防时常也会漏掉一些样本,机器无法对付这些,但是人是有思维的动物,可以通过自定义规则来加强电脑的安全度。
首先,对于某一个观点进行反驳
观点:火绒的技术非常不成熟,开严格防护还是漏掉很多行为,看人家成熟的HIPS几乎一个都不漏。
反驳:个人认为,不是火绒不能做一步步的询问,而是不想做,因为火绒的用户数相对于主流杀软的用户还是少,如果弹窗太多可能会流失用户。个人观点,不代表官方。
以下是本人对FD的浅显的见解。一个病毒是如何感染我们的电脑呢,通过下载等途径到我们的电脑上,然后用户运行,执行恶意操作。中间会有各种
防御措施比如扫描。
那么,依照本人的理解,我绘制了了一张有自定义规则的火绒防御病毒的示意图(本人一直把火绒当作半hips看待,如果有错误请谅解)
除了扫描部分,其他部分均有主防参与。
从图中可以看出,扫描是最早接触病毒的防御措施,如果扫描报毒的话,就直接清除,那么就不用后面的了。
这里先撇开扫描不说(因为毕竟现在过扫描的大把大把的)。最早接触病毒的就是FD(文件防护)了,试想一个病毒
即使其编写者的技术天下无敌,过任何杀软,那么他也要在你的电脑上才行,于是FD(文件防护)的能力就不容小了,
比如加入黑名单,阻止黑名单中的文件创建,病毒一般喜欢在windows等重要目录下释放可执行文件,但是正常程序几乎
不在这些地方创建文件,那么我们加以拦截,拦截一些高危文件的创建比如sys.pif等等就可以在起到入口防御的作用,(即使病毒正在运行,在windows等重要目录下释放可执行文件被拦截,那么病毒的进攻路径就会被打断,危害就会大幅
度降低,甚至于没有危害)
所以本规则主要在FD(文件防护)上进行了必要的拦截。
举一个例子。某感染性病毒,运行后会在所有磁盘根目录下创建一个名为virus的exe文件病运行感染系统文件,
创建autorun.inf双击盘符会自动运行virus.exe。导致重复感染。
那么有FD(文件防护)会是什么结果呢?一个未知程序尝试释放一个exe文件,一般只有安装或者升级程序才会干的事情,我们点击了拦截,弹窗发现同一个程序尝试创建autorun.inf文件,通过规则给出的提示进行了拦截,那
在病毒执行对文件的感染操作之前,用于执行操作的文件并没有创建在电脑里,那么没有造成危害。
根据我的规则给出的提示是结束进程,因为不论是释放exe还是创建autorun文件都是十分可疑的,我们完全有理由去认为他有高几率是病毒。所以结束进程以绝后患。在windows等目录下创建可执行文件更是可以,应该拦截。试想,如果后面的AD,RD规则有漏洞,这些文件被创建了,那么后果不堪设想,所以,FD可以说是御敌于国门之外的必备神器。
防流氓方面FD可是杀手,如图
因为默认路径都是这个,所以一条简单的规则抹杀了几乎所有的流氓安装。是不是很简单?
附上新思路的规则,卡饭随机找样本双击成绩不错。请勿实机测试。
|
|
[复制链接]
收藏
