火绒安全软件

标题: 一步到位！玩转火绒系统防护进阶自定义规则 [打印本页]

作者: 疯子 时间: 2014-10-9 15:28
标题: 一步到位！玩转火绒系统防护进阶自定义规则
各位亲爱的火绒用户：

大家好！

近期通过大家的问题反馈了解到，部分朋友对火绒2.5系统防护的自定义功能很有兴趣，但同时又存在不少疑问，所以今天借这篇文章给大家集中介绍一下火绒的系统防护的功能、设置方式以及具体的应用，希望通过这篇文件可以帮助大家了解系统防护自定义功能。

系统防护功能简介

系统防护作为火绒主动防御中单步防护的一个部分出现，简单的来说系统防护可以通过阻止程序改动电脑中重要的文件、注册表，起到保护电脑安全的作用。而系统防护会针对以下三个方面进行防护：

1，保护文件（文件夹）不被改动（创建、读取、写入、删除）
2，保护注册表不被改动（创建、读取、写入、删除）
3，阻止指定程序启动

火绒2.5中已经针对系统中可能被恶意程序篡改的重要系统文件与注册表，制作了一套完善的内置防护规则，一般情况下，大家开启火绒推荐的防护项目即可满足大多数情况下防护需要。而这篇文件是要向大家介绍系统防护进阶使用方法——自定义防护项目功能，这项功能也是火绒单步动作防御系统中一大特点，可以方便大家根据自己的需要充分自由的建立防护规则。

系统防护自定义规则使用说明

在大家学习建立系统防护自定义规则前，需要先跟大家普及一下“规则”的概念，因为火绒作为一款专业的安全防护软件，很多地方都可能出现“规则”这个概念，比如说联网控制规则、自动处理规则、广告过滤规则等等。简单的说大家可以把规则理解为各项功能执行的判断依据，规则通常包括针对对象与执行操作两个要素，比如我们要保护C盘下文件不被任何程序删除，那么在设置规则时我们需要先选择C盘这个目录（对象）然后勾选动作中的“删除”（操作）项目，当规则保存后，下次有程序试图删除C盘下文件时火绒就会自动阻止这个删除动作。

在大家了解“规则”的概念后，需要简单了解一下“规则包”的概念，规则包其实就是单条或多条规则的打包，目的在于方便批量规则规则，而在系统防护自定义项目中建立的首先是规则包，然后在规则包中管理具体单条规则。

在大家了解了规则的基本概念后，如下是火绒系统防护规则建立步骤图解：

1，在实时防护界面中找到系统防护功能设置按钮

2，在系统防护设置界面左侧选择自定义防护项目，然后点击界面下方的添加规则按钮

3，输入规则包名称以及选择保护项目的类型

4，在规则包设置界面中可以通过添加文件选择保护的对象

5，在选择保护对象的同时，可以在界面下方勾选保护的指定动作

6，在单条规则对象与操作都选定了一个选择确定即可保存规则，注意此时需要关闭系统防护的设置界面才能使保存的规则生效。

小贴士：

1，在新建规则的时候注意到需要选择规则类型，包括文件保护和注册表保护两项，顾名思义这两项就是分别针对文件与注册表的，而在2.0的高级控制工具中有一个程序执行控制的功能，这个功能在2.5整合到了文件保护分类中，在选择了阻止启动的程序后勾选执行一项即可阻止文件启动。

2，在设置保护对象的时候不仅禁止选择具体问题还能使用通配符覆盖更多的对象，目前火绒系统防护规则支持的通配符如下：

* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件，但不记得文件名其余部分，可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?，查找以love开头的一个字符结尾文件类型的文件，如lovey、lovei等。
> 替代所有字符直到遇到“\”。比如c:\a\>，那么这条规则只会作用于c:\a\目录下所有文件而不会对c:\a\b这个子目录生效。

自定义防护设置示例

当大家了解系统防护自定义规则的设置方法后，我们将通过几个示例帮助大家理解自定义规则可以如何应用，例子中只是一些思路，未必有实际作用，仅供大家参考，并在此基础上延伸扩展。

1，阻止Chrome自动下载更新本地文件

有一些软件启动后会自行在后台下载文件，比如远程修改软件配置、更新本地认证文件等等，我们可以根据自己的需要阻止程序对更新目录或文件的创建与写入动作。

比如我们想禁止Chrome自动下载更新文件，可以新建一条规则后选择chrome的update目录，并勾选创建、写入动作，那么将自动阻止chrome的update自动往该目录下载文件。

2，限制软件篡改.jpg文件默认启动程序注册表项目

有一些软件在安装后，会把一些后缀的文件改为默认由这个软件来执行，我们不想这个默认启动程序被篡改，那么可以把控制这个设置的注册表文件保护起来，阻止程序修改。

比如我们想禁止所有程序对.jpg后缀文件默认启动程序的修改，可以新建一条规则，并选择注册表路径，并勾选修改动作，那么将自动阻止有程序试图修改.jpg后缀文件默认启动的程序操作。

3，保护E:\重要文件目录不被误删除或恶意软件删除

有时候我们电脑中会有一些重要的资料文件，不希望被自己不小心误删除或者被恶意软件改动，那么我们可以新建一条规则，选择需要保护的文件目录路径，进行保护。

比如我们想禁止所有程序对E:\重要文件这个目录的所有动作，那么可以新建一条规则，并选择文件夹路径，并勾选创建、读取、写入、删除动作、那么将自动阻止所有程序对这个目录的操作。

4，阻止Chrome自动运行update进程

有些软件在自身运行起来后会自动加载其他进程，常见的有更新进程或者广告进程等，我们不想这些进程自动执行起来，那么可以通过系统防护中文件保护中的禁止执行来处理。

比如我们想禁止Chrome启动时自动启动update程序进行更新，那么可以新建一条规则，并选择googleupdate.exe为操作对象，勾选动作中的执行项目，那么将自动阻止googleupdate.exe这个程序的执行。

自动处理规则功能说明

在了解系统防护自定规则的设置方式后，大家还需要了解一下系统防护设置中自动处理规则的项目，这个自动处理规则大家可以简单的理解为系统防护的黑白名单功能。这个自动处理规则主要有两大作用：

1，是避免同一程序触犯同一个系统防护规则时反复弹窗提示。

当建立一条自动处理规则后，规则指定的程序触犯了指定的系统防护规则后，火绒会不再弹窗而自动按照规则处理。

2，允许特定程序进行系统防护规则中阻止的动作（白名单）。

当一条自动处理规则中设置指定的程序触犯了防护规则而自动允许后，火绒将会允许该程序对指定规则的操作，从而达到系统防护规则白名单的效果。

自动处理规则设置图文说明

在了解系统防护自动处理规则的作用后我们看看如何设置系统防护规则：

1，在系统防护设置中选择自动处理设置分类，在界面底部选择添加程序按钮

2，您可以在此手动选择程序路径，或在历史触犯规则程序列表中快速选择规则应用的对象

3，在设置自动处理方式界面中，大家可以勾选规则名称前面的勾选框，然后在右侧选择允许或阻止的开关。点击确定即可保存，同样保存的内容将在关闭系统设置窗口后生效。

利用自动处理规则的白名单作用，深度控制防护规则

结合之前的保护重要文件规则为例，比如我们需要保护“E:\重要文件”目录中的内容，同时又希望允许使用Word修改该目录中的文档，那么我们可以在自动处理规则中添加word程序，然后勾选文件保护的那条规则，选择右侧的允许即可。这样可以达到禁止除了word以外所有程序修改“E:\重要文件”这个目录下的文件的防护目的。

至此，系统防护规则的自定义规则这项进阶功能讲解也告一段落，我希望从这些浅显的例子出发，帮助大家对系统防护功能有更深入的理解，具体大家有什么需求想利用系统防护功能去实现，还得靠大家自己去实践了。

作者: Bing 时间: 2014-10-9 17:30
这个绝对要支持！

作者: 唯心 时间: 2014-10-9 17:32
支持、、、、、、、、、、、、

作者: xye 时间: 2014-10-9 17:53
来支持！

作者: Rosa真紅 时间: 2014-10-9 18:11
我来捧场
开始的时候还有人发布规则包现在都没人了
希望这贴能让更多的人把自己功能性的规则拿出来
补强规则就算了吧

作者: v5snail 时间: 2014-10-9 18:47
以后这样的帖子要多一些，方便新用户使用！

作者: 到处闲逛 时间: 2014-10-9 20:31
不错，学习了

作者: 以前是新手 时间: 2014-10-9 21:54

支持支持

作者: 东方妖妖梦 时间: 2014-10-10 03:50

赞一个

作者: 110 时间: 2014-10-11 21:48
赞一个，学习学习，来晚了。

作者: babaluosha22 时间: 2014-10-12 09:40
全民科普

作者: mu0635 时间: 2014-10-13 11:39

学习学习，来晚了。

作者: PBBH 时间: 2014-10-14 13:03
如果可以在细分一点更好
如文件文件夹
像md的一样

作者: 哈利波特 时间: 2014-10-14 20:00
技术宅，必须顶！！！

作者: ttrry 时间: 2014-10-21 22:19
用过一遍，就弄懂了，用不着一步一步看介绍。。。~~

作者: dwcz 时间: 2014-10-24 12:10
有两个不方便的地方：自定义的规则不能重命名，输入栏填入路径后回车不能定位。

作者: zgy3073 时间: 2014-10-29 18:00
自定义的规则是可以重命名的

作者: dwcz 时间: 2014-10-30 10:58
先没看到在编辑界面。不过，这个重命名有点的隐蔽。
PS:为啥验证码总是不对？

作者: prospective 时间: 2014-11-14 23:38
本帖最后由 prospective 于 2014-11-14 23:40 编辑

今天试了一下最新火绒，变了几条规则，但是发现一个问题，那就是规则优先级问题，不知道是规则没做好还是没理解透彻，官人是否开个贴说一下，之前用惯了其他hips，想转头火绒。
另：大赞火绒，支持！同时冀希火绒在不久后能把行为拦截更为细化。

作者: xkhcyxrs 时间: 2014-12-6 23:28
赞一个，学习学习

作者: sumuyang 时间: 2014-12-10 16:10
这篇文章是一定要仔细看看滴！！

作者: wentens 时间: 2014-12-26 12:52
请教如何设置，才能阻止U盘病毒的自动运行？

作者: 372737431 时间: 2015-1-26 21:34
本帖最后由 372737431 于 2015-1-26 21:36 编辑
防护规则和联网控制还有火绒剑是我最喜欢的 3个功能 主要是不难容易上手可用范围很广还有点DIY手动的乐趣

作者: 菜鸟想飞 时间: 2015-2-4 15:01
自定义防护和自动处理在处理规则时是不是有优先级的？写规则时支持通配符不？

作者: hoohurtle 时间: 2015-2-12 20:02

菜鸟想飞发表于 2015-2-4 15:01
自定义防护和自动处理在处理规则时是不是有优先级的？写规则时支持通配符不？ ...

支持，第1页的小贴士中有注明：
* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件，但不记得文件名其余部分，可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?，查找以love开头的一个字符结尾文件类型的文件，如lovey、lovei等。
> 替代所有字符直到遇到“\”。比如c:\a\>，那么这条规则只会作用于c:\a\目录下所有文件而不会对c:\a\b这个子目录生效。

作者: 菜鸟想飞 时间: 2015-2-13 08:39

hoohurtle 发表于 2015-2-12 20:02
支持，第1页的小贴士中有注明：
* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件，但 ...

谢谢楼上指点，明白了！

作者: egelsk 时间: 2015-4-2 22:57
不错，学习了

作者: hang6899 时间: 2015-4-3 13:39
学习学习，来晚了。

作者: zohuan 时间: 2015-6-14 12:35
这个我很喜欢

作者: 火绒大法好 时间: 2015-6-16 09:15
以前都是把chrome目录下的update文件夹删除，并建立写入权限，然后删除计划任务中的chrome update，现在好了，有了火绒再也不担心的google自动更新的黑科技了

作者: maocis 时间: 2015-6-16 17:30
楼主，火绒不支持自定义进程保护规则吗？

作者: 云天Diane 时间: 2015-9-10 21:49
重要找到了，感谢分享，最钟爱自定义规则，哈哈

作者: 云天Diane 时间: 2015-9-12 22:34
本帖最后由云天Diane 于 2015-9-12 22:35 编辑

问一下，比如我要F:根目录下不可创建TXT文件，在根目录其他文件夹下可以，如：f：\1\1.txt 可以写，F:\1.TXT 不可以写。能不能这样写呢？

作者: 1625905309 时间: 2015-10-1 09:40

这个绝对要支持！

作者: 5481915 时间: 2015-10-4 21:00
dsdwadasdadw

作者: 5481915 时间: 2015-10-4 21:01
45654654654

作者: fzhuo 时间: 2015-10-7 19:25
以例子加以说明，让本菜鸟能理解了原本不容易理解的技术性专业文字。

作者: sxp3468 时间: 2015-10-18 08:27
本帖最后由 sxp3468 于 2015-10-18 12:20 编辑

看中的就是可以自定义规则

另外为了进一步加强安全性，建议规则保护有密码设置。

作者: lgf66888 时间: 2015-10-20 00:05
赞一个，学习......！3.0没看到有啊???

作者: jone_jys 时间: 2015-10-20 01:01
疯子啊！你看这科普文写得多好啊！

再看看3.0的自定义规则，那真是一个难用啊。。。。

作者: 不忿小奇 时间: 2015-11-20 23:01
QQProtect怎么禁止

作者: baieay7801 时间: 2016-4-12 09:49
学习了

作者: baieay7801 时间: 2016-4-12 09:59
学习了，不过还是不够详细

作者: 行侠仗义5520 时间: 2016-4-24 20:22
绝对支持，对新手有帮助

作者: zndlpjyf 时间: 2016-5-16 19:04
这个也了解一下。~~~

作者: momoda 时间: 2016-5-16 22:05
更新的稳定版不一定很稳定，大家要提意见啊！！！！！！！！！！

作者: ft26485 时间: 2016-5-17 00:17
学习

作者: gaoyuan 时间: 2016-5-17 23:07
感谢分享

作者: xxsu 时间: 2016-5-19 14:17
试试看!!!!!!

作者: xxsu 时间: 2016-5-19 14:25
了解一下！！！！

作者: cl0lc 时间: 2016-5-23 12:24
学习一下

作者: oliverhuang 时间: 2016-5-23 21:32
学习了，感谢

作者: lyldn 时间: 2016-5-30 23:56
强大杀毒软件，大家一起学习进步。

作者: huaxiao 时间: 2016-6-9 20:35
看不懂，，，不会用，而且版本好像不一样

作者: qyanlongfeng 时间: 2016-6-17 15:25
最近正在学习

作者: hye90 时间: 2016-8-24 22:43
看看，支持支持了

作者: wanggangdobest 时间: 2016-10-7 13:49
学习学习

作者: okayss 时间: 2016-10-19 22:17
好。。。xx

作者: okayss 时间: 2016-10-19 22:20
支持。。。。。。。。。

作者: 常来看看 时间: 2016-11-12 23:52
先从2.5学起。。。

作者: 老麻 时间: 2016-11-15 16:19
辛苦了123123123123213213213

作者: 空苍了 时间: 2016-11-17 19:01

今后没事都不能卸载火绒，即使不需要更新高版程序。现用3.0。

作者: HRxiaoxin 时间: 2016-11-18 14:47
新人表示支持！！

作者: loser 时间: 2016-11-22 20:51
感谢感谢感谢感谢感谢，小白一直在找这些东东

作者: 18798126372 时间: 2017-4-18 10:42
开始接触火绒了，谢谢了，很好

作者: hr111 时间: 2017-7-26 19:38
学习了

作者: w-tekeze 时间: 2017-7-27 01:30
谢谢楼上的把这贴又顶起来了。。。今天晚了，先顶！明天再仔细看。。。

作者: CyberCapture 时间: 2017-7-27 18:32
14年疯子的帖，没想到还那么火

作者: LD1034 时间: 2017-8-5 21:16
学习了！谢谢！

作者: 棒棒哒 时间: 2017-9-24 21:31
顶顶楼主。

作者: shoen2000 时间: 2017-10-9 22:16
技术百科贴，顶一下

作者: 明月登楼 时间: 2017-11-4 22:27
汗，好高深呀！

作者: 小咲 时间: 2017-11-13 12:40
顶.再来个学习的帖子：http://bbs.kafan.cn/thread-432268-1-1.html

作者: 13293973777 时间: 2017-12-24 12:18
支持一个

作者: 李小六 时间: 2018-1-5 20:35

我来捧场
开始的时候还有人发布规则包现在都没人了
希望这贴能让更多的人把自己功能性的规则拿出来
补强规则就算了吧

作者: Colco 时间: 2018-3-2 00:38
顶一个，回贴是个好习惯！

作者: za0109 时间: 2018-3-12 21:21
老帖学习中

作者: adobephoto 时间: 2019-1-26 13:31
感谢分享不错的经验

作者: skystars 时间: 2019-1-30 16:23
感谢，但是这是老的火绒。

作者: 依然有梦 时间: 2019-11-29 10:13
感谢分享，努力学习！

作者: Dzrjks6606 时间: 2019-11-29 11:56
66666666666666666666

作者: ppmax1 时间: 2019-12-19 10:29
学习学习，也试试自己编编看。

作者: Liebeqi 时间: 2020-1-2 18:19
感谢分享，已经学会了咋用了！

作者: khuutd 时间: 2020-2-18 16:23
非常重要也比较费解的课程。希望以后多多科普我们新手。

作者: chengziyi 时间: 2021-1-20 15:14
超级赞赞赞赞赞赞赞赞赞赞赞赞

作者: 化悲痛为力量 时间: 2021-12-4 16:02
谢谢分享！

欢迎光临火绒安全软件 (https://bbs.huorong.cn/)