各位亲爱的火绒用户
3.0版本已经正式发布快两个月了,我们平时通过论坛和用户群收到大家的反馈,大家对3.0的自定义规则的使用有些疑问,由于3.0自定义规则比较2.5增加了一步操作,相对来说会感觉很不容易理解,所以这篇帖子会简单介绍一下3.0版本的自定义规则怎么写,让大家轻松玩转自定义规则。
自定义规则作为火绒主动防御中单步防护的一个部分出现,简单的来说自定义规则可以通过阻止程序改动电脑中重要的文件、注册表,起到保护电脑安全的作用。基础防护已经针对系统中可能被恶意程序篡改的重要系统文件与注册表,制作了一套完善的内置防护规则,一般情况下,打开基础防护即可满足大多数情况下的需要。而自定义规则可以针对以下三个方面进行防护:
1,保护文件(文件夹)不被改动(创建、读取、写入、删除)
2,保护注册表不被改动(创建、读取、写入、删除)
3,阻止指定程序启动
3.0与2.5的自定义规则的有什么区别
3.0自定义规则相比2.5增加了对操作进程的选择,这样的好处是更加精准地确认了规则中谁是操作对象,减少不必要的弹窗。通俗易懂点解释下,举个例子:张三将桌子移动到了客厅,那么这里选定的操作对象是张三,被操作对象是桌子,动作是移动,即仅当张三移动桌子到客厅时就会询问允许或者直接阻止;2.5自定义规则是没有直接选定是谁执行规则,即就是:桌子被移动到了客厅。
如果您习惯了2.5的自定义规则形式,那么在3.0自定义规则中跳过选择程序,点击下一步后,操作进程会默认用通配符*代替。
3.0自定义规则原理说明
一条“完整”规则的逻辑是:操作进程对文件或者注册表进行读取,创建,写入,删除,执行动作时选择弹窗询问或者直接阻止。制定规则时需要选定什么进程对什么文件或者注册表进行什么动作时询问或者直接阻止。可以理解成什么人对什么东西做了什么事需要询问或者直接阻止。
注意:三个步骤中第一步的选择进程可以忽略,但是第二步和第三步必须有,不然不能构成一条完整的规则;当忽略第一步后,默认用通配符*代替表示所有进程。可以理解为所有人对什么东西做了什么事需要询问或者直接阻止,即是2.5自定义的处理策略。
在大家了解了规则的基本原理后,那么开始制定自定义规则,毕竟实践才是检验真理的唯一标准嘛。
举例中的规则是当everthing.exe对桌面的Foxmail快捷方式读取,创建,写入,删除,执行时都要询问。
(1)找到系统防护中的自定义规则,点击新建规则包。
(2)点击添加规则,选择了如下图路径中的进程。
(3)然后选择文件保护对象,分为文件和注册表。
图中选择了桌面的foxmail快捷方式,同时选定保护的动作。
(4)确定后,这样一条规则就写好了。
当everthing.exe对桌面foxmail的快捷方式操作时就会弹窗询问。
自动处理规则功能说明
在了解自定义规则的制定方法后,了解下自动处理规则,大家可以简单的理解为自定义规则的黑白名单功能。
举个例子:
everthing.exe进程反复触犯自定义规则弹窗提示了
选择记住操作,同时点击阻止,那么就会被自动记录进自动处理规则,下次当再次触犯时就自动阻止读取这个动作。
通配符使用:
在设置保护对象的时候不仅禁止选择具体问题还能使用通配符覆盖更多的对象,目前火绒系统防护规则支持的通配符如下:
* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件,但不记得文件名其余部分,可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?,查找以love开头的一个字符结尾文件类型的文件,如lovey、lovei等。
> 替代所有字符直到遇到“\”。比如c:\a\>,那么这条规则只会作用于c:\a\目录下所有文件而不会对c:\a\b这个子目录生效。
传送门:
一步到位!玩转火绒系统防护进阶自定义规则(2.5版本)
https://bbs.huorong.cn/thread-4496-1-1.html
| 
[复制链接]
收藏
学习中
