火绒安全软件
标题: 简单易懂,教你如何写自定义规则【可供下载】 [打印本页]
作者: zxh 时间: 2015-12-2 17:51
标题: 简单易懂,教你如何写自定义规则【可供下载】
各位亲爱的火绒用户
3.0版本已经正式发布快两个月了,我们平时通过论坛和用户群收到大家的反馈,大家对3.0的自定义规则的使用有些疑问,由于3.0自定义规则比较2.5增加了一步操作,相对来说会感觉很不容易理解,所以这篇帖子会简单介绍一下3.0版本的自定义规则怎么写,让大家轻松玩转自定义规则。
自定义规则作为火绒主动防御中单步防护的一个部分出现,简单的来说自定义规则可以通过阻止程序改动电脑中重要的文件、注册表,起到保护电脑安全的作用。基础防护已经针对系统中可能被恶意程序篡改的重要系统文件与注册表,制作了一套完善的内置防护规则,一般情况下,打开基础防护即可满足大多数情况下的需要。而自定义规则可以针对以下三个方面进行防护:
1,保护文件(文件夹)不被改动(创建、读取、写入、删除)
2,保护注册表不被改动(创建、读取、写入、删除)
3,阻止指定程序启动
3.0与2.5的自定义规则的有什么区别
3.0自定义规则相比2.5增加了对操作进程的选择,这样的好处是更加精准地确认了规则中谁是操作对象,减少不必要的弹窗。通俗易懂点解释下,举个例子:张三将桌子移动到了客厅,那么这里选定的操作对象是张三,***作对象是桌子,动作是移动,即仅当张三移动桌子到客厅时就会询问允许或者直接阻止;2.5自定义规则是没有直接选定是谁执行规则,即就是:桌子被移动到了客厅。
如果您习惯了2.5的自定义规则形式,那么在3.0自定义规则中跳过选择程序,点击下一步后,操作进程会默认用通配符*代替。
3.0自定义规则原理说明
一条“完整”规则的逻辑是:操作进程对文件或者注册表进行读取,创建,写入,删除,执行动作时选择弹窗询问或者直接阻止。制定规则时需要选定什么进程对什么文件或者注册表进行什么动作时询问或者直接阻止。可以理解成什么人对什么东西做了什么事需要询问或者直接阻止。
注意:三个步骤中第一步的选择进程可以忽略,但是第二步和第三步必须有,不然不能构成一条完整的规则;当忽略第一步后,默认用通配符*代替表示所有进程。可以理解为所有人对什么东西做了什么事需要询问或者直接阻止,即是2.5自定义的处理策略。
在大家了解了规则的基本原理后,那么开始制定自定义规则,毕竟实践才是检验真理的唯一标准嘛。
举例中的规则是当everthing.exe对桌面的Foxmail快捷方式读取,创建,写入,删除,执行时都要询问。
(1)找到系统防护中的自定义规则,点击新建规则包。
(2)点击添加规则,选择了如下图路径中的进程。
(3)然后选择文件保护对象,分为文件和注册表。
图中选择了桌面的foxmail快捷方式,同时选定保护的动作。
(4)确定后,这样一条规则就写好了。
当everthing.exe对桌面foxmail的快捷方式操作时就会弹窗询问。
自动处理规则功能说明
在了解自定义规则的制定方法后,了解下自动处理规则,大家可以简单的理解为自定义规则的黑白名单功能。
举个例子:
everthing.exe进程反复触犯自定义规则弹窗提示了
[attach]10092[/attach]
选择记住操作,同时点击阻止,那么就会被自动记录进自动处理规则,下次当再次触犯时就自动阻止读取这个动作。
[attach]10094[/attach]
通配符使用:
在设置保护对象的时候不仅禁止选择具体问题还能使用通配符覆盖更多的对象,目前火绒系统防护规则支持的通配符如下:
* 可以使用星号代替0个或多个字符。如果正在查找以AEW开头的一个文件,但不记得文件名其余部分,可以输入AEW*
? 可以使用问号代替一个字符。如果输入love?,查找以love开头的一个字符结尾文件类型的文件,如lovey、lovei等。
> 替代所有字符直到遇到“”。比如c:a>,那么这条规则只会作用于c:a目录下所有文件而不会对c:a�这个子目录生效。
[attach]10538[/attach]
传送门:
一步到位!玩转火绒系统防护进阶自定义规则(2.5版本)
https://bbs.huorong.cn/thread-4496-1-1.html
作者: 潘中医 时间: 2015-12-3 11:31
学习中
作者: 到处闲逛 时间: 2015-12-3 12:53
这个很受用,学习研究中
作者: v5snail 时间: 2015-12-3 20:48
这个可以帮助很多人,支持一个。
作者: 1204625385 时间: 2015-12-5 11:48
受教了
作者: sosrose0606 时间: 2015-12-5 17:07
学习了,感谢楼主
作者: 超现实主义 时间: 2015-12-11 21:38
虽然看不太懂,但还是要学习
作者: qyanlongfeng 时间: 2015-12-16 16:11
学习了
作者: 大水治愚 时间: 2015-12-17 08:23
问声早安!好谢谢!我电脑里有一流氓软件,一联网就加载下载!叫传奇霸业快捷方式!在桌面上出现还有一堆文件不知怎的只要一联网就安装!搜索卸载删除,注册表中删除都没用,火绒也没办法 怎么彻底删除桌面上莫名出现的传奇霸业等? 不可能从做系统吧!火绒可以对付么?怎的做啊?
作者: 大水治愚 时间: 2015-12-17 22:33
嘻嘻,下载了,提一个小小的建议:简单易懂,教你如何写自定义规则.pdf 格式做的不清楚啊,下回能做清楚点么!
作者: 大水治愚 时间: 2015-12-18 23:21
用了2天了,发现软件都改成3.0,界面也换了,可论坛里3.0详细介绍很少,论坛过去针对3.0或2.0以下使用标题都很不清楚点了去才知道是什么,做个pdf格式下载,或有个帮助,有时间对照练习,毕竟这软件不是只针对高手,很多都是低手,再说前面都有很多杀毒先行者在前面,你只有做细了这样才有广阔空间!
作者: raider520 时间: 2015-12-27 12:54
学习了!慢慢试用中
作者: yuan161 时间: 2015-12-30 14:57
看看了 很好
作者: kylooe 时间: 2016-1-20 15:06
支持一个
作者: 觉醒 时间: 2016-1-21 19:40
火绒实验室长微博链接 404
作者: 导演AZ 时间: 2016-1-30 23:14
学习辣
作者: samos 时间: 2016-2-9 10:46
自定义规则作为火绒主动防御中单步防护的一个部分出现,简单的来说自定义规则可以通过阻止程序改动电脑中重要的文件、注册表,起到保护电脑安全的作用。基础防护已经针对系统中可能被恶意程序篡改的重要系统文件
作者: anannan 时间: 2016-2-13 21:03
学习了
作者: superzhao1992 时间: 2016-2-18 16:19
新手来学习
作者: tax 时间: 2016-2-20 11:31
谢谢了,准备研究研究
作者: way 时间: 2016-2-27 19:25
试试看吧~~
作者: mfjdsg 时间: 2016-3-9 09:36
感谢楼主的教学
作者: 尕尜杰 时间: 2016-4-12 12:18
这个很受用,学习研究中
作者: iidol 时间: 2016-4-12 23:07
看看,学习中
作者: hxdasdf 时间: 2016-4-14 20:00
学习一下
作者: 倾听 时间: 2016-4-14 22:58
学习了,慢慢看。
作者: SUV 时间: 2016-4-18 19:42
妈的。弹窗拦截每次都要手动启动,才有效,能不能搞个网页广告自定义拦截,自己选择拦截的广告区域,以前好像搜狗浏览器,就有自己手动选择拦截广告
作者: zxh 时间: 2016-4-18 21:18
需要重新抓取窗口才能拦截?什么软件的弹窗?
网页广告建议用adblock插件
作者: chirsmay 时间: 2016-4-21 00:27
嗯 嗯 不错的收藏一下
作者: tony_chen 时间: 2016-4-22 16:59
先学习下,谢谢
作者: weizao 时间: 2016-4-23 07:26
受益匪浅
作者: gjhwssg 时间: 2016-4-23 12:58
学习学习
作者: 星火燎原 时间: 2016-4-23 15:04
作者: wskplho 时间: 2016-4-23 21:52
学习了,谢谢分享
作者: 翊翾 时间: 2016-4-24 00:36
還是挺好的
作者: ling0mc 时间: 2016-4-28 10:58
需要时间慢慢消化
作者: 火花 时间: 2016-5-2 08:39
支持给力 加油啊
作者: 鹤发童颜 时间: 2016-5-5 16:46
作者: 无定 时间: 2016-5-5 23:39
给力。学习中
作者: 墨无清风醉 时间: 2016-5-6 15:59
学习学习学习。。。。。。。。。。
作者: Zeroner 时间: 2016-5-7 18:01
好东西
作者: wyc668 时间: 2016-5-8 21:07
很有用,谢谢分享
作者: feng3911 时间: 2016-5-9 23:11
果然是简单易懂,感谢楼主
作者: a514217900 时间: 2016-5-11 11:40
简单操作易上手
作者: argooo 时间: 2016-5-12 07:36
棒棒哒,感觉有空研究下自己写好了
作者: rfw 时间: 2016-5-14 09:45
正不知道如何使用下载的规则,学习了,谢谢
作者: zndlpjyf 时间: 2016-5-16 19:03
学习一下。谢谢斑竹
作者: ft26485 时间: 2016-5-17 00:27
学习
作者: sirliu 时间: 2016-5-17 14:28
请问根目录、目录、子目录、父目录等等如何表达?
作者: sunlwp 时间: 2016-5-17 15:07
好东西要学习一下
作者: 圣兽S 时间: 2016-5-19 22:34
下载下来,学习学习
作者: 1453374029 时间: 2016-5-20 13:37
谢谢
作者: lcylpzls 时间: 2016-5-21 20:28
学习一下,待会试试
作者: cl0lc 时间: 2016-5-23 12:22
学习一下
作者: wocuolewuwu 时间: 2016-5-23 12:49
多谢分享!
作者: 茗清逸 时间: 2016-5-23 21:37
支持,准备学习。。
作者: maaaaaaaark 时间: 2016-5-24 13:50
简单粗暴 。
作者: qqddliu 时间: 2016-5-25 09:32
请问,火绒只开自定义规则,可以设置规则防御底层磁盘读写吗?
作者: qq1425913115 时间: 2016-5-25 16:12
学习了!
作者: rich723 时间: 2016-5-28 16:13
很好 ,学习中。给力啊。
作者: qq892640791 时间: 2016-5-28 23:18
-能不能使用诸如下列的规则?
如
1不是绝对路径 比如只针对 calc。exe 直接写个calc.exe
2同一文件名的不同文件 a.exe a.dll a.sys
作者: 如果就好了 时间: 2016-5-29 16:58
支持一个
作者: zxh 时间: 2016-5-30 10:08
可以,第一个使用通配符*就可以了,第二个不同文件把后缀写清楚
作者: lyldn 时间: 2016-5-30 23:57
一下信息有点多,慢慢学习。
作者: znew 时间: 2016-5-31 09:07
感谢支持啊 啊
作者: zhuozy 时间: 2016-6-2 08:15
PDF已下载储存 -1金
作者: zxh 时间: 2016-6-2 09:50
回帖就补回来了。
作者: 1042215037 时间: 2016-6-2 20:43
nice~~~~~~~~
作者: iframan 时间: 2016-6-11 15:41
研究中。。。虽然麻烦但还是手动挡保险
简单规则
作者: geass 时间: 2016-6-12 16:03
学习中学习中
作者: deadhint 时间: 2016-6-29 14:56
新手来学习
作者: muzb 时间: 2016-7-9 15:36
谢谢分享
作者: 半步星辰 时间: 2016-7-9 22:49
看看学习了
作者: Simple-yi 时间: 2016-7-10 08:37
学习了,3Q
作者: icemirror 时间: 2016-7-11 16:34
谢谢!学习一下创建规则
作者: lima333 时间: 2016-7-12 00:28
值得学习这个方法
作者: nuan 时间: 2016-7-20 13:42
学习一下
作者: shcqiu 时间: 2016-7-24 22:55
非常感谢楼主的分享!谢谢
作者: 靖哥哥 时间: 2016-7-26 19:42
难度不大,浅显易懂。官方规则包比较完善了,这个可以做辅助,比如保护某些目录、文件。用过麦咖啡的都懂。
作者: woen 时间: 2016-7-27 17:37
有个视频教程就好了!!
作者: 俯身丶作画 时间: 2016-7-29 11:39
这个可以有,很不错,学习ing。。
作者: IM2016 时间: 2016-7-30 10:22
谢谢分享
作者: lubov6 时间: 2016-7-31 14:56
学习中 感谢分享!
作者: maitian 时间: 2016-8-5 13:48
mark
作者: 380722215 时间: 2016-8-8 13:42
感谢指导
作者: Finger_CAT 时间: 2016-8-12 20:12
=、= 看来是我太渣了
作者: Faith 时间: 2016-8-16 18:23
作者: zanyfish 时间: 2016-8-17 01:53
一步到位!玩转火绒系统防护进阶
作者: lvanx 时间: 2016-8-19 22:18
学习中
作者: hye90 时间: 2016-8-24 22:40
支持了!!
作者: joe 时间: 2016-8-25 15:18
附件下载学习下。
作者: guchaozoe 时间: 2016-8-26 14:32
第一次用这软件。学习下
作者: g_17_b 时间: 2016-8-29 15:29
新手,观望中
作者: 寻跟者 时间: 2016-9-1 17:29
提示: 作者被禁止或删除 内容自动屏蔽
作者: deepkolos 时间: 2016-9-5 19:27
希望火绒拓展这个自定义规则的范围,比如读取系统的网络链接信息的拦截并且返回原装系统的网络列表,这样的话就可以使得新版天意客户端无法检测是否开了WIFI~~
作者: gwuj 时间: 2016-9-7 21:14
学习学习,谢谢
作者: 冷静小火 时间: 2016-9-14 22:23
学习中,方便自己编写。
作者: 冷静小火 时间: 2016-9-14 22:25
PDF文档啊,谢谢了。
作者: Gnene 时间: 2016-9-25 12:22
ganxie感谢
作者: smile的微笑 时间: 2016-9-25 18:30
nice~~ 学习学习~
| 欢迎光临 火绒安全软件 (https://bbs.huorong.cn/) |
Powered by Discuz! X3.4 |