火绒安全软件

标题: 【海天出品，必属精品】（附规则）火绒规则实战——迅雷 [打印本页]

作者: liaowenkai 时间: 2015-10-2 14:15
标题: 【海天出品，必属精品】（附规则）火绒规则实战——迅雷
本帖最后由 liaowenkai 于 2015-10-6 12:30 编辑

伸手党下载地址[attach]7202[/attach]（规则在WIN10上测试正常，其它系统如不支持可能是系统文件夹不同，请更改文件路径）安装过的可以卸载了，清除C:\Users\Public\Thunder Network下所有文件、原安装目录下所有文件导入规则后重新安装来看看效果。

国庆规则实战准时来到同学们身边
首先申明，因为流氓软件的文件隐蔽性，可能有未提到、未发现的流氓配置文件，欢迎回复。

今天我们防御流氓目标是迅雷，我们要从根本上防止他安装流氓插件。
迅雷的产品大家使用的最多的就是迅雷7和迅雷影音，不用说，都是很流氓的，现在极速版迅雷已面向所有普通用户开放（官网地址http://vip.xunlei.com/fast_xl/），基本上没弹窗广告，所以在此不再赘述对于迅雷7的规则，大家可以按教程自己制作，或者下载https://bbs.huorong.cn/thread-6493-1-1.html中的迅雷极速V3规则，本人测试情况良好。

[attach]7153[/attach]

首先在迅雷产品中心下载最新版迅雷看看，41.7M 版本号：5.1.25.4252

一来我们按自定义就发现这拖网速的东西居然开机自动启动，大家以后像高级选项，自定义这种按钮都得看下。[attach]7154[/attach]
启动项限制我就不说了，要不这帖就写不下了，引用花的https://bbs.huorong.cn/thread-6782-1-1.html

安装完成，带来一片云彩[attach]7155[/attach]

默认全打上勾，真TM恶心。设迅雷网址导航为首页，如果开启了火绒IE防护，火绒可以阻止[attach]7156[/attach]
(PS:看来迅雷的主页锁定技术没学好啊，只往注册表常规项里注入

)

一、推荐软件去除

我们首先处理附带的礼包，为了测试，我选了一个里面稍微有点用的鲁大师，选之前打开任务管理器或火绒剑进程板块
安装完成后过一段时间我们在火绒剑、任务管理器中都能发现鲁大师安装程序在C:\Users\liaowenkai\AppData\Local\Temp路径下被运行

[attach]7178[/attach]

(实在用不来火绒本身也会报的，在日志里查看路径就行了)该路径也为临时文件释放路径
找到了路径，我们先删除里面所有原来的临时文件，重新安装迅雷影音，再次安装推荐的鲁大师
我们发现，这东西是由2个文件组合而成的，一个是.td(迅雷临时数据文件)还有个cfg文件，cfg只是个配置，下载的大东西是迅雷临时数据文件

[attach]7179[/attach]

能否防止创建迅雷临时数据文件来达到我们的目的呢？我们编写规则试试

[attach]7180[/attach]

再次重新安装迅雷影音、推荐的鲁大师

[attach]7181[/attach]拦截成功！

（PS:大家还可以试试防止临时目录根目录下运行EXE，大多数推荐软件都是静默下载到这里的)

二、安装附带的广告插件去除

在安装过程中，我们还发现了个东西

[attach]7192[/attach]]

同样，我们进入迅雷释放的安装临时文件夹中的XMPSetup_5.1.25.4252-video子文件夹，发现里面有个pushersetup.exe。

[attach]7182[/attach]

没错，这东西就是大迅雷的热门资讯弹窗，我们编辑规则

[attach]7190[/attach]

再次重新安装迅雷影音

[attach]7196[/attach]拦截成功！

三、安装附带的高清影视插件去除

安装完成后，打开任务管理器，我们发现还捆绑了个高清影视插件

[attach]7193[/attach]

右键找到安装目录，退回上级（PS：还是系统盘

）
编辑规则来防止安装程序创建该目录

[attach]7194[/attach]

再次重新安装迅雷影音

[attach]7195[/attach]拦截成功！

本以为完事了，重新安装却见

[attach]7204[/attach]

迅雷真TM流氓啊，影视装不成，给你整个网址快捷方式
路径C:\Users\用户名\Desktop下为桌面，我们设置火绒拦截，来看看是什么东西创建了这个快捷方式

[attach]7205[/attach]

再次重装，又没创建了。。。。。我就留着这条规则防桌面快捷方式算了，上传的没这条规则

至此，迅雷影音的流氓行为已经被我们束缚的差不多了，最后我们对规则做一些优化
优化内容：防止迅雷执行XLLiveUD.exe文件进行自动升级，使规则适用于任意账户

最后截图

[attach]7197[/attach]

作者: liaowenkai 时间: 2015-10-2 14:31
搞忘传规则了，晚上发

作者: 圣兽S 时间: 2015-10-2 15:13
支持

作者: liaowenkai 时间: 2015-10-2 16:03
今天怎么没人顶啊

作者: HuoRong丶小宇 时间: 2015-10-2 16:09
然而只有介绍。。木有规则。。

作者: HuoRong丶小宇 时间: 2015-10-2 16:55
如果Microsoft®Windows 10能过的话，其它系统一般都没有问题的。

作者: 15803312102 时间: 2015-10-2 18:17
路过挖坟，一次十块，您已欠费。

作者: 15803312102 时间: 2015-10-2 18:18

HuoRong丶小宇发表于 2015-10-2 16:55
如果Microsoft®Windows 10能过的话，其它系统一般都没有问题的。

这一类规则无需更新，全自动兼容所有windows系统的。但是安全防护类就不一定了。

作者: HuoRong丶小宇 时间: 2015-10-2 19:37

15803312102 发表于 2015-10-2 18:18
这一类规则无需更新，全自动兼容所有windows系统的。但是安全防护类就不一定了。 ...

确实，安全防护类需要兼具的地方太多了。
而平台越高，软件净化的越少，因为软件的流氓行为也越少。

作者: 15803312102 时间: 2015-10-2 22:07
本帖最后由 15803312102 于 2015-10-2 22:09 编辑

禁止在临时目录执行exe会导致无法在压缩包内执行文件，软件无法自动更新等

作者: liaowenkai 时间: 2015-10-2 22:47

15803312102 发表于 2015-10-2 22:07
禁止在临时目录执行exe会导致无法在压缩包内执行文件，软件无法自动更新等 ...

自动更新可以不要，压缩包内执行文件嘛
[attach]7213[/attach]

作者: 火龙2013 时间: 2015-10-3 15:37
精彩！支持楼主！

作者: liaowenkai 时间: 2015-10-4 13:05
自顶！d=====(￣▽￣*)b

作者: Rosa真紅 时间: 2015-10-5 00:24
本帖最后由 Rosa真紅于 2015-10-5 00:27 编辑

我的极速版迅雷规则还有
HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet\Services\XLServicePlatform\Start
这一条
用以禁止关掉迅雷没有运行时候的后台上传

作者: liaowenkai 时间: 2015-10-5 13:43
不能让自己的贴沉下去

作者: 15803312102 时间: 2015-10-6 23:25
有人说我今天没挖坟，所以。。。。。路过挖坟

作者: sznyun 时间: 2015-10-7 15:15
看一下，楼主辛苦，谢谢

作者: zhuozy 时间: 2015-10-7 16:01
强大呦

作者: dexle 时间: 2015-10-7 20:37