|
|
本帖最后由 jawbin 于 2015-3-27 02:51 编辑
借鉴卡饭和本论坛的 15803312102 的规则,整理而成。
其中有一条关于命名管道的,未予删除。
附加点“小技巧”:
自己的工具可以更名,以单独加入白名单。例如:自己建立一个 cmd.exe 的副本并改名,然后将后者加入白名单。
同理,如果愿意,可以将系统重要的工具更名,避免被恶意软件调用。例如,net.exe, reg.exe, netsh.exe, sc.exe,cscript.exe,regedt32.exe,mshta.exe 等等。当然,这只能“阻挡”最简单最初级最菜鸟的“攻击”。
很奇怪附件无法上来。
20150327 更新
http://pan.baidu.com/s/1qW5HpmO
此规则不可直接用于实机。
若要使用,必须在白名单里加几项,否则不能启动系统。
建议在开机后将自定义防护规则开关打开,而关机前将此开关关闭(其实很不方便)。
而且,似乎发现了个问题,即使加了白名单,可能仍然在系统启动时会被卡住,必须将“可疑文件类型”在关机之前关掉。
最基本的加白:
C:\WINDOWS\explorer.exe 系统文件 重要注册表
C:\WINDOWS\system32\logonui.exe 可疑文件类型
C:\WINDOWS\system32\lsass.exe 重要注册表
C:\WINDOWS\system32\services.exe 可疑文件类型 重要注册表 系统文件
C:\WINDOWS\system32\winlogon.exe 系统文件 重要注册表 可疑文件类型 系统引导、自启动、桌面、回收站、收藏夹、升级、hosts_文件
C:\WINDOWS\system32\svchost.exe 系统文件 重要注册表 临时文件夹、sandboxie 系统引导、自启动、桌面、回收站、收藏夹、升级、hosts_文件
C:\WINDOWS\system32\userinit.exe 重要注册表
C:\Program Files\Sandboxie\SbieSvc.exe 系统文件
C:\WINDOWS\system32\spoolsv.exe 重要注册表 系统引导、自启动、桌面、回收站、收藏夹、升级、hosts_文件
|
|
收藏
