McAfee大企業(yè)版規(guī)則之強(qiáng)，天諾時(shí)空現(xiàn)有規(guī)則之厲，相信大家已有所見聞與實(shí)踐。但是否真的滴水不漏、固若金湯，相信誰也不敢妄言。本教程力圖充分利用咖啡規(guī)則現(xiàn)有語法特點(diǎn)，引導(dǎo)有一定基礎(chǔ)的新手和有興趣的朋友構(gòu)筑一個(gè)防范嚴(yán)密、高效放心的規(guī)則。

既然是防毒，必須從病毒的行為特點(diǎn)出發(fā)，制定相應(yīng)的規(guī)則進(jìn)行防御。按照時(shí)間劃分，病毒行為可以分為三個(gè)階段：
第一，前期行為，表現(xiàn)為創(chuàng)建病毒文件到本地，途徑不外乎有兩個(gè)，可移動(dòng)設(shè)備和網(wǎng)絡(luò)，其中病毒文件主體90%都是exe文件和dll文件，其它尚有sys、bat、com、pif、vbs、autorun.inf等；
第二，中期行為，表現(xiàn)為從本地激活運(yùn)行病毒，釋放sys驅(qū)動(dòng)文件、bat批處理文件、autorun.inf驅(qū)動(dòng)文件等；
第三，后期行為，表現(xiàn)為修改、創(chuàng)建exe、dll、sys等文件，訪問服務(wù)管理器添加服務(wù)或加載驅(qū)動(dòng)，修改注冊(cè)表以實(shí)現(xiàn)自啟動(dòng)，添加開機(jī)啟動(dòng)項(xiàng)目，添加任務(wù)計(jì)劃，注入其它進(jìn)程，底層訪問磁盤、屏幕、鍵盤，修改hosts文件等。

針對(duì)病毒的以上特點(diǎn)，規(guī)則必須做到：
第一、前期防御：設(shè)置規(guī)則防止病毒創(chuàng)建文件到本地，即所謂的入口防御。入口規(guī)則設(shè)置可以有幾種思路，一是分別設(shè)置全局規(guī)則禁止創(chuàng)建可執(zhí)行文件，例如邪版8.8經(jīng)典規(guī)則；二是分別設(shè)置瀏覽器、U盤規(guī)則禁止創(chuàng)建可執(zhí)行文件，如貓版64位Win7規(guī)則；三是通過嚴(yán)格保護(hù)系統(tǒng)和軟件文件夾來變相實(shí)現(xiàn)入口防御，如墨池鎮(zhèn)版規(guī)則和storyhare的系列規(guī)則。
第二、中期防御：設(shè)置規(guī)則防止本地病毒激活并運(yùn)行。禁運(yùn)規(guī)則必須有效直接禁止已知病毒和未知程序在任何位置運(yùn)行，而不是等著病毒去修改系統(tǒng)文件才阻止，這是目前所有規(guī)則的弱項(xiàng)。墨池鎮(zhèn)版規(guī)則有這個(gè)意識(shí)，但沒有完全實(shí)現(xiàn)。原因很簡單，大家對(duì)咖啡的權(quán)限控制還沒有完全搞懂，后面專門論述。
第三，后期防御：設(shè)置規(guī)則防止病毒運(yùn)行后的一系列破壞行為，這可以通過禁止未知程序修改系統(tǒng)、軟件文件或者全局禁止修改可執(zhí)行文件來實(shí)現(xiàn)。這是目前所有規(guī)則防御的重點(diǎn)，而且效果很好。

從防御效果方面而言，防御越靠前越主動(dòng)，越靠后越被動(dòng)。雖然最終效果可能一樣，但時(shí)間長了機(jī)器的干凈和正常程度可能會(huì)有區(qū)別，例如系統(tǒng)一切正常，而實(shí)際可能成了養(yǎng)馬場、病毒庫。所以前期入口規(guī)則一定要重視，中期禁運(yùn)規(guī)則必須要加強(qiáng)。

搞清楚咖啡提供的權(quán)限控制方法，是設(shè)置禁運(yùn)規(guī)則的關(guān)鍵。下面先看以下兩條規(guī)則的區(qū)別。

規(guī)則名稱：只讀權(quán)限_Windows
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除

規(guī)則名稱：只讀保護(hù)_Windows
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：寫 創(chuàng)建 刪除

第一條規(guī)則的含義是禁止Windows文件夾下的所有文件修改所有文件，也就是沒有排除的系統(tǒng)文件沒有修改別人的權(quán)力。第二條規(guī)則的含義是禁止所有程序修改Windows文件夾下的所有文件，即保護(hù)系統(tǒng)文件不被別人修改，排除者除外。由此可見，要想控制系統(tǒng)文件修改別人的權(quán)限——即中期防御，應(yīng)該采用第一種寫法。同理，要想控制Windows文件夾下的文件的運(yùn)行權(quán)限，應(yīng)該寫成：

規(guī)則名稱：讀寫權(quán)限_Windows
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除

這樣就可以防止Windows文件夾下的未知文件運(yùn)行，從而達(dá)到直接防止病毒激活并運(yùn)行的目的，讓它自娛自樂的機(jī)會(huì)都沒有。

歸納了一下，有意義的文件權(quán)限可以分為：

1、讀寫權(quán)限——“讀 寫 執(zhí)行 創(chuàng)建 刪除”別人的權(quán)力；
2、只讀權(quán)限——“寫 創(chuàng)建 刪除”別人的權(quán)力；
與以上相關(guān)的規(guī)則可以稱之為“權(quán)限規(guī)則”。

3、讀寫保護(hù)——別人“讀 寫 執(zhí)行 創(chuàng)建 刪除”保護(hù)對(duì)象的權(quán)力；
4、只讀保護(hù)——別人“寫 創(chuàng)建 刪除”保護(hù)對(duì)象的權(quán)力
與以上相關(guān)的規(guī)則可以稱之為“保護(hù)規(guī)則”。

5、雙向讀寫——既管制程序讀寫別人的權(quán)限，又保護(hù)對(duì)象文件不可讀寫。
6、雙向只讀——既管制程序修改別人的權(quán)限，又保護(hù)對(duì)象文件不被修改。
以上規(guī)則只有全局通配符的規(guī)則可以做到，可以稱之為“全局規(guī)則”。

如果我們把不同權(quán)限與合理的分組結(jié)合起來，就可以嚴(yán)密控制，使任意位置的病毒、木馬完全癱瘓，沒有一絲爆發(fā)的機(jī)會(huì)。這里要特別說明一下，為什么要分組呢？兩個(gè)原因，一個(gè)是咖啡的排除字符數(shù)有限制（2599），一個(gè)是分組容易區(qū)別控制。至于怎樣分組為好、分組多少為好，視個(gè)人軟件數(shù)量和個(gè)人喜好而定。下面給一個(gè)按權(quán)限分組防御的參考框架：

一、讀寫雙向權(quán)限（修改默認(rèn)規(guī)則）

規(guī)則名稱：阻止對(duì)所有共享資源的讀寫訪問
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
--------------------------------------------
權(quán)限：運(yùn)行權(quán)力+訪問保護(hù)。
作用：禁止一切非信任區(qū)文件的運(yùn)行
對(duì)所有本地文件進(jìn)行訪問保護(hù)
禁止所有非exe文件的運(yùn)行與訪問
禁止所有遠(yuǎn)程操作
排除：不要使用絕對(duì)路徑，目的有二：一是保證規(guī)則優(yōu)先起作用（咖啡規(guī)則有一定的優(yōu)先級(jí)，下面專門介紹），規(guī)則威力最大；二是方便自定義規(guī)則的分組；三是一旦排除就獲得雙向控制權(quán)，反而于安全不利。

二、只讀雙向權(quán)限（修改默認(rèn)規(guī)則）

規(guī)則名稱：將所有共享項(xiàng)設(shè)為只讀
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除
--------------------------------------------
這種寫法包含了修改與只讀兩種權(quán)限，作用有四：禁止一切非信任區(qū)的文件的修改文件，對(duì)所有本地文件進(jìn)行只讀保護(hù)，禁止所有非exe文件修改本地文件，禁止所有遠(yuǎn)程修改操作。這里的排除不要用絕對(duì)路徑，原因同上。

三、讀寫權(quán)限

規(guī)則名稱：讀寫權(quán)限_Windows
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除，內(nèi)存進(jìn)程參照*\WINDOWS\system32\winlogon.exe排除。

規(guī)則名稱：讀寫權(quán)限_C:\Program Files
要包含的進(jìn)程：C:\Program Files\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。

規(guī)則名稱：分組運(yùn)行權(quán)限_E:\Program Files
要包含的進(jìn)程：E:\Program Files\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。這里是把軟件裝在E盤的寫法。如果裝在C盤，比較麻煩，可以把進(jìn)程較多的軟件單提出來分組，作為權(quán)變，例如C:\Program Files\McAfee\**、C:\Program Files\Microsoft Office\**、C:\Program Files\Common Files\**等。

四、只讀權(quán)限

規(guī)則名稱：只讀權(quán)限_Windows
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。

規(guī)則名稱：只讀權(quán)限_Program Files
要包含的進(jìn)程：*\Program Files*\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。

五、讀寫保護(hù)

規(guī)則名稱：讀寫保護(hù)_Windows
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。需要分組。

規(guī)則名稱：讀寫保護(hù)_Program Files
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。需要分組。

六、只讀保護(hù)

規(guī)則名稱：只讀保護(hù)_Windows
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。

規(guī)則名稱：只讀保護(hù)_Program Files
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是
-------------------------------------------------
排除：采用絕對(duì)路徑排除。

按權(quán)限分組防御系統(tǒng)至此完全形成?？傮w防護(hù)效果是：非信任區(qū)一切運(yùn)行與修改都無法進(jìn)行，“全局規(guī)則”起作用，止步于中期行為，攔截徹底，速度快，無彈窗，無遺漏，日志僅一條；信任區(qū)內(nèi)未排除程序一切運(yùn)行與修改都無法進(jìn)行，“只讀權(quán)限”規(guī)則先起作用，如有遺漏，“全局只讀”以及相應(yīng)的“分組訪問保護(hù)”規(guī)則迅速補(bǔ)上，攔截徹底，速度快，無彈窗，日志較少，無遺漏。所以，以上“組以權(quán)分，分期防御”組成了一個(gè)強(qiáng)大的防御系統(tǒng)，可以完美攔截一切未知程序的所有行為。這種交叉火力防護(hù)，是純后期防御無法達(dá)到的。

下面補(bǔ)充幾個(gè)問題：

第一，咖啡規(guī)則的優(yōu)先級(jí)。有人說咖啡沒有優(yōu)先級(jí)，這是片面的。咖啡規(guī)則的優(yōu)先級(jí)很復(fù)雜，歸納如下（“>”表示優(yōu)先于）：
1、殺毒 > 規(guī)則
2、文件規(guī)則 > 注冊(cè)表 > 端口規(guī)則
3、注冊(cè)表項(xiàng)規(guī)則 > 注冊(cè)表值規(guī)則
4、全局規(guī)則 > 權(quán)限規(guī)則 > 保護(hù)規(guī)則
5、全通配符規(guī)則 > 帶通配符相對(duì)路徑規(guī)則 > 無通配符絕對(duì)路徑規(guī)則 > 單文件規(guī)則
所以，全局規(guī)則采用絕對(duì)路徑排除會(huì)降低規(guī)則優(yōu)先級(jí)，反而會(huì)在應(yīng)該起作用的時(shí)候反應(yīng)滯后，起不到應(yīng)有的中期攔截的作用，故用通配符相對(duì)路徑排除更好。

第二、要想把規(guī)則打造成鐵桶，還要做好入口防御和高危過濾。建議設(shè)置和補(bǔ)充如下規(guī)則：

規(guī)則名稱：禁止遠(yuǎn)程創(chuàng)建/修改可執(zhí)行文件和配置文件
要包含的進(jìn)程：**
要排除的進(jìn)程：
是否勾選報(bào)告：是
--------------------------------
采用絕對(duì)路徑排除，只要不排除瀏覽器，入口就基本扎好了。

規(guī)則名稱：文件禁改_exe
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**.exe
要禁止的文件操作：寫入 創(chuàng)建
-------------------------------------------------
作用：彌補(bǔ)默認(rèn)“最大保護(hù)”規(guī)則防護(hù)面積的不足（默認(rèn)只防了C盤Windows與Program Files文件夾）

規(guī)則名稱：文件禁改_dll
要包含的進(jìn)程：**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**.dll
要禁止的文件操作：寫入 創(chuàng)建
-------------------------------------------------
作用：彌補(bǔ)默認(rèn)“最大保護(hù)”規(guī)則防護(hù)面積的不足（默認(rèn)只防了C盤Windows與Program Files文件夾）

規(guī)則名稱：高危過濾_文件
要包含的進(jìn)程：*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\Local Settings\Temporary Internet Files\**, *\RECYCLER*\**, *\System Volume Information\**, *文檔.exe, *桌面.exe, *用戶.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夾*.exe
要排除的進(jìn)程：無
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：否
-------------------------------------------------
要包含的進(jìn)程可以自由添加，包括容易被病毒利用而又不常用的系統(tǒng)文件，以及已知的病毒文件名、雙后綴文件名等，相當(dāng)于黑名單。

規(guī)則名稱：高危過濾_注冊(cè)表項(xiàng)
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護(hù)的注冊(cè)表項(xiàng)目或注冊(cè)表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護(hù)的注冊(cè)表項(xiàng)或注冊(cè)表值：項(xiàng)
要阻止的注冊(cè)表：寫入 創(chuàng)建 刪除
是否勾選報(bào)告：否
-------------------------------------------------
一般不用添加排除。

13 規(guī)則名稱：高危過濾_注冊(cè)表值
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護(hù)的注冊(cè)表項(xiàng)目或注冊(cè)表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護(hù)的注冊(cè)表項(xiàng)或注冊(cè)表值：值
要阻止的注冊(cè)表：寫入 創(chuàng)建 刪除
是否勾選報(bào)告：否
-------------------------------------------------
一般不用添加排除。

第三、設(shè)置規(guī)則必須全盤考慮，盡量做到滴水不漏。規(guī)則最好自己設(shè)置、排除，這樣才能完全適合自己，排除容量才會(huì)夠用。

第四、一條規(guī)則誤排除沒有關(guān)系，全部誤排除才會(huì)中毒，這就是分組分權(quán)限詳細(xì)設(shè)置規(guī)則的優(yōu)勢，當(dāng)然，打磨的難度的確大大增加。如果你是一個(gè)愛好折騰、追求高安全的人，其樂無窮！

第五、打磨規(guī)則是有順序的。盡量按照咖啡的優(yōu)先級(jí)逐個(gè)打磨，即全局規(guī)則——>權(quán)限規(guī)則——>保護(hù)規(guī)則——>文件規(guī)則。打磨一個(gè)規(guī)則時(shí)，只勾選報(bào)告，完成后再勾選阻止，而其它規(guī)則一律不阻止、不報(bào)告。這樣逐個(gè)磨出來的規(guī)則會(huì)減少許多重復(fù)排除，對(duì)系統(tǒng)運(yùn)行的影響可以降到最低。

最后的關(guān)鍵：其它的默認(rèn)規(guī)則也盡量采用絕對(duì)路徑排除，降低優(yōu)先級(jí)，這樣就把全局規(guī)則推到最高優(yōu)先級(jí)別，使整套規(guī)則形成這樣一種優(yōu)先級(jí)別合理、按權(quán)限分組、分期行為交叉防御的高效的強(qiáng)大體系：

全局規(guī)則——>分組權(quán)限規(guī)則——>分組保護(hù)規(guī)則——>文件權(quán)限規(guī)則——>文件保護(hù)規(guī)則。


如果你詳細(xì)閱讀并理解了以上內(nèi)容，就可以進(jìn)入規(guī)則打磨了。

下面把自己XP下的8.8實(shí)機(jī)規(guī)則完整貼出來，供大家打磨規(guī)則時(shí)參考，歡迎批評(píng)指正！

----------------------------默認(rèn)規(guī)則---------------------------------------

《防間諜程序標(biāo)準(zhǔn)保護(hù)》
規(guī)則名稱：保護(hù)Internet Explorer收藏夾和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, E:\Program Files\CCleaner\CCleaner.exe
是否勾選報(bào)告：否

《防間諜程序最大保護(hù)》
規(guī)則名稱：禁止安裝新的 CLSID、APPID 和 TYPELIB
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\Restore\rstrui.exe
是否勾選報(bào)告：否

規(guī)則名稱：禁止所有程序從 Temp 文件夾運(yùn)行文件
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\System32\cleanmgr.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止從 Temp 文件夾執(zhí)行腳本
要包含的進(jìn)程：?script.exe
要排除的進(jìn)程：無
是否勾選報(bào)告：否

《防病毒標(biāo)準(zhǔn)保護(hù)》
規(guī)則名稱：禁止禁用注冊(cè)表編輯器和任務(wù)管理器
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：禁止更改用戶權(quán)限策略
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\system32\lsass.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止遠(yuǎn)程創(chuàng)建/修改可執(zhí)行文件和配置文件
要包含的進(jìn)程：*.*
要排除的進(jìn)程：*\Windows\system32\wbem\WMIADAP.EXE, *\Windows\system32\winlogon.exe, C:\Program Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\defrag.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\ie4uinit.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\msdt.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee*.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\Macromedia\Flash*\Flash.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\植物大戰(zhàn)僵尸綠色版\PlantsVsZombies.exe, H:\**\*.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止遠(yuǎn)程創(chuàng)建自動(dòng)運(yùn)行文件
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：否

規(guī)則名稱：禁止攔截 .EXE 和其他可執(zhí)行文件擴(kuò)展名
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：否

規(guī)則名稱：禁止偽裝 Windows 進(jìn)程
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\explorer.exe
是否勾選報(bào)告：否

規(guī)則名稱：禁止群發(fā)郵件蠕蟲發(fā)送郵件
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：禁止 IRC 通信
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：禁止使用 tftp.exe
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\wbem\wmiprvse.exe
是否勾選報(bào)告：是

《防病毒最大保護(hù)》
規(guī)則名稱：禁止 Svchost 執(zhí)行非 Windows 可執(zhí)行文件
要包含的進(jìn)程：svchost.exe
要排除的進(jìn)程：無
是否勾選報(bào)告：否

規(guī)則名稱：保護(hù)電話簿文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\dwwin.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\Adobe\Adobe Photoshop CS*\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE
是否勾選報(bào)告：是

規(guī)則名稱：禁止更改所有文件擴(kuò)展名的注冊(cè)
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報(bào)告：否

規(guī)則名稱：保護(hù)緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\powercfg.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\Macromedia\Flash 8\Flash.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報(bào)告：是


《防病毒爆發(fā)控制》

規(guī)則名稱：將所有共享項(xiàng)設(shè)為只讀
要包含的進(jìn)程：*.*
要排除的進(jìn)程：*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
是否勾選報(bào)告：是

規(guī)則名稱：阻止對(duì)所有共享資源的讀寫訪問
要包含的進(jìn)程：*.*
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
是否勾選報(bào)告：是


《通用標(biāo)準(zhǔn)保護(hù)》

規(guī)則名稱：禁止修改 McAfee 文件和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止修改 McAfee Common Management Agent 文件和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止修改 McAfee 掃描引擎文件和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報(bào)告：是

規(guī)則名稱：保護(hù) Mozilla 及 FireFox 文件和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\**\*.*, E:\Program Files\**\*.*
是否勾選報(bào)告：是

規(guī)則名稱：保護(hù) Internet Explorer 設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止安裝 Browser Helper Objects 和 Shell Extensions
要包含的進(jìn)程：**
要排除的進(jìn)程：E:\Program Files\McAfee\**\*.exe
是否勾選報(bào)告：是

規(guī)則名稱：保護(hù)網(wǎng)絡(luò)設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, E:\Program Files\McAfee\**\*.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止公用程序從 Temp 文件夾運(yùn)行文件
要包含的進(jìn)程：eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：在 Internet Explorer 中禁用 HCP URL
要包含的進(jìn)程：iexplore.exe, wmplayer.exe
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：防止終止 McAfee 進(jìn)程
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：是


《通用最大保護(hù)》
規(guī)則名稱：禁止將程序注冊(cè)為自動(dòng)運(yùn)行
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止將程序注冊(cè)為服務(wù)
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\vssvc.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止在 Windows 文件夾中創(chuàng)建新的可執(zhí)行文件
要包含的進(jìn)程：*.*
要排除的進(jìn)程：C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止在 Program Files 文件夾中創(chuàng)建新的可執(zhí)行文件
要包含的進(jìn)程：**
要排除的進(jìn)程：E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
是否勾選報(bào)告：是

規(guī)則名稱：禁止從 Downloaded Program Files 文件夾啟動(dòng)文件
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：禁止 FTP 通信
要包含的進(jìn)程：**
要排除的進(jìn)程：無
是否勾選報(bào)告：是

規(guī)則名稱：禁止 HTTP 通信
要包含的進(jìn)程：**
要排除的進(jìn)程：C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
是否勾選報(bào)告：是


《虛擬機(jī)保護(hù)》

規(guī)則名稱：防止終止 VMWare 進(jìn)程
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報(bào)告：是

規(guī)則名稱：禁止修改 VMWare Workstation 文件和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報(bào)告：是

規(guī)則名稱：禁止修改 VMWare Server 文件和設(shè)置
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報(bào)告：是

規(guī)則名稱：禁止修改 VMWare 虛擬機(jī)文件
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
是否勾選報(bào)告：是

----------------------------用戶定義的規(guī)則-----------------------------------------

01 規(guī)則名稱：全局只讀保護(hù)_注冊(cè)表項(xiàng)
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要保護(hù)的注冊(cè)表項(xiàng)目或注冊(cè)表值：HKALL /**
要保護(hù)的注冊(cè)表項(xiàng)或注冊(cè)表值：項(xiàng)
要阻止的注冊(cè)表：寫入 創(chuàng)建 刪除
是否勾選報(bào)告：是

02 規(guī)則名稱：全局只讀保護(hù)_注冊(cè)表項(xiàng)
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要保護(hù)的注冊(cè)表項(xiàng)目或注冊(cè)表值：HKALL /**
要保護(hù)的注冊(cè)表項(xiàng)或注冊(cè)表值：值
要阻止的注冊(cè)表：寫入 創(chuàng)建 刪除
是否勾選報(bào)告：是

03 規(guī)則名稱：全局控制端口_入站
要包含的進(jìn)程：*.*
要排除的進(jìn)程：cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe
要阻止的端口：1-65535
方向：入站
是否勾選報(bào)告：是

04 規(guī)則名稱：全局控制端口_出站
要包含的進(jìn)程：*.*
要排除的進(jìn)程：C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
要阻止的端口：1-65535
方向：出站
是否勾選報(bào)告：是

05 規(guī)則名稱：讀寫權(quán)限_Windows
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\cmd.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dumprep.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\ntbackup.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\WINDOWS\system32\rsmsink.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\sndrec32.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\Taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\System32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

06 規(guī)則名稱：讀寫權(quán)限_C:\Program Files
要包含的進(jìn)程：C:\Program Files\**
要排除的進(jìn)程：C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\IMSCMIG.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

07 規(guī)則名稱：讀寫權(quán)限_E:\Program Files
要包含的進(jìn)程：E:\Program Files\**
要排除的進(jìn)程：E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\(yùn)**\*.exe, E:\Program Files\植物大戰(zhàn)僵尸綠色版\PlantsVsZombies.exe
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

08 規(guī)則名稱：只讀權(quán)限_Windows
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, *\WINDOWS\system32\winlogon.exe. C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是

09 規(guī)則名稱：只讀權(quán)限_Program Files
要包含的進(jìn)程：*\Program Files*\**
要排除的進(jìn)程：C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSeeQV10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\Macromedia\Flash*\Flash.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\(yùn)**\*.exe, E:\Program Files\植物大戰(zhàn)僵尸綠色版\PlantsVsZombies.exe
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是

10 規(guī)則名稱：讀寫保護(hù)Windows_W
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

11 規(guī)則名稱：讀寫保護(hù)Windows_C:\P
要包含的進(jìn)程：**
要排除的進(jìn)程：*\Windows\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

12 規(guī)則名稱：讀寫保護(hù)Windows_E:\P
要包含的進(jìn)程：**
要排除的進(jìn)程：*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\(yùn)**\*.exe, E:\Program Files\植物大戰(zhàn)僵尸綠色版\PlantsVsZombies.exe, H:\**\*.exe
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

13 規(guī)則名稱：讀寫保護(hù)Program Files_W
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

14 規(guī)則名稱：讀寫保護(hù)Program Files_C:\P
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, , E:\Program Files\**\*.exe
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

15 規(guī)則名稱：讀寫保護(hù)Program Files_E:\P
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\(yùn)**\*.exe, E:\Program Files\植物大戰(zhàn)僵尸綠色版\PlantsVsZombies.exe
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

16 規(guī)則名稱：只讀保護(hù)_Windows
要包含的進(jìn)程：**
要排除的進(jìn)程：*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\*\update\update.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\(yùn)ESET_VC52_Scan 1.0.1.0\ESET_VC52_Scan 1.0.1.0.exe
要阻止的文件或文件夾名：**\Windows\**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是

17 規(guī)則名稱：只讀保護(hù)_Program Files
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\WINDOWS\Explorer.EXE, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\(yùn)**\*.exe
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是

18 規(guī)則名稱：只讀保護(hù)_exe
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夾名：**.exe
要禁止的文件：寫 創(chuàng)建
是否勾選報(bào)告：是

19 規(guī)則名稱：只讀保護(hù)_dll
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
要阻止的文件或文件夾名：**.dll
要禁止的文件：寫 創(chuàng)建
是否勾選報(bào)告：是

20 規(guī)則名稱：高危過濾_文件
要包含的進(jìn)程：*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\Local Settings\Temporary Internet Files\**, *\RECYCLER*\**, *\System Volume Information\**, *文檔.exe, *桌面.exe, *用戶.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夾*.exe
要排除的進(jìn)程：無
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

21 規(guī)則名稱：高危過濾_注冊(cè)表項(xiàng)
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護(hù)的注冊(cè)表項(xiàng)目或注冊(cè)表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護(hù)的注冊(cè)表項(xiàng)或注冊(cè)表值：項(xiàng)
要阻止的注冊(cè)表：寫入 創(chuàng)建 刪除
是否勾選報(bào)告：是

22 規(guī)則名稱：高危過濾_注冊(cè)表值
要包含的進(jìn)程：**
要排除的進(jìn)程：C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
要保護(hù)的注冊(cè)表項(xiàng)目或注冊(cè)表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
要保護(hù)的注冊(cè)表項(xiàng)或注冊(cè)表值：值
要阻止的注冊(cè)表：寫入 創(chuàng)建 刪除
是否勾選報(bào)告：是

23 規(guī)則名稱：全局雙向讀寫_非P
要包含的進(jìn)程：**
要排除的進(jìn)程：*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除
是否勾選報(bào)告：是

24 規(guī)則名稱：全局雙向只讀_非P
要包含的進(jìn)程：**
要排除的進(jìn)程：*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除
是否勾選報(bào)告：是

寫在后面：

一、本文在理解與應(yīng)用咖啡規(guī)則方面有幾個(gè)基礎(chǔ)性突破：
1、分期防御，完美防止病毒爆發(fā)。
2、廓清權(quán)限，程序控制更加方便。
3、辨明優(yōu)先級(jí)，使規(guī)則打造和防御更加高效。
二、誠如版主所言，本文的規(guī)則是“按時(shí)間分組”，個(gè)人認(rèn)為，這樣做安全性高于“縱向分組”。要想縱向分組，可以對(duì)“權(quán)限規(guī)則”這樣設(shè)置：

規(guī)則名稱：系統(tǒng)組：讀寫權(quán)限
要包含的進(jìn)程：*\Windows\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除

規(guī)則名稱：安全軟件組：讀寫權(quán)限
要包含的進(jìn)程：*\McAfee\**, *\COMODO\**, *\Kingsoft\webshield\**
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：讀 寫 執(zhí)行 創(chuàng)建 刪除

規(guī)則名稱：瀏覽器組：只讀權(quán)限
要包含的進(jìn)程：iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除

規(guī)則名稱：P2P軟件組：只讀權(quán)限
要包含的進(jìn)程：*\Thunder\**, ……
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除

規(guī)則名稱：常用軟件組：只讀權(quán)限
要包含的進(jìn)程：*\Microsoft Office\OFFICE*\**, ……
要排除的進(jìn)程：
要阻止的文件或文件夾名：**
要禁止的文件：寫 創(chuàng)建 刪除

然后配合以合適的全局規(guī)則、保護(hù)規(guī)則。這樣做效果一樣，但設(shè)置更加復(fù)雜。

三、本文規(guī)則要想安裝程序，必須關(guān)閉“訪問保護(hù)”，如果想要不關(guān)閉“訪問保護(hù)”就安裝程序，請(qǐng)參考葉知規(guī)則，加入相關(guān)排除，并設(shè)置“關(guān)閉程序安裝管道”規(guī)則。在這里，首先要向葉知致敬！安裝規(guī)則應(yīng)該是他的專利，本人規(guī)則中永遠(yuǎn)不會(huì)加入，以示尊重。

四、文中的Windows XP實(shí)機(jī)規(guī)則經(jīng)過本人幾個(gè)月的完善和測試，安全與性能很是理想，推薦追求高安全的有興趣折騰的朋友參考打磨！

最新評(píng)論