Malware Defender 温馨规则
Malware Defender温馨规则
本规则适用于32位的XP/Vista&Win7,MD版本为2.7.3,不适合2.7.2及更低的版本。
1、使用方法
●方法1:下载本规则,解压出.dat文件,将其改名为rules.dat。退出Malware Defender并停止保护,将改名后的规则复制到MD的安装目录并替换原规则文件(替换前建议本备份原规则);
●方法2:下载本规则,解压出.dat文件。MD主界面->规则->管理规则文件->导入->导入本规则->选中规则并“设为当前规则”。
2、基本功能
●阻止病毒偷偷进入电脑;
●阻止进入电脑的病毒运行;
●阻止已经运行的病毒搞破坏;
●阻止安装软件中的恶意程序和恶意行为;
●防止镜像劫持;
●主页保护;
●文件关联方式保护;
●自启动项保护;
●办公文档保护;
●图片资料保护;
●影音文件保护;
●个人隐私保护(需自行完善);
●个人帐号保护(需自行完善);
●个人重要资料保护(需自行完善);
●重要资料、文件保护(需自行完善);
●个人资料防止偷偷被复制(需自行完善);
…………
等等等等……
3、注意事项
●开启mdhook.dll注入
本规则必须开启mdhook.dll注入,否则核心规则无效!开启方法:选项->保护->取消勾选“禁用mdhook.dll”->确定。
●修改/添加程序目录位置
默认情况下,程序或游戏可以放入?:\Program Files\*\和?:\Game\*\下。如果你的程序/游戏都不再这个位置但是位置比较固定,则需要自行将自己的程序目录添加到“应用程序通用规则”程序分组中。如果你的程序位置非常的杂乱无章,那么在运行程序首次弹窗时为其创建规则并将其添加到“应用程序通用规则”程序分组中。所以使用本规则,程序可以安装在任意位置(个人建议最好固定)。
●建立规则
本规则为非完全安静的规则,也不是弹窗非常多的规则。创建程序规则无需依赖于学习模式。运行程序时弹窗是用来建立规则的,不是用来判断的。运行程序首次弹窗时,为其创建规则并添加到合适的分组(方便管理、使规则看上去整洁)。由于规则给予应用程序通用的权限,难免会有部分程序的动作会被阻止。如果不影响使用就不必排除了;如果程序使用不正常,那么到日志中找到相应的日志创建允许规则即可:选中阻止的日志->右键->创建允许规则。部分自己认为可信的且排除量比较大的程序可以直接给予“基本可信”的权限。经过简单的排除,自己的规则就建好了~
●安装程序
使用本规则可以安装软件,安装文件可以位于任意位置。安装程序弹窗时,为其创建规则并将安装程序添加到“询问安装程序规则”程序组。如果安装程序要运行临时文件夹下的程序,那么将子程序也添加到“询问安装程序规则”程序组,否则程序安装会不成功。
●全局禁运
用HIPS来玩毒和分析程序行为的毕竟是少数,所以全局禁运还是有一定的价值的。调整好规则以后,开启安静模式即可实现全局禁运——除了你自己建立的程序规则外,其余一切未知程序都无法运行,很好很省心,超赞超给力~享受高于裸奔的快感~
●例外规则
前面说到的,由于应用程序给予的是通用的放行规则,难以保证所有程序的正常使用,因此设置了部分例外规则。规则中[AG]×××××(允许××)的程序组都是例外规则,注意这些规则不是独立的规则,而是依赖于“应用程序通用规则”的。所以如果你的这些程序的路径不在“应用程序通用规则”组中,必须添加(可以复制过去),具体可以看规则中的Chrome的规则。
●完善路径
规则具有很大的个人因素,尤其是路径。本规则已经将基本的构架写了出来,能否达到最大的功效还得看大家自己完善程度如何。建议将自己的需要保护的东西根据规则中的提示添加到相应的分组中(主要是文件组),如个人隐私文件、重要的程序、资料文件等。
4、规则简要介绍
●规则思路
规则采取的是全局阻止大部分、允许少部分动作(方便测试某些不太信任的程序、病毒等)、应用程序采取通用且可控的放行规则 部分例外规则、基本的系统程序通过学习模式创建规则、部分危险程序和敏感位置直接禁运的思路。全局严格阻止可执行文件的创建,做好入口防御。全局阻止就没有什么好说的了,系统程序也只是给予了最基本的权限,也掀不大浪,规则的安全点完全取决于“应用程序通用规则”的强度。而“应用程序通用规则”也是采取了不完全信任的思路,只给予最基本的权限,大部程序都会修改的项目给予统一的放行,避免重复编写规则。而且应用程序目录里的程序要运行必须经过你的允许。事实上,在应用程序下的病毒也不会很多的,更多病毒的是喜欢扎堆在%SystemRoot%下。而%SystemRoot%下的程序都是单程序单规则,如果这个目录下有病毒的话,是由“所有程序通用规则”来限制的。
●规则框架
受毛豆的规则框架影响比较大,本规则在应用程序规则中已完全将4D规则设置完毕,方便查看规则。所以,从毛豆转用MD的童鞋会感觉不到差别;习惯了EQ和MD规则框架的各位
●程序秒杀
毛豆中可以通过监控*\Windows\ApiPort来实现程序的秒杀。所谓秒杀就是允许则程序能运行、阻止则不能运行。经过一定的摸索,发现在开启mdhook.dll注入的情况下MD中可以通过控制程序读取%SystemRoot%\System32\mdhook.dll来实现程序的秒杀。由于任何程序运行都必须允许读取秒杀文件,通过弹窗询问可以方便地创建规则,从而不必依赖学习模式来创建规则。规则调整好以后,开启安静模式即可方便的实现全局禁运,非常的方便。
PS1:作为非程序分析员的普通用户,个人认为使用规则在保证基本安全的基础上尽量减少弹窗交互,设置少量弹窗用来方便建立规则。规则调整好后就是“享受”的时光了。如何能够高枕无忧地享受MD带来的安全感呢?我想,禁运无疑是最简单的——除了自己写好的规则,其余一切阻止运行。因为只要让病毒运行起来了,规则或软件本身还是会有被突破的可能。此外,使用纯手动的HIPS,仅仅用来防毒完全是大才小用。当然,首先得确保足够安全,否则规则被病毒突破了,其他的一切的一切都将是浮云~
PS2:感谢sanhu35和左手两位大大的建议。虽然本人也用过一段时间的HIPS软件,但是受本人水平和精力所限,规则如果有什么问题,欢迎大家提好的建议^-^
========================================================
规则下载【2011-08-17】:
Malware Defender 温馨规则
依然是更新内容太多了,就不再详细描述了~~大概说一下比较重要的改变吧~
1、应用程序全局规则*不再在应用程序规则中完全部署,RD、FD、ND移到外面;
2、更改规则分组的标识与位置,方便分辨与查找;
3、简化FD分组,能合并的尽量合并,删除部分组,主要控制可执行文件;
4、规则中所有的分组全部是独立的规则组,不再设置继承关系。应用程序可以安装在任意位置,只要按提示添加到相应的分组基本都能运行。
其余的太杂了就不细述了……规则框架到现在算是已经比较稳定了,以后的更新可能也比较少~
PS3:一直在用这套规则单奔,也许由于个人的习惯比较好,偶尔试一下毒,半年了,电脑依然没有出现什么意外的情况。由于个人的认知水平有限,规则并不完美,也没有是什么技术含量,个人感觉用着舒服就行,其余的管它呢……呵呵~
Malware Defender 温馨规则相关推荐
- 使用组策略配置Windows防火墙设置和规则
Windows防火墙允许限制特定应用程序,协议或TCP / IP端口的入站/出站网络流量.这是一种限制与用户工作站或服务器之间的网络访问的简便方法.您可以在每台计算机上分别配置Windows防火墙规则 ...
- 网络安全之防病毒网关
目录 网络安全之防病毒网关 恶意软件 按照传播方式分类 病毒 蠕虫 木马 按照功能分类 后门 勒索 挖矿 恶意代码的特征 下载特征 后门特征 信息收集特征 自身感染特性 文件感染特性 网络攻击特性 病 ...
- 常见工具识别集锦-Windows应急响应工具
一.综合分析 1.PowerTool PowerTool 是一款免费的系统分析,手动杀毒工具.这款内核级的手动杀毒辅助工具,能帮助你找出病毒木马在你的电脑中动过的手脚,并去除病毒设下的机关.目前具备以 ...
- 破壳而出的琉璃之鸟汉化 QA
Q 先谢过大师,带给我们的大礼!另外请问大师,繁体补丁打好之后只有开始竖着显示的字是繁体的,进入对白时显示是简体的,这是何解呢?字体已装. A 更新补丁 Q 首先谢谢大师愿意接坑并圆满得给大家带来了新 ...
- 值得收藏!史上最全WINDOWS安全工具锦集
"工欲善其事,必先利其器." 近日,深信服安全团队整理了一些常见的PE工具.调试反汇编工具.应急工具.流量分析工具和WebShell查杀工具,希望可以帮助到一些安全行业的初学者. ...
- 什么是计算机病毒,看这里
目录 1. 什么是恶意软件(病毒)? 2. 恶意软件的特征 3. 恶意软件的分类 按照传播方式 按功能分类分 4. 恶意软件的免杀技术 ...
- 恶意软件及反病毒的一些知识
目录标题 什么是恶意软件? 恶意软件的特征 恶意软件可以分为几类? 按照传播方式分类 按照功能分类 恶意软件的免杀技术有哪些? 文件免杀 内存免杀 行为免杀 反病毒技术有哪些? 单击反病毒 网关反病毒 ...
- 网络防御 --- 恶意软件与反病毒详解
1.什么是恶意软件 恶意软件是指故意设计造成损害到计算机.服务器.客户端或计算机网络的软件(相比之下,软件由于一些缺陷导致无意的伤害通常被描述为软件错误).恶意软件存在各种各样的类型,包括计算机病毒. ...
- 恶意软件、恶意软件反杀技术以及反病毒技术的详细介绍
1.恶意软件简单介绍 恶意软件是指在计算机系统上执行恶意任务的病毒.蠕虫和特洛伊木马的程序,通过破坏软件进程来实施控制.腾讯移动安全实验室发布的数据显示,恶意软件由多种威胁组成,会不断弹出,所以需要采 ...
最新文章
- You can't specify target table for update in FROM clause
- 教育部办公厅关于2020-2021学年面向中小学生的全国性竞赛活动名单的公示
- 关于学习Python的一点学习总结(49->迭代协议及迭代器的创建)
- 【C】 36_函数与指针分析
- java局部变量说法不正确的是_关于Java的成员变量和局部变量,下面说法错误的是...
- VisualStudio2013 如何打开之前版本开发的(.vdproj )安装项目
- IntelliJ IDEA 使用随笔
- puppeteer执行js_使用Node.js和Puppeteer与表单和网页进行交互– 2
- JS 回车快捷键登陆页面 兼容火狐和IE
- 12年外贸婚纱跨境老司机分享独立站推广引流实操干货
- 联合光伏回应“天价收购”质疑:并非每瓦10.24元
- win11改成win7界面的设置方法
- 商业虚拟专用网络技术五IPSec
- flac转换mp3格式使用什么软件好
- 启动tomcat卡在“信息: Destroying ProtocolHandler”
- Linux权限委派(生产环境必备)
- Spring定时任务的Demo
- skmetrics输出acc、precision、recall、f1值相同的问题
- php小偷cookie,ptcms小说小偷程序 最新EXP漏洞
- 声学概念解释——混响时间