Malware-Defender-风霜规则说明

MalwareDefender风霜规则说明2012年8月11日版Page2特别说明：MalwareDefender为手动型HIPS软件，因此仅适合熟悉系统、应用软件高级操作、对HIPS使用有一定基础的用户本规则仅供技术交流。本规则不会自主破坏用户硬盘内数据。如因使用本规则不当导致系统、应用软件运行出错、数据丢失等损失，本人概不负责，由使用者自行承担本规则适用系统版本：Windows7本规则适用MD版本：2.8Page3使用须知：本人的系统位于C盘，由于规则众多，可能会有些规则仍然使用的是绝对路径，而非使用通配符，如你的系统安装在其它盘，还需自行修改规则路径，以免规则失效本人系统为windows7专业版可能有些系统中的程序在我使用的系统中并未被使用或已经优化删除，对于此类情况，需自行添加规则，以免影响正常使用本规则前身为MD“防御规则”，使用该规则的网友亦可下载本规则使用本规则是以最大限度保障系统安全、限制正常及灰色软件非用户需求的不规范动作、防御病毒木马破坏为出发点。因此规则稍偏严厉，有可能会限制到正常软件乃至某些系统正常行为的运行，所以在使用前，务必阅读规则说明Page4规则使用步骤：1、导出自己的软件规则2、关闭MD保护并退出3、复制本规则到MD安装目录4、将本规则设置为当前规则5、导入之前导出的软件规则6、参照本说明调整规则7、开启MD保护并使用MD学习模式重启系统8、切换MD为正常模式并删除无效规则Page5规则特点：本规则注释全，可弹窗报毒，可随时通过注释了解规则作用，创于07年EQ时代本规则分程序规则、组规则、全局规则三层保护各个程序分组赋予权限各不相同，易于管理及集中降权没有秒杀规则，可直接询问框排除、亦可手动添加至程序分组内，简单易用规则组名称全部修改为目前流行的格式，清爽直观Page6个人建议：建议将下载软件的下载目录设置为除ProgramFiles、桌面、“我的文档”及系统盘以外的固定目录建议将软件安装于除系统盘以外的固定目录建议手动添加程序列外规则而不是使用学习模式Page7FD部分规则说明Page8｛全局｝全局规则作用：FD部分最后的全局规则组，用于进行全盘拦截操作说明：本组内含?\*全局文件规则，如影响日常使用，可以自行禁用如图Page9｛全局｝命名管道作用：本组对命名管道(namedpipe)操作进行限制说明：如影响日常使用，可以自行禁用如图Page10｛全局｝常见文件作用：本组即对已有规则的常见文件进行保护又可限制未知程序创建说明：如果你有别的文件需要保护可自行添加如图Page11〖保护〗程序目录作用：对安装的应用程序目录进行保护说明：本组默认只有?:\programfiles规则如你的软件还安装在别的目录，可自行添加以进行保护如图Page12〖保护〗影音文件〖保护〗游戏文件〖保护〗个人文件作用：对存储于本地硬盘内的影音、游戏和个人文件进行保护说明：可自行将文件目录对应加入上述3个组中进行保护Page13〖保护〗系统目录作用：本组对系统目录进行保护说明：如无必要无需修改Page14〖保护〗系统配置作用：本组保护的是系统及自带软件的配置文件目录说明：如无必要无需修改Page15〖保护〗桌面/菜单作用：本组主要对系统桌面、快速启动及开始菜单进行保护，防止软件自行添加桌面图标说明：如有在桌面随意放置图标的习惯可自行将对应规则禁用Page16〖保护〗网络隐私作用：对RSS、Cookies、收藏夹、IE缓存等网络隐私文件进行保护，防止隐私泄漏说明：如无必要无需修改Page17【拦截】启动目录作用：本组拦截的是2个开机启动目录，防止软件自行添加开机启动项说明：如无必要无需修改Page18『放行』'我的文档'作用：本组对'我的文档'目录和WIN7库目录进行保护说明：如无需要无需修改Page19『放行』Temp目录作用：对temp目录放行说明：本组主要包含temp目录、IE临时目录、回收站、输入法配置、最近打开文档缓存、预读缓存等多数程序均会操作的文件及目录可自行添加/修改注意！本组内的IE临时目录受优先级更高的【拦截】网马防御组限制不推荐修改组优先级Page20『放行』移动设备作用：对移动设备目录放行说明：本组对象为移动配备的盘符可自行根据自己电脑的移动设备盘符进行修改Page21【拦截】网马防御作用：对网马的创建进行拦截说明：如无必要无需修改Page22〖保护〗重要文件作用：对系统启动重要文件、个人重要文件进行保护说明：如果你有重要文件可添加至本组进行保护Page23【拦截】黑名单作用：对病毒常会创建的高危文件如反转后缀文件伪装系统文件等进行拦截说明：如无必要无需修改Page24RD部分规则说明RD部分规则不必修改保持原样即可RD规则均设置规则注释如不明白规则作用可参考注释Page25AD部分规则说明注意！在部分程序组的组文件规则中已经阻止读取〖保护〗影音文件〖保护〗游戏文件〖保护〗个人文件以防止程序读取导致个人信息泄漏如影响使用可自行修改规则如图Page26【拦截】驱动加载【拦截】敏感命令｛过滤｝全局钩子｛过滤｝进程劫持｛过滤｝创建进程｛过滤｝Com接口作用：以上几组均为全局规则用于弹窗注释报毒说明：如无必要无需修改Page27｛过滤｝进程劫持作用：用于保护进程不被病毒恶意劫持说明：如有需要保护的进程可参照已有规则自行添加。如右上图注意！规则默认已添加各AD程序分组以进行保护，只需将程序添加至各AD程序分组即可Page28〖限制〗低权限作用：添加至本组内程序仅有少许权限大部分权限均默认阻止用以对陌生不安全程序进行行为限制说明：可自行将需要以低权限运行的程序添加至本组中Page29〖文档〗程序组作用：对Office类软件进行行为限制防止权限过大说明：在组文件规则中已允许对doc等文档文件进行操作如有其它需要操作的文件可参照已有规则自行添加如左下图组内已有WPS、EmEditor软件规则可自行添加、修改如组默认权限规则、组文件规则中的限制规则影响使用可自行修改如右中、右下图（其余程序组亦同）Page30〖设计〗程序组作用：对PhotoShop、CAD类设计软件进行行为限制防止权限过大说明：如组默认权限规则、组文件规则中的其它限制规则影响使用可自行修改如图组内已有PotoshopCS5软件规则可自行添加、修改Page31〖联网〗程序组作用：对网络程序的进行行为限制防止权限过大或泄漏隐私说明：由于为防止联网程序传输本地文件至互联网服务器因此在组文件规则中限制较严如组默认权限、组文件规则中的限制规则影响使用可自行修改如图Page32〖下载〗程序组作用：对下载软件进行行为限制防止后台扫描本地磁盘隐私文件说明：与联网程序组一样为防止本地文件被传输至互联网因此在组文件规则中限制较严以防止个人信息泄漏如影响使用可自行修改如图Page33〖聊天〗程序组作用：对网络聊天软件进行行为限制防止权限过大说明：组文件规则中限制较严以防止个人信息泄漏如影响使用可自行修改如图Page34〖本地〗程序组作用：对无联网功能的本地软件进行行为限制防止权限过大说明：如组默认权限、文件规则中的限制规则影响使用可自行修改如图Page35〖游戏〗程序组作用：对游戏软件进行行为限制防止权限过大说明：如组默认权限、文件规则中的限制规则影响使用可自行修改如图Page36〖Web〗浏览器作用：对浏览器软件进行行为限制防止权限过大说明：如组默认权限、文件规则中的限制规则影响使用可自行修改如图Page37〖限制〗系统程序作用：对容易被病毒调用的系统自带程序进行行为限制防止权限过大说明：本组主要针对容易被病毒利用的系统自带程序可参照已有规则自行添加、修改Page38〖允许〗系统程序作用：对系统自带程序进行行为限制防止权限过大说明：本组主要针对没有太大危险性的系统自带程序可按照已有规则自行添加、修改Page39〖安装〗程序组作用：对安装程序放行大多数权限以方便安装说明：如有安装程序需要运行可尝试将其添加至本组中本组已开放较大权限Page40〖信任〗程序组作用：对信任软件完全开放权限说明：如有可信任程序可将其添加至本组中完全信任Page41【拦截】黑名单作用：对一些病毒经常会利用的文件名如反转后缀名、伪装系统程序名等进行拦截说明：如无必要无需修改