MalwareDefender风霜规则说明.ppt

《MalwareDefender风霜规则说明.ppt》由会员分享，可在线阅读，更多相关《MalwareDefender风霜规则说明.ppt（41页珍藏版）》请在淘文阁 - 分享文档赚钱的网站上搜索。

1、Malware Defender 风霜规则说明风霜规则说明 2012年8月11日版Page 2特别说明：nMalware Defender为手动型HIPS软件，因此仅适合熟悉系统、应用软件高级操作、对HIPS使用有一定基础的用户n本规则仅供技术交流。n本规则不会自主破坏用户硬盘内数据。如因使用本规则不当导致系统、应用软件运行出错、数据丢失等损失，本人概不负责，由使用者自行承担n本规则适用系统版本：Windows 7 n本规则适用MD版本：2.8Page 3使用须知：n本人的系统位于C盘，由于规则众多，可能会有些规则仍然使用的是绝对路径，而非使用通配符，如你的系统安装在其它盘，还需自行修改规则路

2、径，以免规则失效n本人系统为windows 7 专业版 可能有些系统中的程序在我使用的系统中并未被使用或已经优化删除，对于此类情况，需自行添加规则，以免影响正常使用n本规则前身为MD“防御规则”，使用该规则的网友亦可下载本规则使用n本规则是以最大限度保障系统安全、限制正常及灰色软件非用户需求的不规范动作、防御病毒木马破坏为出发点。因此规则稍偏严厉，有可能会限制到正常软件乃至某些系统正常行为的运行，所以在使用前，务必阅读规则说明Page 4规则使用步骤：n1、导出自己的软件规则n2、关闭MD保护并退出n3、复制本规则到MD安装目录n4、将本规则设置为当前规则 n5、导入之前导出的软件规则n6、参

3、照本说明调整规则n7、开启MD保护并使用MD学习模式重启系统n8、切换MD为正常模式并删除无效规则Page 5规则特点：n本规则注释全，可弹窗报毒，可随时通过注释了解规则作用，创于07年EQ时代n本规则分程序规则、组规则、全局规则三层保护n各个程序分组赋予权限各不相同，易于管理及集中降权n没有秒杀规则，可直接询问框排除、亦可手动添加至程序分组内，简单易用n规则组名称全部修改为目前流行的格式，清爽直观Page 6个人建议：n建议将下载软件的下载目录设置为除Program Files、桌面、“我的文档”及系统盘以外的固定目录n建议将软件安装于除系统盘以外的固定目录n建议手动添加程序列外规则而不是使

4、用学习模式Page 7 FD部分规则说明n Page 8全局全局规则n作用：FD部分最后的全局规则组，用于进行全盘拦截操作n说明：本组内含?*全局文件规则，如影响日常使用，可以自行禁用 如图Page 9全局命名管道n作用：本组对命名管道(namedpipe)操作进行限制n说明：如影响日常使用，可以自行禁用 如图Page 10全局常见文件n作用：本组即对已有规则的常见文件进行保护又可限制未知程序创建n说明：如果你有别的文件需要保护可自行添加 如图Page 11保护程序目录n作用：对安装的应用程序目录进行保护 n说明：本组默认只有?:program files规则 如你的软件还安装在别的目录，可自

5、行添加以进行保护 如图Page 12保护影音文件 保护游戏文件 保护个人文件n作用：对存储于本地硬盘内的影音、游戏和个人文件进行保护n说明：可自行将文件目录对应加入上述3个组中进行保护Page 13保护系统目录n作用：本组对系统目录进行保护n说明：如无必要 无需修改Page 14保护系统配置n作用：本组保护的是系统及自带软件的配置文件目录n说明：如无必要 无需修改Page 15保护桌面/菜单n作用：本组主要对系统桌面、快速启动及开始菜单进行保护，防止软件自行添加桌面图标n说明：如有在桌面随意放置图标的习惯可自行将对应规则禁用Page 16保护网络隐私n作用：对RSS、Cookies、收藏夹、I

6、E缓存等网络隐私文件进行保护，防止隐私泄漏n说明：如无必要 无需修改Page 17【拦截】启动目录n作用：本组拦截的是2个开机启动目录，防止软件自行添加开机启动项n说明：如无必要 无需修改Page 18放行我的文档n作用：本组对我的文档目录和WIN7 库目录进行保护n说明：如无需要 无需修改Page 19放行Temp目录n作用：对temp目录放行n说明：本组主要包含temp目录、IE临时目录、回收站、输入法配置、最近打开文档缓存、预读缓存等多数程序均会操作的文件及目录 可自行添加/修改n注意！本组内的IE临时目录受优先级更高的【拦截】网马防御组限制 不推荐修改组优先级Page 20放行移动设备

7、n作用：对移动设备目录放行n说明：本组对象为移动配备的盘符 可自行根据自己电脑的移动设备盘符进行修改Page 21【拦截】网马防御n作用：对网马的创建进行拦截n说明：如无必要 无需修改Page 22保护重要文件n作用：对系统启动重要文件、个人重要文件进行保护n说明：如果你有重要文件可添加至本组进行保护Page 23【拦截】黑名单n作用：对病毒常会创建的高危文件 如反转后缀文件 伪装系统文件等进行拦截n说明：如无必要 无需修改Page 24RD部分规则说明nRD部分规则不必修改 保持原样即可nRD规则均设置规则注释 如不明白规则作用可参考注释Page 25AD部分规则说明n注意！在部分程序组的组

8、文件规则中已经阻止读取保护影音文件 保护游戏文件 保护个人文件 以防止程序读取导致个人信息泄漏 如影响使用可自行修改规则 如图Page 26【拦截】驱动加载【拦截】敏感命令 过滤全局钩子 过滤进程劫持 过滤创建进程 过滤Com接口n作用：以上几组均为全局规则 用于弹窗注释报毒n说明：如无必要 无需修改Page 27过滤进程劫持n作用：用于保护进程不被病毒恶意劫持n说明：如有需要保护的进程可参照已有规则自行添加。如右上图n注意！规则默认已添加各AD程序分组以进行保护，只需将程序添加至各AD程序分组即可Page 28限制低权限n作用：添加至本组内程序仅有少许权限 大部分权限均默认阻止 用以对陌生不

9、安全程序进行行为限制n说明：可自行将需要以低权限运行的程序添加至本组中Page 29文档程序组 n作用：对Office类软件进行行为限制 防止权限过大n说明：在组文件规则中已允许对doc等文档文件进行操作 如有其它需要操作的文件可参照已有规则自行添加 如左下图n组内已有WPS、EmEditor软件规则 可自行添加、修改n如组默认权限规则、组文件规则中的限制规则影响使用可自行修改 如右中、右下图（其余程序组亦同）Page 30设计程序组n作用：对PhotoShop、CAD类设计软件进行行为限制 防止权限过大n说明：如组默认权限规则、组文件规则中的其它限制规则影响使用可自行修改 如图n组内已有Po

10、toshop CS5软件规则 可自行添加、修改Page 31联网程序组n作用：对网络程序的进行行为限制 防止权限过大或泄漏隐私n说明：由于为防止联网程序传输本地文件至互联网服务器 因此在组文件规则中限制较严n如组默认权限、组文件规则中的限制规则影响使用可自行修改 如图Page 32下载程序组n作用：对下载软件进行行为限制 防止后台扫描本地磁盘隐私文件n说明：与联网程序组一样为防止本地文件被传输至互联网因此在组文件规则中限制较严 以防止个人信息泄漏 如影响使用可自行修改 如图Page 33聊天程序组n作用：对网络聊天软件进行行为限制 防止权限过大n说明：组文件规则中限制较严 以防止个人信息泄漏

11、如影响使用可自行修改 如图Page 34本地程序组n作用：对无联网功能的本地软件进行行为限制 防止权限过大n说明：如组默认权限、文件规则中的限制规则影响使用可自行修改 如图Page 35游戏程序组n作用：对游戏软件进行行为限制 防止权限过大n说明：如组默认权限、文件规则中的限制规则影响使用可自行修改 如图Page 36Web浏览器n作用：对浏览器软件进行行为限制 防止权限过大n说明：如组默认权限、文件规则中的限制规则影响使用可自行修改 如图Page 37限制系统程序n作用：对容易被病毒调用的系统自带程序进行行为限制 防止权限过大n说明：本组主要针对容易被病毒利用的系统自带程序 可参照已有规则自行添加、修改Page 38允许系统程序n作用：对系统自带程序进行行为限制 防止权限过大n说明：本组主要针对没有太大危险性的系统自带程序 可按照已有规则自行添加、修改Page 39安装程序组n作用：对安装程序放行大多数权限 以方便安装n说明：如有安装程序需要运行 可尝试将其添加至本组中 本组已开放较大权限Page 40信任程序组n作用：对信任软件完全开放权限n说明：如有可信任程序 可将其添加至本组中完全信任Page 41【拦截】黑名单n作用：对一些病毒经常会利用的文件名 如反转后缀名、伪装系统程序名等进行拦截n说明：如无必要 无需修改