Malware Defender 温馨规则
Malware Defender温馨规则
本规则适用于32位的XP/Vista&Win7,MD版本为2.7.3,不适合2.7.2及更低的版本。
1、使用方法
●方法1:下载本规则,解压出.dat文件,将其改名为rules.dat。退出Malware Defender并停止保护,将改名后的规则复制到MD的安装目录并替换原规则文件(替换前建议本备份原规则);
●方法2:下载本规则,解压出.dat文件。MD主界面->规则->管理规则文件->导入->导入本规则->选中规则并“设为当前规则”。
2、基本功能
●阻止病毒偷偷进入电脑;
●阻止进入电脑的病毒运行;
●阻止已经运行的病毒搞破坏;
●阻止安装软件中的恶意程序和恶意行为;
●防止镜像劫持;
●主页保护;
●文件关联方式保护;
●自启动项保护;
●办公文档保护;
●图片资料保护;
●影音文件保护;
●个人隐私保护(需自行完善);
●个人帐号保护(需自行完善);
●个人重要资料保护(需自行完善);
●重要资料、文件保护(需自行完善);
●个人资料防止偷偷被复制(需自行完善);
…………
等等等等……
3、注意事项
●开启mdhook.dll注入
本规则必须开启mdhook.dll注入,否则核心规则无效!开启方法:选项->保护->取消勾选“禁用mdhook.dll”->确定。
●修改/添加程序目录位置
默认情况下,程序或游戏可以放入?:\Program Files\*\和?:\Game\*\下。如果你的程序/游戏都不再这个位置但是位置比较固定,则需要自行将自己的程序目录添加到“应用程序通用规则”程序分组中。如果你的程序位置非常的杂乱无章,那么在运行程序首次弹窗时为其创建规则并将其添加到“应用程序通用规则”程序分组中。所以使用本规则,程序可以安装在任意位置(个人建议最好固定)。
●建立规则
本规则为非完全安静的规则,也不是弹窗非常多的规则。创建程序规则无需依赖于学习模式。运行程序时弹窗是用来建立规则的,不是用来判断的。运行程序首次弹窗时,为其创建规则并添加到合适的分组(方便管理、使规则看上去整洁)。由于规则给予应用程序通用的权限,难免会有部分程序的动作会被阻止。如果不影响使用就不必排除了;如果程序使用不正常,那么到日志中找到相应的日志创建允许规则即可:选中阻止的日志->右键->创建允许规则。部分自己认为可信的且排除量比较大的程序可以直接给予“基本可信”的权限。经过简单的排除,自己的规则就建好了~
●安装程序
使用本规则可以安装软件,安装文件可以位于任意位置。安装程序弹窗时,为其创建规则并将安装程序添加到“询问安装程序规则”程序组。如果安装程序要运行临时文件夹下的程序,那么将子程序也添加到“询问安装程序规则”程序组,否则程序安装会不成功。
●全局禁运
用HIPS来玩毒和分析程序行为的毕竟是少数,所以全局禁运还是有一定的价值的。调整好规则以后,开启安静模式即可实现全局禁运——除了你自己建立的程序规则外,其余一切未知程序都无法运行,很好很省心,超赞超给力~享受高于裸奔的快感~
●例外规则
前面说到的,由于应用程序给予的是通用的放行规则,难以保证所有程序的正常使用,因此设置了部分例外规则。规则中[AG]×××××(允许××)的程序组都是例外规则,注意这些规则不是独立的规则,而是依赖于“应用程序通用规则”的。所以如果你的这些程序的路径不在“应用程序通用规则”组中,必须添加(可以复制过去),具体可以看规则中的Chrome的规则。
●完善路径
规则具有很大的个人因素,尤其是路径。本规则已经将基本的构架写了出来,能否达到最大的功效还得看大家自己完善程度如何。建议将自己的需要保护的东西根据规则中的提示添加到相应的分组中(主要是文件组),如个人隐私文件、重要的程序、资料文件等。
4、规则简要介绍
●规则思路
规则采取的是全局阻止大部分、允许少部分动作(方便测试某些不太信任的程序、病毒等)、应用程序采取通用且可控的放行规则 部分例外规则、基本的系统程序通过学习模式创建规则、部分危险程序和敏感位置直接禁运的思路。全局严格阻止可执行文件的创建,做好入口防御。全局阻止就没有什么好说的了,系统程序也只是给予了最基本的权限,也掀不大浪,规则的安全点完全取决于“应用程序通用规则”的强度。而“应用程序通用规则”也是采取了不完全信任的思路,只给予最基本的权限,大部程序都会修改的项目给予统一的放行,避免重复编写规则。而且应用程序目录里的程序要运行必须经过你的允许。事实上,在应用程序下的病毒也不会很多的,更多病毒的是喜欢扎堆在%SystemRoot%下。而%SystemRoot%下的程序都是单程序单规则,如果这个目录下有病毒的话,是由“所有程序通用规则”来限制的。
●规则框架
受毛豆的规则框架影响比较大,本规则在应用程序规则中已完全将4D规则设置完毕,方便查看规则。所以,从毛豆转用MD的童鞋会感觉不到差别;习惯了EQ和MD规则框架的各位
●程序秒杀
毛豆中可以通过监控*\Windows\ApiPort来实现程序的秒杀。所谓秒杀就是允许则程序能运行、阻止则不能运行。经过一定的摸索,发现在开启mdhook.dll注入的情况下MD中可以通过控制程序读取%SystemRoot%\System32\mdhook.dll来实现程序的秒杀。由于任何程序运行都必须允许读取秒杀文件,通过弹窗询问可以方便地创建规则,从而不必依赖学习模式来创建规则。规则调整好以后,开启安静模式即可方便的实现全局禁运,非常的方便。
PS1:作为非程序分析员的普通用户,个人认为使用规则在保证基本安全的基础上尽量减少弹窗交互,设置少量弹窗用来方便建立规则。规则调整好后就是“享受”的时光了。如何能够高枕无忧地享受MD带来的安全感呢?我想,禁运无疑是最简单的——除了自己写好的规则,其余一切阻止运行。因为只要让病毒运行起来了,规则或软件本身还是会有被突破的可能。此外,使用纯手动的HIPS,仅仅用来防毒完全是大才小用。当然,首先得确保足够安全,否则规则被病毒突破了,其他的一切的一切都将是浮云~
PS2:感谢sanhu35和左手两位大大的建议。虽然本人也用过一段时间的HIPS软件,但是受本人水平和精力所限,规则如果有什么问题,欢迎大家提好的建议^-^
========================================================
规则下载【2011-08-17】:
Malware Defender 温馨规则
依然是更新内容太多了,就不再详细描述了~~大概说一下比较重要的改变吧~
1、应用程序全局规则*不再在应用程序规则中完全部署,RD、FD、ND移到外面;
2、更改规则分组的标识与位置,方便分辨与查找;
3、简化FD分组,能合并的尽量合并,删除部分组,主要控制可执行文件;
4、规则中所有的分组全部是独立的规则组,不再设置继承关系。应用程序可以安装在任意位置,只要按提示添加到相应的分组基本都能运行。
其余的太杂了就不细述了……规则框架到现在算是已经比较稳定了,以后的更新可能也比较少~
PS3:一直在用这套规则单奔,也许由于个人的习惯比较好,偶尔试一下毒,半年了,电脑依然没有出现什么意外的情况。由于个人的认知水平有限,规则并不完美,也没有是什么技术含量,个人感觉用着舒服就行,其余的管它呢……呵呵~