Malware Defender 风霜规则说明.ppt

1、Malware Defender 风霜规则说明,2012年8月11日版,特别说明：,Malware Defender为手动型HIPS软件，因此仅适合熟悉系统、应用软件高级操作、对HIPS使用有一定基础的用户 本规则仅供技术交流。 本规则不会自主破坏用户硬盘内数据。如因使用本规则不当导致系统、应用软件运行出错、数据丢失等损失，本人概不负责，由使用者自行承担 本规则适用系统版本：Windows 7 本规则适用MD版本：2.8,使用须知：,本人的系统位于C盘，由于规则众多，可能会有些规则仍然使用的是绝对路径，而非使用通配符，如你的系统安装在其它盘，还需自行修改规则路径，以免规则失效 本人系统为win

2、dows 7 专业版 可能有些系统中的程序在我使用的系统中并未被使用或已经优化删除，对于此类情况，需自行添加规则，以免影响正常使用 本规则前身为MD“防御规则”，使用该规则的网友亦可下载本规则使用 本规则是以最大限度保障系统安全、限制正常及灰色软件非用户需求的不规范动作、防御病毒木马破坏为出发点。因此规则稍偏严厉，有可能会限制到正常软件乃至某些系统正常行为的运行，所以在使用前，务必阅读规则说明,规则使用步骤：,1、导出自己的软件规则 2、关闭MD保护并退出 3、复制本规则到MD安装目录 4、将本规则设置为当前规则 5、导入之前导出的软件规则 6、参照本说明调整规则 7、开启MD保护并使用MD学

3、习模式重启系统 8、切换MD为正常模式并删除无效规则,规则特点：,本规则注释全，可弹窗报毒，可随时通过注释了解规则作用，创于07年EQ时代 本规则分程序规则、组规则、全局规则三层保护 各个程序分组赋予权限各不相同，易于管理及集中降权 没有秒杀规则，可直接询问框排除、亦可手动添加至程序分组内，简单易用 规则组名称全部修改为目前流行的格式，清爽直观,个人建议：,建议将下载软件的下载目录设置为除Program Files、桌面、“我的文档”及系统盘以外的固定目录 建议将软件安装于除系统盘以外的固定目录 建议手动添加程序列外规则而不是使用学习模式,FD部分规则说明,全局全局规则,作用：FD部分最后的全

4、局规则组，用于进行全盘拦截操作 说明：本组内含 ?*全局文件规则，如影响日常使用，可以自行禁用 如图,全局命名管道,作用：本组对命名管道(namedpipe)操作进行限制 说明：如影响日常使用，可以自行禁用 如图,全局常见文件,作用：本组即对已有规则的常见文件进行保护又可限制未知程序创建 说明：如果你有别的文件需要保护可自行添加 如图,保护程序目录,作用：对安装的应用程序目录进行保护 说明：本组默认只有?:program files规则 如你的软件还安装在别的目录，可自行添加以进行保护 如图,保护影音文件 保护游戏文件 保护个人文件,作用：对存储于本地硬盘内的影音、游戏和个人文件进行保护 说明

5、：可自行将文件目录对应加入上述3个组中进行保护,保护系统目录,作用：本组对系统目录进行保护 说明：如无必要 无需修改,保护系统配置,作用：本组保护的是系统及自带软件的配置文件目录 说明：如无必要 无需修改,保护桌面/菜单,作用：本组主要对系统桌面、快速启动及开始菜单进行保护，防止软件自行添加桌面图标 说明：如有在桌面随意放置图标的习惯可自行将对应规则禁用,保护网络隐私,作用：对RSS、Cookies、收藏夹、IE缓存等网络隐私文件进行保护，防止隐私泄漏 说明：如无必要 无需修改,【拦截】启动目录,作用：本组拦截的是2个开机启动目录，防止软件自行添加开机启动项 说明：如无必要 无需修改,放行我的

6、文档,作用：本组对我的文档目录和WIN7 库目录进行保护 说明：如无需要 无需修改,放行Temp目录,作用：对temp目录放行 说明：本组主要包含temp目录、IE临时目录、回收站、输入法配置、最近打开文档缓存、预读缓存等多数程序均会操作的文件及目录 可自行添加/修改 注意！本组内的IE临时目录受优先级更高的【拦截】网马防御组限制 不推荐修改组优先级,放行移动设备,作用：对移动设备目录放行 说明：本组对象为移动配备的盘符 可自行根据自己电脑的移动设备盘符进行修改,【拦截】网马防御,作用：对网马的创建进行拦截 说明：如无必要 无需修改,保护重要文件,作用：对系统启动重要文件、个人重要文件进行保护

7、 说明：如果你有重要文件可添加至本组进行保护,【拦截】黑名单,作用：对病毒常会创建的高危文件 如反转后缀文件 伪装系统文件等进行拦截 说明：如无必要 无需修改,RD部分规则说明,RD部分规则不必修改 保持原样即可 RD规则均设置规则注释 如不明白规则作用可参考注释,AD部分规则说明,注意！在部分程序组的组文件规则中已经阻止读取保护影音文件 保护游戏文件 保护个人文件 以防止程序读取导致个人信息泄漏 如影响使用可自行修改规则 如图,【拦截】驱动加载 【拦截】敏感命令 过滤全局钩子 过滤进程劫持 过滤创建进程 过滤Com接口,作用：以上几组均为全局规则 用于弹窗注释报毒 说明：如无必要 无需修改,

8、过滤进程劫持,作用：用于保护进程不被病毒恶意劫持 说明：如有需要保护的进程可参照已有规则自行添加。如右上图 注意！规则默认已添加各AD程序分组以进行保护，只需将程序添加至各AD程序分组即可,限制低权限,作用：添加至本组内程序仅有少许权限 大部分权限均默认阻止 用以对陌生不安全程序进行行为限制 说明：可自行将需要以低权限运行的程序添加至本组中,文档程序组,作用：对Office类软件进行行为限制 防止权限过大 说明：在组文件规则中已允许对doc等文档文件进行操作 如有其它需要操作的文件可参照已有规则自行添加 如左下图 组内已有WPS、EmEditor软件规则 可自行添加、修改 如组默认权限规则、组

9、文件规则中的限制规则影响使用可自行修改 如右中、右下图 （其余程序组亦同）,设计程序组,作用：对PhotoShop、CAD类设计软件进行行为限制 防止权限过大 说明：如组默认权限规则、组文件规则中的其它限制规则影响使用可自行修改 如图 组内已有Potoshop CS5软件规则 可自行添加、修改,联网程序组,作用：对网络程序的进行行为限制 防止权限过大或泄漏隐私 说明：由于为防止联网程序传输本地文件至互联网服务器 因此在组文件规则中限制较严 如组默认权限、组文件规则中的限制规则影响使用可自行修改 如图,下载程序组,作用：对下载软件进行行为限制 防止后台扫描本地磁盘隐私文件 说明：与联网程序组一样

10、为防止本地文件被传输至互联网因此在组文件规则中限制较严 以防止个人信息泄漏 如影响使用可自行修改 如图,聊天程序组,作用：对网络聊天软件进行行为限制 防止权限过大 说明：组文件规则中限制较严 以防止个人信息泄漏 如影响使用可自行修改 如图,本地程序组,作用：对无联网功能的本地软件进行行为限制 防止权限过大 说明：如组默认权限、文件规则中的限制规则影响使用可自行修改 如图,游戏程序组,作用：对游戏软件进行行为限制 防止权限过大 说明：如组默认权限、文件规则中的限制规则影响使用可自行修改 如图,Web浏览器,作用：对浏览器软件进行行为限制 防止权限过大 说明：如组默认权限、文件规则中的限制规则影响使用可自行修改 如图,限制系统程序,作用：对容易被病毒调用的系统自带程序进行行为限制 防止权限过大 说明：本组主要针对容易被病毒利用的系统自带程序 可参照已有规则自行添加、修改,允许系统程序,作用：对系统自带程序进行行为限制 防止权限过大 说明：本组主要针对没有太大危险性的系统自带程序 可按照已有规则自行添加、修改,安装程