以下在EQSecure E盾 2007 V3.3中调试
仅在黑名单中建立规则,分两大类,其他所有程序规则,应用程序规则全部为空
1.C盘:监控可执行文件 询问并阻止创建,修改,删除可执行文件,监控文件类型,如c:\*.exe/*.bat/*.com/*.cmd/*.scr/*.sys/*.dll/*.pif/*.vbs/*.vxd/*.js等,记录日志,应用于子目录 所有程序均安装于C盘,C盘分区应该大一些
2.C盘以外的分区:监控目录:(其实是监控目录下所有文件)阻止创建修改删除文件,应用于子目录。内有需要防护的文件,只读属性。如“光标漏洞”蠕虫会感染本地磁盘中的exe文件和网页文件。d盘e盘所有以@-开头的多个目录都是只读目录,需要监控的目录前加“@-”只读标志,即可保护之,不用改FD规则
或者可以设置分区整个为监控分区,如规则“d*”
综上所述,16条规则可以达到全盘防护的效果
病毒行为判断原则:(根据3D防护提示信息,总原则:规范程序行为)
1.安装软件时提示信息多有该软件的相关信息,此为正常行为,若创建与该软件无关的文件要小心,可能是该软件的辅助文件,可能是病毒,有时要看它的AD,RD行为,具体问题具体分析
2.在系统目录下创建类似于常见系统文件名的行为要注意(不见得所有系统文件名称均熟悉)
3.修改删除exe文件,网页文件的行为多是病毒行为,如威金熊猫光标病毒,此类行为为FD重点监控对象
4.向注册表添加自启动信息的小心
5.根目录下创建autorun.inf文件要小心,特别是拔插USB设备时
6.一般让谁运行就只让谁运行,双击运行一个程序,它又引起其他可执行文件的启动,此时要小心
7.小心一切自己未点击运行的自启动程序及相应行为
杀毒软件及防火墙平时可以不开,感觉中毒时全盘扫描一下。如果万一中毒无法清除的话,先删除非监控目录下的文件,用GHOST XP恢复系统至C盘即可,不用全盘格式化
EQ的FD RD AD三防(或者EQ的FD和SSM 的AD和 RD)配合使用应该是完美组合,应该能防止威金、熊猫、光标等恶性病毒
附件:
740832200751211804.jpg