回复: 大家一起防木马----我们需要模块式规则(1.28更新)
木马行为编辑器器规则应个性化使用
无论是奇才也好还是楼主也好都想作一个通用规则。这才是错误所在。木马行为编辑器是作为个性化工具给大家使用的。编通用规则,瑞星工程师会比你们这些业余水平的人差吗?作为业余人士,我们要做的是用木马行为编辑器编适合自己电脑的规则。这个规则要比瑞星官方内置通用规则更灵敏,否则不如用瑞星官方规则好了。瑞星通用规则要照顾到广大群众,各种操作系统,各种使用环境,各种水平的人,含很菜的菜鸟,所以它不可能很灵敏。作为瑞星是不能容忍误报的,而我们不同,我们要的是灵敏,有一些误报,就加入白名单好了。当然白名单要尽可能少。无论你规则编的多细多好,如果有病毒能在启动后在RING3下就能结束瑞星进程,使得瑞星主动防御失效,那么这些规则都形同虚设。如果你编一个规则,只要后台进程一起动就能发现,那么再厉害的病毒都能防住。当然,这不可能作为一个通用规则。它的防御功能绝对是最好的,但是误报也是避免不了的。但是具体到个人就有可接受有不可接受的了。 我编了这么一个规则:如图。
Snap28.jpg (13.57 K)
2009-1-28 14:02:25
考虑到病毒几乎都有在系统盘创建并启动进程,即使有病毒在非系统盘创建并启动进程也必然有在系统盘创建并启动进程的行为。所以我只选择了系统盘。我的程序都安装在非系统盘,再加上木马行为编辑器只对无窗口 程序有效,所以误报也并不多,又能最大限度的防御。只需要加入少量的白名单。规则少占用资源少,其他的交给瑞星官方规则好了。官方规则不会差的。一般误报都是一些后台更新程序。把程序装在非系统盘就会好很多。我取消各种程序的自动更新,因为我用USER帐户,更新一般不好用。以上就是我根据自己的电脑情况编适合自己的规则。每个人都要根据自己的情况来使用木马行为编辑器。你当然可以编一些比这更细的规则,但是太细了就不好了,那不如用官方规则好了。比如奇才和楼主防感染病毒,防盗号木马等,太细了,病毒特征太明显,瑞星官方规则不可能对此没有防护。这样的规则只是重复了而灵敏度没有提升,没必要
