【Hips规则设置知识和一般注意事项】----墙友之家（cavalier）注明：此贴为转帖，作者墙友之家 cavalierHIPS分智能和手动两种。菜鸟喜欢智能，觉得省事；有一定基础的用家都钟情手动，可以自定义规则。HIPS的效果，除了软件本身的水平及质量之外，最重要的一项，就是规则了——没有规则或者规则不行，HIPS基本上也就相当于是个废品。 HIPS规则怎么写，这是一个永恒的话题，恐怕永远都不会有终结的论断。能被大家认可的常用方法和基本模式，是存在的。 除了极少数厉害的高手，相信大多数的新手，都是从学用他人规则开始的，慢慢的摸索和理解，最终有所认识。爱折腾的就自己动手修改。有闲心的就学着自己写，只是自家用的，路径什么的就随便了，打算发出去交流或者是希望别人来试用自己的规则的，通常会用通配符。 规则的做法，对于计算机知识功底好的人，可能很简单，而对于大多数处于一知半解之间的用家来说，可能并不是一件轻松事。作为话题探讨，xx无事，我这个半吊子就乱弹一通吧，说错的请指正，大家相互交流。 先从FD与AD规则入手，可能是比较容易掌握的方法。一个病毒要想作乱，首先要进驻本机，然后运行起来，才能造成破坏，把这个途径给它灭了，基本上也就“拒敌于城门之外”。病毒木马是如何攻陷“城门”的呢？一个主要的途径是上网。浏览器上了病毒网页，病毒木马就顺势进入浏览器的缓存目录，然后进入临时文件夹生产xx作乱。因此，看好系统大门，严防病毒进入浏览器缓存和临时文件夹，是必须用规则来禁止的。FD规则，可以禁止在浏览器缓存目录生成exe和dll等文件，可以禁止浏览器缓存目录内的文件向用户临时文件夹（C:\Documents and Settings\*\Local Settings\Temp）里生成exe等可执行文件【{jd1}点的做法可以禁止生成任何文件】，也可以考虑禁止浏览器向系统目录等要害部门创建exe等文件【全部禁止浏览器创建exe文件的话就无法使用浏览器下载安装文件了】。相应的AD规则，可以用最严厉的手段，禁止浏览器缓存目录所在的C:\Documents and Settings路径下禁止运行程序，但是这样一来，程序安装时解压安装文件到该路径下面的用户临时文件夹里运行就被拦截，需要做例外规则排除，一些程序的运行也会使用用户临时文件夹，也要做例外排除，火狐的升级和flash播放器在C:\Documents and Settings下面的用户数据里面的相关dll文件之类的也需要例外放行。不用这种严厉的方法，还有一法就是，禁止浏览器的缓存目录里的任何父程序在用户临时文件夹里运行任何子程序，同时禁止浏览器在浏览器缓存及用户临时文件夹里运行任何程序。{zh1}，禁止任何程序在系统临时文件夹（C:\WINDOWS\temp）里运行。这样，基本上可以把好{dy}关。其它上网程序也可以作相应的考虑。 FD规则还要考虑的一个问题，是对重要文件的保护——例如%systedrive%\ntldr，%windir%\explorer.exe，%windir%\system32\userinit.exe……等。你还可以把自己认为重要的文件，例如*.GHO文件和你自己的私人文档等，也给它保护起来，禁止对它们进行修改删除乃至创建。 接下来的第二关，假设病毒已经进入本机，发作运行后，就要向硬盘上写文件了。它都会写到哪里呢？网上有人总结了20大病毒藏身地，可以参考。一般来讲，病毒{za}写入和藏身的地方，一个是系统的备份文件卷（?:\System Volume Information），一个是回收站（?:\RECYCLER），一个是根目录（?:\），一个是Windows目录（C:\WINDOWS），还有几处，一般是计划任务，cookies，开始菜单（*\「开始」菜单\程序\启动\*）……把这些地方防范住，禁止写入exe等文件，并且禁止从这些地方运行程序【C:\WINDOWS里要排除系统的正常程序】。到这里，你的规则基本上具有初步的防毒能力了。 蠕虫病毒会感染系统里的可执行文件【主要是改写或替换exe文件】，于是有这样的方法，禁止任何东西修改计算机里的任何exe文件。这样一来是防止了，但是麻烦也来了，安装程序，或者是自己移动exe文件的时候，像EQ这样的HIPS都会阻止你对exe文件的修改，于是你得做例外规则来放行。其实这个问题的解决，还可以这样：如果你有条理，爱整洁，下载的软件不会到处乱放，那么，除了代表使用者你的资源管理器（explorer）和winrar【打包和解压要用】外，禁止任何程序对你的软件存放处的创建、读取、修改、删除，那么你的软件也就不用担心被病毒感染了【EQ里面，所有程序规则里写上禁止对软件存放处的读改删，然后做explorer和winrar的例外】。借用和发挥一下这种思想，除了系统程序、program files里的程序、你自己安装的绿色软件、游戏、软件存放处的程序可以运行，其它任何地方的可执行文件禁止运行，如果病毒不在以上位置，那么它怎么运行呢？即使你去点击它，它也一样运行不了啊。可能你会抬杠说，我单奔，我怎么知道有毒没毒，万一下的是个毒而被放在了软件存放处呢？一般性的毒，HIPS和它的规则抗得住，不用担心。为防万一超牛的大毒，你可以弄个绿色版的大蜘蛛来摆着，不放心的话，下载后的东东先用蜘蛛扫一遍，xx后再存放进入软件仓库。 病毒运行时，还会调用cmd.exe等工具，所以AD规则里进一步限制cmd.exe之类的高危程序的运行，可以取得更好的防毒效果。网页木马和病毒通常会调用cscript.exe和加载scrrun.dll等，对其限制或禁止，收效更佳。关于这方面的资料，一个最简单省事的方法，就是从大牛们放出的规则里面照抄，还有一个，就是网上去查找了。 当然，AD规则其实很复杂，涉及到系统方面的相关知识和术语【钩子、线程、API函数……】最多，很不易掌握。呵呵，没法子，自学吧，不懂的百度谷歌或者向人请教，图省事就照抄大牛的。 病毒发作之后，会改写注册表，甚至一些不良网站，你上网时它都在后台把你的注册表给改了。所以{zh1}一关，要考虑RD规则。注册表规则也是很烦人的东西，真要做好，需要对注册表了解很透，估计一般人做不到，那就照搬吧——自动运行、winlogon、系统设置、IE设置、文件关联，这几大要害项目一防，RD规则也就差不多了，剩下的补充完善，可以网上看病毒分析和播报，收集遗漏的注册表保护项目进行补丁。 这样弄下来，基本上可以了，一般的日常使用不成问题。如果要问什么规则才最厉害？按照“实践是检验真理的{zh0}标准”，自己弄大毒来虚拟机里试吧，看规则和软件是否扛得住？如果不会弄而把机子弄坏了，那就恭喜吧，可以升级硬件啦，哈哈……