查看完整版本: 魔法盾 EQSecure

魔法盾 EQSecure

[img]http://www.eqspywatch.com/images/index_03.jpg[/img]
魔法盾 EQSecure 是一款Hips类型的软件，此类软件可以由用户通过编制规则来实现对系统各类操作的自由控制，计算机程序的每一个动作，经用户允许方可执行，未经允许则不能执行。用户通过预设规则，对正常的操作给予允许，对有害动作加以阻止，从而防御有害程序的入侵和破坏，达到保护计算机系统的目的。其与防毒程序的不同在于：防毒程序是通过对已知病毒的查杀来起到保护作用，对新出现的未知病毒没有作用，具有滞后性；而Hips类软件是通过对程序操作动作的控制来实现防护作用，不依赖于病毒库，具有超前性，可以有效预防未知病毒等各种有害程序。尤其在各种木马程序、流氓程序层出不穷的今天，传统杀毒软件疲于奔命，显得苍白无力，Hips类软件的防护作用就越来越突出。

　　魔法盾 EQSecure 正是这类软件中功能突出的一款国产软件。目前包括应用程序控制、注册表控制和文件控制三个方面。应用程序控制包括对应用程序的运行、库文件加载、驱动程序加载、物理内存访问、物理磁盘读写、服务安装等22项动作的控制；注册表控制包括对注册表项及值的创建、修改、删除的控制；文件控制包括对文件及文件夹的创建、读取、修改、删除以及隐藏的控制，控制全面且细致。

一个病毒想要达到入侵并运行的目的，首先要能将自身文件复制到计算机的硬盘上，其次要通过写注册表等方式实现自动运行，并且在运行时不会受到拦截，其中只要有一个环节不成功，病毒就不能得逞。而魔法盾 EQSecure 的防护是三个环节同时进行的，是三位一体的立体式防护，防护全面而彻底，从理论上讲，只要规则设置得够全面、严密，就可以防止一切已知或未知病毒的入侵。

　　不仅如此，魔法盾 EQSecure 还加入了沙盘的功能，通过开辟一块儿虚拟空间，使可疑程序对计算机系统的操作只在虚拟的空间里进行，保证程序正常运行的同时，避免实机系统受到病毒破坏。 HIPS与沙盘的有机结合，使魔法盾在安全性和易用性上都提升了一个台阶，这在世界上也是一个首创。
[img]http://www.eqspywatch.com/images/about_03.gif[/img]
EQSecure E盾通鉴
第一章  软件相关
1、官方网站：http://www.eqspywatch.com/
官方论坛：http://www.eqspywatch.com/bbs/

2、EQSecure控制面板－“系统保护”－“保护模式”：
2.1“普通模式”为日常使用的模式；
2.2新建一个“安装模式”，当安装或卸载程序时切换至该模式。

3、EQSecure控制面板－“综合”－“设置”－“密码保护”中密码忘记的解决办法：
先退出EQSecure，然后删除HKEY_CURRENT_USER\Software\EQSysSecure即可。

4、保存规则：将EQSecure安装目录下的名为“EQSysSecure”的XML文件copy出来保存，即保存了所有的规则，若需要使用时先退出EQSecure，然后将“EQSysSecure”拷贝回安装目录覆盖原文件即可。

第二章  规则编制
1、规则的编制应当遵循“三个应当”，即应当是某一类行为的概括，应当具有总结性，应当以不影响日常使用为原则。
2、普通模式：日常使用的模式；
   安装模式：安装或卸载程序时需切换至该模式；
编制规则时若选择其中任何一个模式，当切换至何种模式时，规则就会响应何种模式并且忽略另一种模式，比如规则中仅仅选中“普通模式”，当我们切换至“普通模式”时这条规则就会起作用，而当我们切换至“安装模式”时，这条规则就相当于没有！若在规则中将两个模式都选中，那就表示该规则对于两种模式都会响应。
3、规则优先级的说明：
3.1“黑名单”>“应用程序规则”>“所有程序规则”；
3.2在同一类规则下，物理位置排在前面的规则优先级大于排在后面的规则；
3.3在“应用程序规则”中的规则，都有一个“搜索所有程序规则”的选项，把这弄清楚对于用户编制规则是相当的重要，下面分情况说明：
1）若选中该选项，则EQSecure首先会搜索该规则父进程下的子进程的拦截操作，如果没有则搜索“所有程序规则”，如果再没有则会执行该规则父进程的拦截操作，此时的优先级相当于“应用程序规则”子进程>“所有程序规则”>“应用程序规则”父进程；
2）若不选中该选项，则EQSecure首先会搜索该规则父进程下的子进程的拦截操作，如果没有则执行该规则父进程的拦截操作，此时的优先级相当于“应用程序规则”子进程>“应用程序规则”父进程。
4、规则越多，监控的负担越大！所以规则贵在精，而不在多，规则与规则之间应当相互配合，才能发挥各个保护的作用。
5、常用环境变量：
%SystemDrive% ＝ 系统盘
%WinDir% ＝ *\WINDOWS
%ProgramFiles% ＝ *\Program Files
%UserProFile% ＝ *\Documents and Settings\当前用户名
%AllUsersProFile% ＝ *\Documents and Settings\All Users
%Temp% ＝ *\Documents and Settings\*\Local Settings\Temp
%AppData% ＝ *\Documents and Settings\*\Application Data
%CommonProgramFiles% ＝ *\Program Files\Common Files
%ComSpec% ＝ *\WINDOWS\system32\cmd.exe
%UserName% ＝ 当前用户名
6、HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统：
FD：File Defend，文件防御体系，即文件保护
AD：Application Defend，应用程序防御体系，即应用程序保护
RD：Registry Defend，注册表防御体系，即注册表保护
HIPS是针对未知病毒采取的主动防御措施，即古语“防患于未然”，是网络安全的一个趋势，在HIPS的三种防御系统中，FD处在整个防御体系的最前沿，是整个计算机的门户，任何的入侵和攻击必将首先受到FD的阻击，所以FD是HIPS中至关重要的一关，当入侵过了FD这一关，接着会受到AD的拦截，AD将阻止病毒的运行，并与FD、杀毒软件一起阻止病毒的大规模破坏，而HIPS中RD是属于辅助防御的，它既不能阻止病毒的创建，也不能阻止病毒的运行，只能起到降低病毒造成的损失的作用，综上所述，FD因其特殊的防御位置，在HIPS中重要性最高，其次是AD，最后才是RD，当然了，三者其实各有所长，对于不同的用户群，FD、AD和RD都发挥着各自的能力。

第一节  应用程序保护
1、总纲：
1.1应用程序保护主要是针对日常使用所做的保护措施，对日常使用中的程序进行行为控制，因此应用程序保护的规则应当在日常使用通过EQSecure自动添加进入“应用程序规则”中。
1.2通过EQSecure自动添加进入“应用程序规则”中的规则，需要全部选中“普通模式”和“安装模式”。
1.3“所有程序规则”与“黑名单”只针对子进程，即任何父进程都可以操作该子进程，“应用程序规则”都是针对父子进程，即只有规则中的父进程才可以操作该子进程。
1.4不建议在“所有程序规则”添加程序，有两个原因：
1）因为日常使用中都是父子进程相互对应的操作，如果在“所有程序规则”添加程序，则任何父进程都可以操作该子进程，那么也包括了病毒在内，其安全性降低了。
2）EQSecure对规则的搜索首先是“应用程序规则”，即搜索进程，然后才是“所有程序规则”，因此，在应用程序保护中，如果将规则都设置在“应用程序规则”中，那么规则响应的时间必然减少，效率将会提高，这也是不建议在“所有程序规则”添加程序的一个主要原因。
1.5在拦截操作中的“加载库文件”，默认的拦截操作是允许，日志是否，即默认情况下任何程序都可以加载库文件，而且不报告，那这项拦截操作不就没有意义了么，当然不是，这项拦截很重要，之所以这样默认，是因为方便用户在编制规则之初可以不受这项拦截的阻挡，大多数的程序在运行时都要加载库文件，如果默认不是允许，还记录日志，那当我们打开程序时会弹出许多的对话框要我们点击，右下角也会弹出许多日志，到时候您那可爱迷人的小手不残废也会抽筋的，那是否这项拦截操作就始终是需要默认呢，当然也不是，当应用程序保护规则已经完全确定下来之后，即日常的使用都已经添加到规则中之后，就可以把“加载库文件”的拦截操作改为“询问并且允许”，日志选择“是”，此时它就可以起到防护的作用了。
1.6在“安装模式”中“加载库文件”应始终使用默认的拦截操作，即拦截操作是允许，日志是否，因为程序在安装时会不停的加载库文件，如果直接阻止的话，安装可能会失败，如果是询问的话，那弹出的许多对话框还必须每个都要点击“允许”，岂不多此一举了。
1.7待应用程序保护规则已经完全确定下来之后，即日常的使用都已经添加到规则中之后，应将所有的规则保存出来（具体可参考第一章的第4条），假设，此时若病毒运行，应用程序保护会弹出对话框提示用户操作，为避免用户重复点击，我们可以选中对话框中的“下次不再提示该操作”，从而可以更快捷的结束病毒的运行，但此时EQSecure并不知道这只是临时性的规则，它会当作永久性规则加入到“应用程序保护规则”中，当我们清除了病毒后，刚才那些阻止病毒运行的规则其实已经没有任何意义了，完全可以删除，此时，我们可以将病毒运行之前保存的规则重新覆盖当前的规则使规则还原，如此，“应用程序规则”中的规则就不会无休止的被添加了。

2、自定义规则：
黑名单：
2.1组：禁止从Temp文件夹运行程序
应用程序路：*\*temp*\*
拦截操作：阻止所有操作
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通
说明：临时文件夹包括系统的临时文件夹和IE的临时文件夹等等，在日常使用中是不会有任何程序会从这个文件夹中启动的，所以可以阻止这些文件夹中的程序做任何操作，但是当安装软件时，安装程序会在临时文件夹中创建一些程序然后运行，所以安装程序时就不能阻止操作了，因此在保护模式中不要选中“安装模式”，这样当我们切换至“安装模式”来安装程序时，这个规则就不会响应了。

2.2组：禁止从特殊文件夹运行程序
应用程序路：*\*Recycle*\*、*\System Volume Information\*
拦截操作：阻止所有操作
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：“应用程序路”中前者是回收站，后者是系统还原，有的病毒会在类似于这些比较不引人注意的文件夹中创建程序来运行，不得不防。
注意：“应用程序路”中被顿号隔开的是两个路径，因为对这两个文件夹所做的操作一样，所以就放到一起，中间用顿号隔开，易于归类，以下出现顿号隔开的均是不同的路径，不再赘述。

2.3组：禁止部分程序的运行
应用程序路：*\regedit.exe、*\format.*、*\autorun.inf
拦截操作：阻止所有操作
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：阻止regedit.exe是为了阻止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作；阻止format.* 是针对一些格式化病毒的防护措施；阻止autorun.inf是阻止某些病毒的自动运行。

第二节  注册表保护
1、总纲：
1.1“注册表路”：即注册表键或项，也就是规则所要选择的最终的值所在的键或项的路径；
“注册表”：在“注册表路”下，若任意值则写为*，若具体值则需详细写明该值；
“包含子键”：若选中即表示包含该“注册表路”下任何一级的项和值；
“忽略注册表数值”：若选中即表示忽略对注册表数值的操作。
1.2注册表保护不适宜使用全局的阻止，即“注册表路”与“注册表”均是*，因为该情况下，在“应用程序规则”中需添加相当多的进程才可使用户的一般日常使用得以进行（几乎日常使用的进程都得添加），若设置不当，可能系统的诸多进程都会受到限制，从而导致系统的不稳定，而进程添加的过多则无疑会使安全性大大降低，因此，注册表保护应是有针对性的对注册表的关键区域进行保护。
1.3注册表保护的内置规则已比较全面，且规则条数已经不少，因此这里的“自定义规则”只补充对部分敏感键值的保护。
1.4将EQSecure的内置规则的拦截操作中的“修改注册表内容”和“删除注册表”全部改为阻挡，将保护模式中的“普通模式”和“安装模式”全部选中！

2、自定义规则：
2.1所有程序规则：
2.1.1组：保护安全软件
注册表路：*\Kaspersky
注册表：*
读取注册表内容：阻止
修改注册表内容：阻止
删除注册表：阻止
包含子键：是
忽略注册表数值：否
保护模式：普通、安装
说明：虽然卡巴斯基有自我保护的能力，但是利用规则可以加强对杀毒软件的保护。这里用户可以根据自己的杀毒软件自行编制该规则。

2.1.2组：保护系统服务和驱动，禁止更改用户权限
注册表路：
*\SYSTEM\CurrentControlSet*\Services
*\SYSTEM\CurrentControlSet*\Safeboot
*\SYSTEM\CurrentControlSet*\Control\LSA
*\Software\Policies\Microsoft\MMC
注册表：*
读取注册表内容：允许
修改注册表内容：阻止
删除注册表：阻止
包含子键：是
忽略注册表数值：否
保护模式：普通
说明：“注册表路”中第一个路径表示“服务”，其中包含对部分的“驱动”和“用户权限”的限制，第二个路径表示“驱动”，第三和第四个路径是对“用户权限”的限制，“保护模式”中只选择“普通模式”，因为安装程序时有的程序会增加一些服务，如果阻止的话会导致程序不可用。

2.1.3组：系统设置
注册表路：*\Software\Microsoft\Windows\CurrentVersion\Policies\System
注册表：DisableRegistryTools、DisableTaskMgr
读取注册表内容：允许
修改注册表内容：阻止
删除注册表：阻止
包含子键：否
忽略注册表数值：否
保护模式：普通、安装
说明：DisableRegistryTools表示注册表编辑器，DisableTaskMgr表示任务管理器，因为是具体的“值”，所以不必“包含子键”，将这两个被保护项添加到“系统设置”系列规则中去，“系统设置”为EQSecure的内置规则。

2.2应用程序规则：
组：允许安全软件的任何行为
应用程序路：C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
拦截操作：允许所有操作
包含该目录下面的所有文件：是
搜索所有程序规则：否
忽略对目录的操作：否
保护模式：普通、安装
说明：允许杀毒软件的任何操作，这样当系统中毒时，杀毒软件可以不受任何影响的正常工作。这里用户可以根据自己的杀毒软件自行编制该规则。

第三节  文件保护
1、总纲：
1.1“文件路”：规则所要操作的文件或文件夹的路径；
“包含该目录下面的所有文件”：若选中即表示包含该“文件路”下任何一级目录中的文件；
“忽略对目录的操作”：若选中即表示忽略对该“文件路”下“目录”的操作。例如，若阻止在F盘中创建任何“文件”，当选中“忽略对目录的操作”时，即不允许创建“文件”，但允许创建“文件夹”，就是“目录”，新创建的“文件夹”下却依然不允许创建“文件”，当不选中“忽略对目录的操作”时，则既不允许创建“文件夹”，也不允许创建“文件”。
1.2文件保护中的“读取”、“修改”和“删除”是对已存在的文件进行的操作，对已存在的文件进行操作时会受到应用程序保护的拦截，这已属于了应用程序保护的保护范畴，但其功能远不如应用程序保护那样全面和细致，而“创建”操作，是唯一针对非本机文件所做的操作，因此文件保护的真正意义在于对文件的“创建”操作！
1.3文件保护中的“应用程序规则”里的规则多为进程，编制规则时会容易在这里形成盲点，因此特别说明一下，以C:\WINDOWS\Explorer.exe为例，拦截操作为允许创建操作，这里的意思并不是说允许在WINDOWS文件夹下创建Explorer.exe进程，而是在Explorer.exe父进程下允许创建新文件，这里的Explorer.exe指的是执行该规则的父进程。

2、自定义规则：
2.1所有程序规则：
2.1.1组：保护安全软件
文件路：*\*Kaspersky*\*
拦截操作：阻止创建、修改、删除
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：虽然卡巴斯基有自我保护的能力，但是利用规则可以加强对杀毒软件的保护。这里用户可以根据自己的杀毒软件自行编制该规则。

2.1.2组：保护系统进程
文件路：*\*alg*.exe、*\*csrss*.exe、*\*ctfmon*.exe、*\*Explorer*.exe、*\*IExplore*.exe、*\*lsass*.exe、*\*rundll32*.exe、*\*services*.exe、*\*smss*.exe、*\*svchost*.exe、*\*system*.exe、*\*winlogon*.exe、*\*wmiprvse*.exe、*\*wuauclt*.exe
拦截操作：阻止创建、修改、删除
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：保护常用的Windows进程，其重要性不言而喻，用户可根据使用环境自行调整。

2.1.3组：保护部分重要的文件和文件夹
1）文件路：%SystemDrive%\*
拦截操作：阻止创建、修改、删除
包含该目录下面的所有文件：否
忽略对目录的操作：是
保护模式：普通、安装
说明：该规则的目的是保护系统盘根目录下的文件，因此不要选中“包含该目录下面的所有文件”，但要选中“忽略对目录的操作”，因为在日常使用中有些程序会“修改”系统盘根目录下的文件夹，如关机时Explorer.exe会“修改”系统盘的WINDOWS文件夹，QQ等软件也会“修改”。

2）文件路：%WinDir%\system32\drivers\etc\hosts
拦截操作：阻止创建、修改、删除
包含该目录下面的所有文件：否
忽略对目录的操作：否
保护模式：普通、安装
说明：保护hosts文件，因为该文件的作用是包含IP地址和Host name(主机名)的映射关系，是一个映射IP地址和Hostname(主机名)的规定，属于系统文件。

3）文件路：*\autorun.inf、*.GHO
拦截操作：阻止创建、修改、删除
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：阻止autorun.inf是阻止某些病毒的自动运行；保护*.GHO是对系统备份进行的防护。

4）文件路：%UserProFile%\Favorites\*
拦截操作：阻止创建、修改、删除（将“修改”操作的“日志”改为“否”）
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：该规则目的是保护IE收藏夹，避免恶意程序在收藏夹中添加七七八八的网址，若用户需要添加网址到IE收藏夹，可暂停该规则，待网址添加后再启用，将“修改”操作的“日志”改为“否”原因是浏览器，如遨游在打开时会有“修改”操作，为避免频繁弹出“保护拦截消息”，故将“日志”改为“否”。

2.1.4组：允许在系统盘安装程序
文件路：%SystemDrive%\*
拦截操作：允许所有操作
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：安装
说明：该规则仅在“安装模式”下才会响应，目的是允许在系统盘中安装软件，该规则体现了EQSecure保护模式的强大作用，因为比较复杂，需要详细描述，下面分情况说明：
1）如果用户是将软件安装在非系统盘中，在保留这条规则的同时还需要再编制一条规则，且新编制的规则物理位置必须在该规则下面。比如将某软件安装在D:\123\中，就需要再重新编制一条规则，“文件路”为D:\123\*，拦截的操作等等均不变，因为有的软件不仅在安装目录下要创建文件，还依然会在系统文件夹中创建文件，所以需要两条规则，当然，如果直接将软件安装在系统盘的Program Files文件夹下，则只此一条规则足矣；
2）该规则与上面的2.1.3-1）规则不同的是这里“包含该目录下面的所有文件”，即安装程序时允许访问整个系统盘；
3）该规则的物理位置不可变动！因为在同一类规则下，排在前面的规则优先级大于排在后面的规则，据此，当安装软件时，虽然允许在系统盘安装，但该规则排在2.1.4的物理位置，所以即使安装程序带毒，但是却能阻止病毒程序破坏常用的Windows进程，同时也不会对系统盘根目录的文件和系统的备份造成损害，更不会破坏杀毒软件，只要杀毒软件不被干掉，说不定还有一线希望可以杀毒。这里我们做个假设吧，假设安装程序带的是熊猫烧香病毒，虽然部分系统文件将会被感染，但下面的2.1.5与2.1.6系列规则将会阻挡病毒感染系统盘之外的文件，这样我们就能将损失降到最低，只要重新GHOST系统就可以了，当然了，在EQSecure中还有应用程序保护和注册表保护在做着坚强的屏障，所以即使安装程序带毒，并且过了文件保护这一关，咱们也依然能让系统万无一失！

2.1.5组：限制部份高危格式文件和文件夹的操作
文件路：*.bat、*.chm、*.com、*.cpl、*.dll、*.exe、*.ini、*.js、*.msc、*.msi、*.ocx、*.pif、*.scr、*.sys、*.vbs、*.vxd、G:\Download\*、%UserProFile%\Cookies\*、%UserProFile%\Local Settings\History\*、%UserProFile%\Local Settings\Temporary Internet Files\*
拦截操作：具体阻止的操作详见“规则”，这里不再赘述
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：该系列规则目的是对部分危险度较高的格式文件阻止了创建、修改和删除等操作，属于2.1.6规则的配合类规则。允许Download文件夹下创建文件的目的是可以进行网页下载，其中包括从论坛上下载软件包，从网页上另存图片等等许多的操作，例如，要直接在网页上下载某个压缩包，可以先将其下载到Download文件夹下，再移动到需要的文件夹中，虽然这样做可能是麻烦了点，但是由于2.1.6规则覆盖面太广，除此之外笔者想不到更好的办法了，如果您有更完美的方法欢迎来EQSecure的官方论坛交流^_^。允许Cookies、History、Temporary Internet Files三个文件夹下创建文件的目的是让浏览器可以正常显示网页并且可以进行网页下载，这里不免有朋友要质疑，若网页带有病毒，那么该文件夹下允许创建任何文件，那岂非病毒也会被创建了，回答是否定的，因为该系列规则中物理位置排在前面的规则会过虑掉高危险度格式文件的创建，绝大部分病毒因此已经被阻挡在计算机之外。这里用户可根据自己的实际情况自行添加危险度较低的格式文件或文件夹。

2.1.6组：禁止在计算机中创建、修改、删除任何文件
文件路：*
拦截操作：阻止创建、修改、删除（日志全部为“否”）
包含该目录下面的所有文件：是
忽略对目录的操作：否
保护模式：普通、安装
说明：该规则属于FD的极致规则，与2.1.5系列规则一同构成文件保护的核心规则，这两个系列的规则相互配合对文件保护来说，只有四个字方能概括：包罗万象^_^，其是整个文件保护的灵魂所在，与应用程序保护相配合基本可以实现对计算机的全面控制，因此，这两个系列规则是文件保护的精髓，亦属于文件保护的代表性规则。该规则的目的是对计算机中新文件的“创建、修改、删除”等操作进行全面的控制，如此，即使在安装模式下当安装程序携带病毒，也依然能够阻止病毒驻留在非系统盘中，或阻止病毒对非系统盘的任何文件进行非法操作，将危害降到最低，对非系统盘的危害更是直接降到零，前面的2.1.4规则的说明已解释的非常清晰了，这里不再赘述，拦截操作的日志虽然都为“否”，但是2.1.5系列规则中会对高危格式文件的拦截操作进行记录并显示保护拦截消息，因此用户一方面处在EQSecure的全方位保护中，另一方面对EQSecure又是一切尽在掌握^_^。

2.2应用程序规则：
2.2.1组：允许安全软件的任何行为
应用程序路：C:\Program Files\Kaspersky Lab\Kaspersky Internet Security 6.0\avp.exe
拦截操作：允许所有操作
包含该目录下面的所有文件：是
搜索所有程序规则：否
忽略对目录的操作：否
保护模式：普通、安装
说明：允许杀毒软件的任何操作，这样当系统中毒时，杀毒软件可以不受任何影响的正常工作。这里用户可以根据自己的杀毒软件自行编制该规则。

2.2.2组：允许系统的日常行为
应用程序路：%WinDir%\system32\svchost.exe、%WinDir%\system32\wuauclt.exe
拦截操作：允许所有操作
包含该目录下面的所有文件：是
搜索所有程序规则：否
保护模式：普通、安装
说明：允许系统进程的正常操作，用户可根据使用环境自行编制该规则。

2.2.3组：允许用户的日常行为
1）应用程序路：%WinDir%\Explorer.exe、%ProgramFiles%\Thunder\Program\Thunder5.exe、%ProgramFiles%\Microsoft Office\OFFICE11\WINWORD.EXE、%ProgramFiles%\Microsoft Office\OFFICE11\EXCEL.EXE、%ProgramFiles%\Microsoft Office\OFFICE11\POWERPNT.EXE、%windir%\system32\NOTEPAD.EXE、%ProgramFiles%\Tencent\QQ\QQ.exe、%ProgramFiles%\Tencent\QQGAME\QQGame.exe
拦截操作：允许所有操作
包含该目录下面的所有文件：是
搜索所有程序规则：否
保护模式：普通、安装
说明：允许Explorer.exe是为了用户可以做复制、粘贴和删除等等的日常操作，这里用户不必担心病毒会利用Explorer.exe为父进程来做复制、粘贴和删除等操作，因为当病毒注入到Explorer.exe进程中时必然会遭到应用程序保护的拦截；允许Thunder5.exe是让迅雷可以在任何保护模式下不受限制的下载；允许WINWORD.EXE、EXCEL.EXE与POWERPNT.EXE是允许office软件的日常操作，其余的几个进程都是日常使用的软件等等，就不赘述了，用户可根据使用环境自行编制该系列规则，但切记两点，一是不可添加浏览器的进程，若添加了就等于是敞开了大门，二是不可滥加，一旦进程多了安全性就低了，这里笔者有个窍门送给大家，该系列规则添加的进程多是为了不受2.1.6规则限制而编制的，其实大多数程序即使阻止了“创建、修改、删除”等操作，其运行却丝毫不受影响，所以我们可以先试着拦截一下看是否影响了日常的使用，若不影响，那就不必添加进程到该系列规则中来了。

2）应用程序路：%ProgramFiles%\WinRAR\WinRAR.exe
拦截操作：允许所有操作
包含该目录下面的所有文件：是
搜索所有程序规则：否
保护模式：普通、安装
文件路：%SystemDrive%\*
拦截操作：阻止创建、修改、删除
包含该目录下面的所有文件：是
忽略对目录的操作：否
说明：允许WinRAR.exe是允许压缩软件释放压缩包，尤其是绿色软件，另外，在WinRAR.exe进程下还需要对系统文件阻止创建、修改和删除，在解压过程中对整个系统进行防护，目的是防止某些病毒在解压的同时就运行，造成对系统的破坏。

附笔者经验：
（以下纯属个人意见，绝非广告，如觉偏颇，大可一笑而过，争执无益，笔者只想以此抛砖引玉，起警世启迪之效也^_^）
笔者以前使用的是Mcafee8.5i企业版，看中的正是Mcafee的FD，但唯一令人不爽的是Mcafee的病毒检测率实在太低，尤其是企业版，比之Mcafee的个人版病毒检测率还要低得多（个人版就已经很渣了），虽然有强大的FD做后盾，但依然感觉不顺心，而且虽然有FD，却少了AD和RD，HIPS始终还是不完整的，之后笔者配上了SSM（System Safety Monitor），这个组合相当强大，HIPS也补充完整，但同样的遗憾，Mcafee的杀毒依然是个缺陷，如果换成别的强力杀毒软件，SSM却没有FD，HIPS又变得不完整了，而且连HIPS中最强大的FD都没有，仅仅依靠AD、RD和强力杀毒，是不能够完全在当今病毒肆虐的网络时代里纵横驰骋的！
EQSecure将FD、AD和RD三者完美的结合起来，在AD方面，SSM可以对磁盘底层进行防护，EQSecure同样具有对磁盘底层的防护，FD和RD方面，EQSecure对规则的编制相当灵活，可以随心所欲的编制任何规则，其强大已经完全超越了McAfee、GSS（Ghost Security Suite）等等一众HIPS软件或具备HIPS功能的软件，已成同时代HIPS软件中的翘楚，另外，EQSecure作为一款国产的安全软件，比之国外的某些安全软件，不需要汉化从而避免了汉化出现的瑕疵也是EQSecure的优势之一，这些“糖衣炮弹”已经让笔者对EQSecure爱不释手了^_^。
再谈谈杀毒软件吧，在如今杀毒软件林立的网络安全世界，到底选用哪款强力杀毒软件呢，笔者推荐使用卡巴斯基互联网安全套装6.0（Kaspersky Internet Security 6.0），即KIS，将KIS的保护中只保留“文件保护、web反病毒保护、反间谍保护”，其余的保护全部禁用，尤其是“主动防御”功能，该功能与EQSecure的防护重叠了，且更重要的是它并没有EQSecure强大，所以不必开启，这样，如此设置后的KIS的两个进程AVP.exe加在一起最大才10M左右，最小仅2M，资源占用已是相当的小了，须知，计算机不是用来服务安全软件的，计算机是用来服务我们从事其他更有意义的事情的，如果被安全软件分去了太多的资源，那就本末倒置了！
也许很多朋友还认为，开着卡巴斯基随便到各大安全论坛的病毒样本区逛一圈，卡巴斯基不报是很常见的事情，但是，可曾想过，开着McAfee的人连病毒样本区都不愿去，因为病毒检测率太低怕受刺激，另外，病毒样本区的很多病毒其实并不具有普遍性，或者说不具备代表性，总体来说，卡巴斯基确实是一款不可多得的世界级杀毒软件。
一流的杀毒软件配上一流的HIPS软件，便是咱网络武林里的“金刚不坏神功”！



[img]http://www.eqspywatch.com/images/pic_11.gif[/img][url=http://www.onlinedown.net/soft/52693.htm][u][b]点击下载EQSecure 4 Beta3[/b][/u][/url]
# 软件语言：中文(简繁) / 英文EQSecure 4 Beta3 ：
# 软件大小：2.5 Mb
# 软件类别：国产软件
# 应用平台：Windows 2000 / XP / 2003


[url=http://bbs.duba.net/thread-21916520-1-4.html][u][b]精品文章；拒绝杀软---hips入门必读（转自绅博）[/b][/u][/url]

[[i] 本帖最后由 lm5247 于 2008-8-27 12:32 编辑 [/i]]

可惜不支持VISTA，XP下一直用了。。

强悍！！

不错的国产安软

不知道我不会用还是怎么样，公测的时候用过测试版，电脑重做了一会

[quote]原帖由 [i]ksdc0274119[/i] 于 2008-8-27 19:52 发表 [url=http://bbs.duba.net/redirect.php?goto=findpost&pid=3420295&ptid=21969431][img]http://bbs.duba.net/images/common/back.gif[/img][/url]
可惜不支持VISTA，XP下一直用了。。 [/quote]
现在好像有了支持Vista的版本了吧。

做得非常好，就是有点麻烦！

很好 很强大{yct28}

比较好用

不好设置啊！一般人不会有！

话说周MM很喜欢的东西

不错

规则弄好是很强大的。