完美防毒:EQSecure E盾规则教程
本文主要介绍EQSecure E盾手动设置规则。要想学会,光看一遍是不行的,必须动手实践。请先打开规则编辑器,并将原有规则全部删除以避免干扰 。
       
解剖一个实例:怎样禁止病毒创建危险文件而又不影响正常操作?
分析:首先明确一点,“禁止病毒创建危险文件”在eq看来就是“任何程序都不 能创建危险文件”.因为eq不区分病毒和正常程序。
举例:由于病毒扩展名一般为exe并且喜欢往C盘钻,所以只要禁止任何程序在C盘创建exe文件就能有效预防病毒。
实施:文件保护→所有程序规则→添加文件(C:\*.exe)→创建设为阻止→确定。
写了这条规则以后,病毒是不能创建文件了,但是会有两个副作用:
一、想在桌面上建立exe文件,也无法建立了,因为桌面也在C盘;
二、想用迅雷下载exe文件到C盘,也不行了。怎么办呢?排除。
第一种情况:允许任何程序在桌面上建立exe格式文件。文件保护→所有程序规则→添加文件(C:\Documents and Settings\*\桌面\*.exe)→创建设为允许→确定。然后将其移动到刚才那条规则上方即可。
第二种情况:允许迅雷在C盘创建exe文件。文件保护→应用程序规则→添加程序(迅雷主程序)→添加文件(C:\*.exe)→创建设为允许→确定。

照猫画虎:怎样保护重要文件(以gho文件为例)不被病毒删除而能手动删除?

一、规定任何程序均不能删除gho文件。文件保护→所有程序规则→添加文件(*.gho)→删除设为阻止→确定。
二、规定资源管理器可以删除gho文件。文件保护→应用程序规则→添加程序(explorer.exe)→添加文件(*.gho)→删除设为允许→确定。
举一反三
把上面的“C:\*.exe”换成C:\*.dll则表示C盘任何dll文件,换成C:\*则表示C盘任何文件,换成*.exe则表示任意位置的exe文件,换成*则表示任何文件。随意排列组合,就可写出任何你想要的规则。比如:Cookies目录仅允许创建.txt文件;任何.sys文件禁止修改,但是%windir%\system32\drivers\tcpip.sys允许任何程序修改,或者只允许迅雷修改;浏览器只能在某个目录内建立exe文件,其它任何位置都不行,等等。
常见规则写法
怎样禁止某个程序运行?
以cmd为例,很多病毒利用它来做坏事,可以规定:任何程序不得运行cmd。应用程序保护→所有程序规则→添加子程序(cmd)→运行设为阻止→确定。只此一条,大部分网马都得歇菜。用这种方法,可以把任何你用不到的程序(或某个目录内所有程序)禁用,比如IE。如果想手动运行呢?请看下一条。
怎样允许A程序运行B程序?
应用程序保护→应用程序规则→添加程序(A)→添加子程序(B)→运行设为允许→确定。
怎样禁止A程序运行B程序?
举一例说明其实用价值。QQexternal.exe是一个没有任何用处的程序,它唯一的功能是弹广告,可以禁止它运行。应用程序保护→应用程序规则→添加程序(qq.exe)→添加子程序(QQexternal.exe)→运行设为阻止→确定。
思考题:要让浏览器只能运行指定的程序,其余一律禁止,怎样设规则?
怎样保护杀毒软件的进程不被病毒结束,但是能用任务管理器结束?
一、禁止任何程序结束杀软进程。应用程序保护→所有程序规则→添加子程序(杀软)→结束/挂起进程设为阻止→确定。(保护某个进程不被病毒注入和修改,方法是一样的,禁止创建远程线程和修改其它进程内存即可。)
也可这样设置:主界面→保护模式→结束/挂起进程设为阻止→确定。这样做的结果是任何进程都不能被结束。推荐这种写法。
二、规定任务管理器可以结束杀软进程。应用程序保护→应用程序规则→添加程序(任务管理器)→添加子程序(杀软)→结束/挂起进程设为允许→确定。
也可以允许任务管理器结束任何进程。应用程序保护→应用程序规则→添加程序(任务管理器)→结束/挂起进程设为允许→“其它设置”那里取消“搜索所有程序规则”(即让“所有程序规则”对其不起作用)→确定。
怎样禁止病毒加载驱动程序,但是允许冰刃加载驱动程序?
主界面→保护模式→加载驱动程序设为阻止;应用程序保护→应用程序规则→添加程序(冰刃)→添加子程序(冰刃驱动)→加载驱动程序设为允许→确定。
怎样禁止病毒关闭系统?
禁止任何程序关闭系统。主界面→保护模式→关闭/重启系统设为阻止。
如果想让迅雷完成任务后关机呢?应用程序保护→应用程序规则→添加程序(迅雷)→关闭/重启系统设为允许→确定。
怎样禁止病毒修改系统时间/直接操作系统内核/访问物理内存/键盘记录/操作底层磁盘等等而又不影响正常程序的此类操作呢?参考上一条。
上面各条在“所有程序规则”中写的规则,放在黑名单也是可以的。只是这样一来,就没法排除单个程序了。
由上述论述可知:用eq阻止病毒的危险行为,其实就是阻止任何程序的危险行为,然后给正常程序设置例外规则。正常程序的此类操作很少(有几个正常程序会修改系统时间?又有哪个正常程序会关闭系统?),用不了多长时间(当然,如果规则过严,设例外就比较麻烦)。设好以后就一切OK了。即使每天出炉一万个病毒,每个病毒有一万个变种,每个变种有一万个免杀,一样被禁止。哪里用得着收集病毒库、提取特征码?哪里管你是已知还是未知?仅用寥寥数条规则,即可完美防御层出不穷的大量病毒,这不是最大的智能吗?反观杀软,号称智能,却只能判断具体程序是否病毒,面对大量未知病毒束手无策,到底哪个更智能呢?打个比方,杀软是小事聪明,大事糊涂;HIPS是大事聪明,小事糊涂,所以,若论智能,杀软是小聪明,HIPS才是大智慧。
杀软和HIPS是截然不同的两种思路,一个对付的是恶意程序,一个对付的是正常程序;一个要把程序杀死,一个要把程序救活。恶意程序数量巨大并呈几何级数增长,正常 程序数量少并且增长缓慢,具体到每台电脑就更少了。哪个更轻松更有效呢?所以,所谓杀软比HIPS更智能更省心的说法是丝毫站不住脚的。当然,两者功能互补,完全可以和平共处。
上面说的,是手动设置规则,其实还有更简单方便的方法。右击托盘图标→查看日志→在某条日志上点右键→允许(或阻止)该操作(或该程序的任何操作或任何程序的此操作)。只需优雅地点四下鼠标,就OK了。