〖转帖〗文件访问保护，McAfee 8.0i还是TINY？

几度夕雨

首先感谢yocheng的文章点击查看和cyberarmy一次次的指导，少走了许多弯路。TINY的操作灵活性非常大，本帖只是讨论一下TINY的文件访问保护的功能，并同MCAFEE 8.0I做一个简单的对比，相信初学的朋友看完之后TINY和MCAFEE 8.0I的文件保护就会自己设置了，扫盲帖而已，不正之处欢迎拍砖，如果转载请注明来自“霏凡论坛”
特别说明：为便于书写
TINY PERSONAL FIREWALL PRO 6.5.126简称TPF
MCAFEE VIRUSSCAN 8.0I简称MVSE
文中出现的英文单词，恕不翻译，不明白的请借助金山词霸等词典工具查看
言归正转，先看MVSE的文件保护设置。MVSE文件保护命令编写非常简单，很容易上手，同时支持通配符（*代表任何文件，\**\代表任何文件夹，%windir%代表系统文件夹...）例如禁止在系统文件夹下建立exe可执行文件（防止病毒／木马）只要这样写就可以：%windir%\*.exe，选择建立新文件
如果要想禁止系统文件夹下面所有子文件夹（包括system32）下建立exe文件只要稍做改动即可：%windir%\**\*.exe
同样的道理，禁止建立dll,sys等文件照猫画虎就可以了
下面的是演示图例

对于TPF，就没有那么简单了，稍微复杂一点。再次声明，这里只说一下file protection
的设置，抛砖引玉，具体的TINY说明，请看yocheng的文章。
我们先来看file protection中low priority里的一条默认规则：Asks when attempt to change files in Windows dir and its subdirs

图片上可以看的很清楚：
application（以下简称APP）是*，也就是说代表任何程序（在非系统帐户下运行的程序）
file or floder name为windows directory,是系统文件夹（%SystemRoot%），这里包含根目录及其子目录。
read：允许读取，不监视
creat：建立新文件时提示用户，监视
write：写入文件时提示用户，监视
delete：删除文件时提示用户，监视
这条规则定义的是当任何程序要改动系统文件夹时（上述三种动作）要提示用户，这样一旦有病毒要向系统文件夹下写入病毒文件，TPF就会发出提示，从而保护计算机不被病毒感染。
例如此图，该“木马杀客”文件，按“run with default security"运行

该程序会在temp下启动另外一个程序，还不知是否是病毒，allow

temp下的”木马杀客“，按“run with default security"运行

很明显，该”木马杀客“向system32下建立文件sys.exe，明显是一个可疑的病毒行为，选择deny

可见，这个“木马杀客”并不是真正的木马杀客，而是被恶意修改的一个病毒。这样，这个”木马杀客“向系统写入病毒失败，TPF成功保护了计算机
可以看出，这条规则已经足以让那些偷偷摸摸向系统文件夹下写入病毒的文件无以匿行，并且此规则定义的是提示，即可以阻止又可以放行，如果确定向系统文件夹下写入的文件是安全的（如windows update），只要放行即可，省去了很多麻烦。
据此推测，可不可以设置一条像MVSE那样，虽然有点做茧自缚但是比较“傻瓜”的禁止向系统文件夹下写入新文件的规则呢？答案是肯定的。
照猫画虎，先确定一下大的方向。因为系统文件夹下建立的病毒体基本上是都.exe，.dll，.sys所以只要禁止建立这三种文件就可以保证安全了，另外禁止建立的时侯最好要有警报，这样的话禁止建立了什么就可以马上一目了然，这也是MVSE不具备的功能（MVSE只能在日志里查看）。
1.file potection—expert rules—add new rule，description处起名为“禁止系统文件夹下建立新文件(.exe.dll.sys)”，priority为high,如图：

2.APP处如图所示（代表任何程序，也可以自己设置指定某程序）

3.access处如图所示，注意high priority不能设置为ask user

4.最关键的是object的设置（感谢cyberarmy的指导），先点右边的add predefined object（十字图标）

弹出的对话框里object name处写“系统文件夹(.exe.dll.sys)"，file or floder处是最关键的，因为只是要禁止建立exe,dll,sys这三种文件，所以要一项一项的填写。
如图所示这是禁止在windows根目录下建立exe文件的写法，点下面的”add"添加进去


但是前面所说的一条规则Asks when attempt to change files in Windows dir and its subdirs里面files的设置不就是%SystemRoot%并且包含了所有子目录吗？TPF的files如果设置了特别的文件扩展名，%SystemRoot%就不包括子目录了,必须要重新设置，每一层子文件夹用一个\?*\来表示，如果是一层子文件夹，就是%SystemRoot%\?*\*.exe，
两层就是%SystemRoot%\?*\?*\*.exe，依此类推，一般不必超过三层，如下图所示：

依此类推，dll,sys文件的设置也是如此，如图：

需要特别注意的是，上面这样设置对system32文件夹是不起作用的，system32是病毒和木马文件所在最多的系统文件夹之一，保护起来要特别设置，主要就是加入%SystemRoot%\system32\，至于子文件夹的保护，同上面的方法是一样的，就不多说了，如下图：

最后就是这样的一个状态，如下图：

打开这样的规则，安装软件和使用windows update 时一定要注意，否则可能产生不可预期的问题
对于规则的设置,TPF还有一个很实用的功能—clone，一条规则如果有什么小的变动只要clone一条出来再进行修改就可以了，即做出了新规则，又省事不少：）
保护系统文件夹如此，动动脑子想一想就一定能设置出来适合自己的规则，上面的介绍只是起到抛砖引玉的作用
小结：MVSE和TPF都有文件保护的功能，相比起来，MVSE更容易上手，TPF的扩展性和直观性更强（TPF可以选择ASK UESR和ALERT），但是如果机器配置不够好用TPF会有点卡，MVSE是一款优秀的反病毒软件，TPF是一款优秀的防火墙，至于喜欢哪个用什么组合那就仁者见仁智者见智了。^_^

几度夕雨

上面介绍了如何建立文件访问保护，那么，有没有一种规则，可以在某程序向系统文件夹下写入exe,dll,sys等文件时进行提示是否允许放行呢？当然可以。（再次感谢cyberarmy的指导）
1.打开run administration center—file protection—expert rules，如图：

2.使用clone功能复制出一个上一贴设置好的规则（一个用来修改成为新规则，一个用来保留，增加操作的灵活性），如图：


3.将clone出来的规则按照下面的步骤设置，关键是改成ask user和从high到low：



4.update后，就这种状态，如图：

5.再将high里面的Unlimited access to all files for Trusted group移动到low下面，因为如果此规则在high上的话程序调动trust组里面的程序向系统文件夹下写入文件，“禁止系统文件夹建立新文件(.exe.dll.sys)”这条规则就不会起作用，如图：


这样一来，只要有程序向系统文件夹下写入文件都会有提示是否同意建立（即使是trust组），灵活性更强
如果在run with no security（安装模式）下，上面这样设置是不会起作用的，一旦该安装程序向系统文件夹下写入文件也就无从知道，若不嫌麻烦，可以再设置一条规则，让在run with no security运行的安装程序向系统文件夹下写入文件时(exe,dll,sys...)也有提示。
1.首先看account specific ruls里面的Unlimited access to all files for Installation Applications group，就是这条规则放行了所有run with no security（安装组）下的程序，clone一条出来，两条都要选中。如图：

2.将clone出来的一条Unlimited access to all files for Installation Applications group
规则修改，description改名为“安装模式下警告向系统文件夹下写入文件(.exe.dll.sys)”
如图：

3.接下来的设置按照图示的步骤进行：



特别要说明的还是files or folder name，因为是要监视安装程序组在运行时是否向系统文件夹写入exe,dll等文件，所以在选择files时选上一贴里面所创造的“系统文件夹(.exe.dll.sys)"，只要点旁边的小三角就会出来一个菜单，只有一个中文名的组，很好找的^_^（图片上的名称有些许不符，请见谅）

4.最后是这样的，如图：

这样，即使是在安装程序组，如果有向系统文件夹写入exe,dll，sys等程序，也会有提示了