用瑞星2008“应用程序访问控制”挡住“磁碟机”

咯咯骡子 · 发表于 2008-4-9 15:48

附件1中是定义好的瑞星2008“应用程序访问规则”，针对磁碟机目前所有变种的。这套规则仅针对系统装在C盘的单分区系统，因为我的电脑只有一个分区。多分区系统用户，可仿此思路，自己动手，完善一下这套规则。

不会定义瑞星2008“应用程序访问规则”的朋友，下载附件1后，将其解压到桌面。再按照附件2中图1－图4操作，将其导入瑞星2008“应用程序访问规则”，在单分区的电脑，即可有效抵抗目前所见的磁碟机变种。

注意：“禁止在当前用户_启动目录下创建文件”那条规则的路径名是我自己的，别人导入此规则后，需要根据自己电脑的实际情况，改一下“当前用户名”（您的当前用户名不大可能也是baohelin）。

附件1：AppCtrl.xml
http://images.rising.com.cn/uplo ... 847200835154307.rar

附件2中图6－图8是在此套规则存在条件下，仅开着瑞星2008“应用程序访问控制”，运行磁碟机最新变种的防御效果。病毒运行后，仅创建图8所示的两个文件，无其它文件生成，也无感染文件动作。按照图6－图7结束那个lsass.exe.随机数字.exe进程，删除那两个文件即可。

我的电脑并无D分区。针对D分区的那两个规则，只是为多分区用户定义规则提供个参考而已。

附件2：操作顺序参考及防御效果。

http://images.rising.com.cn/uplo ... 847200832160517.rar