ThreatFire规则设置教程

文件防御

　　下面所列文件很少会有进程去改写。除非你正在安装软件或打补丁，正常情况下是不会改写的，所以报警的话隔离是最好的选择。

　　C:\autoexec.bat

　　C:\boot.ini

　　C:\config.sys

　　C:\msdos.sys

　　C:\ntdetect.com

　　C:\ntldr

　　C:\WINDOWS\system.ini

　　C:\WINDOWS\System32\AUTOEXEC.nt

　　C:\WINDOWS\System32\bootvrfy.exe

　　C:\WINDOWS\System32\CONFIG.nt

　　C:\WINDOWS\System32\control.ini

　　C:\WINDOWS\system32\drivers\etc\hosts

　　C:\WINDOWS\System32\logon.exe

　　C:\WINDOWS\System32\ntdos.sys

　　C:\WINDOWS\system32\svchost.exe

　　C:\WINDOWS\win.ini

　　C:\WINDOWS\wininit.ini

　　程序外联网络防御

　　木马一般都会要求外联发送窃取的信息。下面的规则就是防御木马外联的，适用于非交互程序（和用户没有通讯的，相当于隐藏秘密外联）。如果一个程序要联网，不是杀软升级或WINDOWS自动更新的话就要留意了，建议把报警框里的进程名百度一下，确定是正常程序再点允许并记住。

　　

　　

　　

　　其他注意事项

　　把你的安全软件加入到信任区，这样会降低TF的CPU占用。

　　步骤：主界面的高级工具--高级规则设置--自定义规则设置--ThreatFire设置--进程列表--新--在打开的对话框内选择你要加入的程序加入即可，如下图：

　　

　　泄漏防御

　　如果你已经装有硬件路由或软件防火墙，只需要稍微控制一下内部外联就可以了，下面的规则是用来补充只有防外功能的防火墙的，可以取代COMODO ，onlinearmor一类具有防内功能的防火墙来节省资源。

　　这个规则的思路就是把你平时要用到的需要外联的程序事先排除，这样以后报警就是没有排除的，需要注意的有可能是木马一类。

　　除了系统和信任进程列表中的进程排除之外，你可以创建另外的进程列表，把需要联网的程序加入就可以了。一般有浏览器，播放器，邮件客户端，P2P软件，下载工具等，这个看各人需要自行添加。

　　

　　调用危险程序保护

　　一些系统程序被病毒调用的话会对系统造成危害，可以设置规则阻止调用，排除系统进程和信任进程即可。

　　C:\WINDOWS\System32\cmd.exe

　　C:\WINDOWS\System32\cscript.exe

　　C:\WINDOWS\System32\msh.exe

　　C:\WINDOWS\System32\mshta.exe

　　C:\WINDOWS\System32\reg.exe

　　C:\WINDOWS\System32\regedit.exe

　　C:\WINDOWS\System32\regsvr32.exe

　　C:\WINDOWS\System32\wscript.exe

　　C:\WINDOWS\System32\ntvdm.exe

　　C:\WINDOWS\System32\ftp.exe

　　C:\WINDOWS\System32\tftp.exe

本站仅提供存储服务，所有内容均由用户发布，如发现有害或侵权内容，请点击举报。