注意事项

安全中心规则中的“Path”的值支持通配符(*和?),不支持盘符,不支持正则表达式,路径中的 \ 不需要使用 \\ 来表示,也不需要结束符$。

通配符:* 代表任意0到任意长度的文本;  ? 代表一个字符

示例:

"C:\Windows\explorer.exe"在规则中不能带盘符,可以写为"*\explorer.exe"或"*\Windows\explorer.exe"
"*.exe"代表所有的exe文件或exe结尾的路径,也可以把exe换为lnk等文件类型,比如"*.lnk"就可以代表任意文件名的图标;
"*\temp\*.exe"代表temp目录下的所有exe文件;
"*\system32\*aaa.exe"代表system32目录下的所有文件名尾部包含"aaa"的exe文件;
"*\123\*"代表所有包含"123"文件夹的路径;
"*\a?c.exe"表示a和c之间存在任意一个字符,比如 abc.exe、acc.exe、a5c.exe 都是可以被匹配到的.

大小写敏感问题

所有路径(文件、文件夹、注册表),即“Path”,路径内容都不区分大小写。其他固定关键词一般大小写都需要区分,具体参考规则详解中的语法说明。

以下两个路径表示的是同一个路径:

"*\windows\System32\RunME.exe"
"*\Windows\system32\runme.exe"

几乎所有路径都不支持盘符,填写路径时请勿带盘符. 少量需要填写完整的路径的规则,例如DLL注入规则,请看具体的规则描述.

安全中心规则如何下发 安全中心功能使用方法

调试模式怎么用  【安全中心】客户端怎么看进程树?调试模式怎么用?

借助工具自动生成规则  维护大师安全中心规则生成器

///////////////////////////////////////////////////////////////////////////////////////////////////////////////////////

一、进程规则

1.1.1.进程启动拦截 黑名单模式

说明:根据文件路径或文件MD5来对即将启动的进程进行检测,如果路径(必须带通配符*或?)匹配或者MD5相同则禁止启动.

语法示例:

// 拦截MD5为"89087ae3187d4c69de54bf0"的进程启动,不关心是谁创建的。
ProcStart[Parent(null)][Self(MD5="89087ae3187d4c69de54bf0")]=Deny

// 拦截进程名为"ter.exe"的进程启动,不关心是谁创建的。
ProcStart[Parent(null)][Self(Path="*\ter.exe")]=Deny

// 拦截MD5为"c613e69c3b191bb02c7a191741a1d024"的进程创建路径为"C:testter.exe"的进程。
ProcStart[Parent(MD5="c613e69c3b191bb02c7a191741a1d024")][Self(Path="*\test\ter.exe")]=Deny

// 拦截进程名包含"explorer.exe"的进程创建进程名包含"123.exe"的进程。
ProcStart[Parent(Path="*explorer.exe")][Self(Path="*123.exe")]=Deny

// 拦截进程名包含"explorer.exe"的进程创建MD5为"c613e69c3b191bb02c7a191741a1d024"的进程。
ProcStart[Parent(Path="*explorer.exe")][Self(MD5="c613e69c3b191bb02c7a191741a1d024")]=Deny

// 拦截进程名包含"explorer.exe"的进程创建任何进程。
ProcStart[Parent(Path="*explorer.exe")][Self(Path="*.exe")]=Deny

语法说明:

名称 描述 其他
ProcStart 前缀固定关键词,该语句的头部声明,大小写敏感.
Parent 固定关键词, 大小写敏感.用于描述当前启动的进程的父进程信息.如果不关心该进程的父进程,则内部数据填”null”.如果关心该进程的父进程信息,则可选择填入父进程的路径(必须带通配符*或?)或者父进程的MD5数据(MD5=).路径信息或者MD5的声明信息为Path,MD5,大小写敏感.
Self 固定关键词, 大小写敏感.用于描述当前即将启动的进程信息,可填入路径(必须带通配符*或?)或当前进程文件的MD5.
Deny 后缀固定关键词,大小写敏感.

 

1.1.2.进程启动拦截 白名单模式

注意:在Win10系统使用白名单模式时,若父进程Parent为控制台程序,则白名单Self必须放行“conhost.exe”,否则父进程本身将无法运行,这是Win10自身的机制。

语法示例:

// 只允许进程"abc.exe"启动进程"2.exe"和"33.exe"
ProcAccess[Parent(Path="*abc.exe")][Self(Path="*2.exe;*33.exe;")]=Access

// 只允许进程"taskhost.exe"启动"44.exe"
ProcAccess[Parent(Path="*taskhost.exe")][Self(Path="*44.exe;")]=Access

说明:放行父进程创建的指定的子进程列表,除此之外的全部拦截.

语法说明:

名称 描述 其他
ProcAccess 前缀关键词, 该语句的头部声明,大小写敏感
Parent 父进程路径相关信息Path,表示父进程的路径(必须带通配符*或?).  MD5表示父进程MD5值
Self 子进程列表信息Path表示子进程的列表集合,进程与进程之间使用分号分割,每个子进程路径必须带通配符*或?.
Access 后缀固定关键词

 

1.2.进程循环查杀

说明:根据文件路径(必须带通配符*或?)或者文件的MD5,每隔5s对当前活跃进程进行遍历,如果发现匹配,则执行查杀操作.

语法示例:

// 每5秒结束进程名包含"test.exe"的进程
KillProc[Self(Path="*test.exe")]=Loop

// 每5秒结束MD5为"c613e69c3b191bb02c7a191741a1d024"的进程
KillProc[Self(MD5="c613e69c3b191bb02c7a191741a1d024")]=Loop

语法说明:

名称 描述 其他
KillProc 前缀固定关键词,该语句的头部声明,大小写敏感
Self 固定关键词,要查杀的目标进程的相关信息,如果要对特定路径(必须带通配符*或?)的程序执行查杀操作,则使用”Path”进行声明(必须带通配符*或?);如果对特定MD5的进程执行查杀操作,则使用”MD5”进行声明.
Loop 固定后缀关键词,

 

1.3.进程销毁后的操作

说明:对关心的某些进程进行监控,当这些进程退出后进行相应的操作.

语法示例:

// 检测到进程名包含"ecp.exe"的进程退出后,重启系统。
ProcDied[Self(Path="*ecp.exe")][Action(Restart)][Message(null)]=Access

// 检测到MD5为"c613e69c3b191bb02c7a191741a1d024"的进程退出后,运行"C:\13341.exe",不加双反斜线。
ProcDied[Self(MD5="c613e69c3b191bb02c7a191741a1d024")][Action(RunAgain)][Message("C:\13341.exe")]=Access

// 检测到进程名包含"ecx.exe"的进程退出后,弹出信息框,提示内容为"FBI warning"。注意:该规则在Win10上无效!
ProcDied[Self(Path="*ecx.exe")][Action(Warning)][Message("FBI warning")]=Access

语法说明:

名称 描述 其他
ProcDied 前缀固定关键词,该语句的头部声明,大小写敏感
Self 固定关键词,表示关心的进程信息,可以使用路径(必须带通配符*或?)或者MD5.
Action 操作关键词,表示要执行的动作. Restart:重启计算机,此时不关心Message中的数据. RunAgain:运行Message中填入的路径的程序. Warning:弹出提示,提示内容为Message中提示信息.
Message 数据关键词,为null或者一个程序的绝对路径或者提示的字符串信息.
Access 后缀关键词,大小写敏感.

1.4.进程主动启动

说明:通过安全中心来在开机的时候启动一些用户关心的进程.

语法示例:

// 当客户机在时间段“10:00-23:40”启动系统时,运行"C:\123to.exe",并且只有95%的概率会执行。
RunProcess[Self(Path="C:\123\to.exe")][Probability(95)][TimeQuantum(10:00-23:40)]=Access

// 当客户机在时间段“00:00-23:59”启动系统时,运行"C:\Program Files (x86)\soft\ClientUpdate.exe",有100%的概率会执行。
RunProcess[Self(Path="C:\Program Files (x86)\soft\ClientUpdate.exe")][Probability(100)][TimeQuantum(00:00-23:59)]=Access

语法说明:

名称 描述 其他
RunProcess 前缀固定关键词,该语句的头部声明,大小写敏感.
Self 固定关键词,要启动的进程信息, Path表示该文件的绝对路径. Probability表示该程序的启动概率,概率范围为1-100. TimeQuantum表示启动该程序的时间段.24小时制.范围为:00:00-23:59.
Probability 执行概率,绝对执行设置为100
TimeQuantum 设置在指定的时间内才会执行.
Access 后缀关键词,大小写敏感.

 

1.5. 进程保护

说明:用于保护指定的进程不被恶意访问或结束.

语法示例:

// 保护MD5为"dfb39214a538e71862577661703d7755"的进程,该进程无法被应用层(比如任务管理器)结束掉。
Protect[Process(MD5="dfb39214a538e71862577661703d7755")]=Deny

// 保护进程名包含"pad.exe"的进程,该进程无法被应用层(比如任务管理器)结束掉。
Protect[Process(Path="*pad.exe")]=Deny

// 保护进程路径为"C:\windows\notepad.exe"的进程,该进程无法被应用层(比如任务管理器)结束掉。
Protect[Process(Path="*\windows\notepad.exe")]=Deny

语法说明:

名称 描述 其他
Protect 前缀关键词, 该语句的头部声明,大小写敏感
Process 表示用于保护的进程信息,可以是进程的路径Path(必须带通配符*或?)或者进程文件的MD5信息.
Deny 后缀固定关键词

 

 

二、模块规则、驱动规则

2.1 dll/sys模块拦截

说明:对于进程即将加载的模块按照文件路径(必须带通配符*或?)或者hash特征进行拦截;或者拦截驱动加载。

脚本示例:

// 拦截MD5为"c613e69c3b191bb02c7a191741a1d024"的进程加载路径中包含"ule.dll"的模块
// 注:由于某些原因,这里指定了进程,实际上也是全局拦截,所有进程都将无法加载此模块,请慎用. 
Module[Host(MD5="c613e69c3b191bb02c7a191741a1d024")][Self(Path="*ule.dll")]=Deny 

// 拦截进程名包含"load.exe"的进程加载路径中包含"dule.dll"的模块
// 注:由于某些原因,这里指定了进程,实际上也是全局拦截,所有进程都将无法加载此模块,请慎用.
Module[Host(Path="*load.exe")][Self(Path="*dule.dll")]=Deny 

// 拦截任意进程加载hash值为"699358f7f86bcf9422cb75569d9246a6"的模块或驱动。 
Module[Host(null)][Self(hash="699358f7f86bcf9422cb75569d9246a6")]=Deny 

// 拦截任意进程加载名称尾部包含"sqbdrv.sys"的驱动,包括 System 进程。 
Module[Host(null)][Self(Path="*sqbdrv.sys")]=Deny

// 拦截系统加载数字签名序列号为"2257bedf4f3e660539e3ae0681d0546c"的驱动。
// 注:同一个名称的数字签名序列号可能相同的,使用时请慎用,以免出现误拦截。序列号不能有空格,前面不能有问号。
Module[Host(null)][Self(sign="2257bedf4f3e660539e3ae0681d0546c")]=Deny

查看驱动序列号:

语法说明:

名称 描述 其他
Module 前缀关键词, 该语句的头部声明,大小写敏感
Host 固定关键词,用于描述模块相关的宿主信息.如果不关心宿主,则内容为”null”.如果关心宿主,则可以使用宿主的路径Path(必须带通配符*或?)或者宿主文件的MD5信息.
Self 目标模块路径Path(必须带通配符*或?)或者特征信息Hash(数据可从维护大师客户端进行采集),或者驱动数字签名的序号sign. 此处的hash值不是文件的MD5值,hash值需要从维护大师客户端获取。

操作方法:

在维护大师控制台开启调试模式后,客户机重启系统,按下Ctrl+Alt+Shift+F7后输入管理密码,即可查看进程历史记录,其中包含每个模块的hash值,驱动的hash值从system进程中查看。

Deny 后缀固定关键词

 

扩展:通过文件规则拦截指定进程加载指定的DLL模块:

// 用文件黑名单来拦截指定进程对指定DLL文件的 Create 操作来实现拦截指定进程加载指定DLL文件,示例如下:
// 拦截 USB.exe 加载 Info.dll
FileCheck[Self(Path="*\Info.dll")][Process(Path="*\USB.exe")][AccessMode(Create)]=Deny

 

 

三、文件规则

3.1.1 文件创建/打开///删除/重命名拦截 黑名单模式

语法示例:

// 拦截驱动在桌面创建图标(Path中用“system”表示驱动)
FileCheck[Self(Path="*\Desktop\*.lnk")][Process(Path="system")][AccessMode(Create)]=Deny

// 拦截进程名包含"pad.exe"的进程读取路径中包含"11.txt"的文件或文件夹内容。
FileCheck[Self(Path="*11.txt")][Process(Path="*pad.exe")][AccessMode(Read)]=Deny

// 拦截进程名包含"pad.exe"的进程往路径中包含"2222.txt"的文件或文件夹里写入内容。
FileCheck[Self(Path="*2222.txt")][Process(Path="*pad.exe")][AccessMode(Write)]=Deny

// 拦截进程名包含"test.exe"的进程创建路径中包含"333.txt"的文件或文件夹。
FileCheck[Self(Path="*333.txt")][Process(Path="*test.exe")][AccessMode(Create)]=Deny

// 拦截任意进程在"test"文件夹下创建名称中后缀包含字符"t"的文件或文件夹。
FileCheck[Self(Path="*test\*t")][Process(null)][AccessMode(Create)]=Deny

// 拦截任意进程删除名称中包含字符"333.txt"的文件或文件夹。
FileCheck[Self(Path="*333.txt")][Process(null)][AccessMode(Delete)]=Deny

// 拦截任意进程重命名名称中包含字符"666.exe"的文件或文件夹。
FileCheck[Self(Path="*666.exe")][Process(null)][AccessMode(Rename)]=Deny

// 拦截MD5为"6D1B0DFE929C179B99AD57E7C6D2EDA9"的进程创建任何lnk文件。
FileCheck[Self(Path="*.lnk")][Process(MD5="6D1B0DFE929C179B99AD57E7C6D2EDA9")][AccessMode(Create)]=Deny

// 拦截任何进程在桌面创建名称为“一刀99999.lnk”的桌面图标。
FileCheck[Self(Path="*\Desktop\一刀99999.lnk")][Process(null)][AccessMode(Create)]=Deny

说明:对特定的进程(或者不关心哪个进程)对文件的操作进行拦截,操作的内容包括文件的打开(创建)/读/写/删除/重命名.

语法说明:

名称 描述 其他
FileCheck 前缀关键词, 该语句的头部声明,大小写敏感.
Self 固定关键词,用于描述目标文件路径信息Path(必须带通配符*或?).目录的操作与文件相同.
Process 需要关注的进程信息(用“system”表示驱动),如果不关注则设置为”null”.如果关注,则使用进程的路径信息Path(必须带通配符*或?),或MD5
AccessMode 需要拦截的访问模式,包括打开/创建(Create),读(Read),写(Write),删除(Delete),重命名(Rename).

支持组合操作,使用半角分号分割多个操作,例如:

AccessMode(Create;Delete)

注意:Create实际上已经包含了Read/Write

注意:打开/创建(Create)操作,包含的内容比较多,并不是单纯的指新建文件,请慎用,具体请参考百度百科:Createflie
Deny 固定后缀关键词,大小写敏感

 

3.1.2 文件读/写拦截 白名单 + 黑名单

语法示例:

// 文件黑名单拦截进程名为"wk.exe"的进程写出所有 exe 文件。
FileCheck[Self(Path="*.exe")][Process(Path="*\wk.exe")][AccessMode(Write)]=Deny
// 文件白名单放行进程名为"wk.exe"的进程在此文件或文件夹列表中写出 exe 文件:"*123.exe;*1.exe;*\Program Files (x86)\Thunder Network\*;"
FileAccess[Self(Path="*123.exe;*1.exe;*\Program Files (x86)\Thunder Network\*;")][Process(Path="*\wk.exe")][AccessMode(write)]=Deny

说明:只允许特定的进程(必须指定进程)对指定的文件列表进行读或写,但是要配合文件黑名单来使用,总体来讲就是先用文件黑名单全部拦截,再用文件白名单放行可信任的文件和文件夹。注意:如果不使用文件黑名单,而单独使用文件白名单时,规则将不起任何作用。

语法说明:

名称 描述 其他
FileAccess 前缀关键词, 该语句的头部声明,大小写敏感.
Self 代表文件列表,用半角分号分割,也可只填写一个文件.
Process 不能为空,必须指定一个进程的路径,即Path的值.
AccessMode read(读)或write(写),一起用则用半角分号分割为“read;write”,白名单暂不支持 create(创建或打开).

 

3.1.3 文件操作线程挂起

语法示例:

// 当 link.exe 准备在桌面创建 lnk 文件时,挂起 link.exe 中执行该创建操作的线程
ThreadFileCheck[Self(Path="*\desktop\*.lnk")][Process(Path="*\link.exe")][AccessMode(Create)]=Deny

// 当 link.exe 准备在桌面创建 exe 文件时,挂起 link.exe 中执行该创建操作的线程
ThreadFileCheck[Self(Path="*\desktop\*.exe")][Process(Path="*\link.exe")][AccessMode(Create)]=Deny

// 当 link.exe 准备读取 temp 文件夹下的 cfg.dat 时,挂起 link.exe 中执行该读取操作的线程
ThreadFileCheck[Self(Path="*\temp\cfg.dat")][Process(Path="*\link.exe")][AccessMode(Read)]=Deny

说明:当指定进程对指定文件发起指定的操作时,挂起其执行操作的线程。

语法说明:

名称 描述 其他
ThreadFileCheck 前缀关键词, 该语句的头部声明,大小写敏感.
Self 不能为空,代表文件路径(必须带通配符*或?),只支持单个路径.
Process 不能为空,必须指定一个进程的路径,即Path的值.
AccessMode read(读)、write(写)或 create(创建或打开),不区分大小写.

 

四、注册表规则

说明:拦截指定进程(或者不关心进程)对特定注册表的访问,访问的类型包括读/写/删除项/删除键值/重命名

语法示例:

RegCheck[RegPath("*version\run*")][Process(Path="*reg.exe")][AccessMode(Read)]=Deny
RegCheck[RegPath("*001\run*")][Process(MD5="c613e69c3b191bb02c7a191741a1d024")][AccessMode(Write)]=Deny
RegCheck[RegPath("*test\run*")][Process(null)][AccessMode(All)]=Deny
RegCheck[RegPath("*currentversion\run*")][Process(null)][AccessMode(Deletekey)]=Deny
RegCheck[RegPath("*version\run*")][Process(null)][AccessMode(Deletevalue)]=Deny

语法说明:

名称 描述 其他
RegCheck 前缀关键词, 该语句的头部声明,大小写敏感.
RegPath 注册表路径信息,信息内容为路径(必须带通配符*或?).
Process  操作注册表的进程信息.如果不关心,则内容为”null”.或者是进程的路径Path(必须带通配符*或?).或者是进程文件的MD5值.
AccessMode 访问模式, 读(Read)/写(Write)/删除项(Deletekey)/删除键值(Deletevalue)/. 创建项(Create),如果需要全部权限的话则直接使用All.

 

 

五、内核回调规则

说明:该脚本用来移除驱动注册的4类回调,分别是进程回调,镜像回调,线程回调以及注册表回调. 内核回调可从PChunter查看.

语法示例:

CallBack[Type(Process)][Feature(Name="test.sys")][Action(Remove)]=Access
CallBack[Type(Image)][Feature(Name="test.sys")][Action(Remove)]=Access
CallBack[Type(Thread)][Feature(Name="test.sys")][Action(Remove)]=Access
CallBack[Type(Reg)][Feature(Name="test.sys")][Action(Remove)]=Access

 

语法说明:

名称 描述 其他
CallBack 前缀关键词, 该语句的头部声明,大小写敏感.
Type 需要进行移除的回调类型, 进程回调(Process),镜像回调(Image),线程回调(Thread)以及注册表回调(Reg).
Name  驱动文件名
Action 执行的动作关键词,大小写不敏感.

移除回调,回调将消失,内容为 Remove

Access 后缀固定关键词

 

六、文件操作:解锁并重命名

语法示例:

UnLockFile[Self(Path="\??\c:\lock.dll")][ReName(Name="\??\c:\22lock.dll")]=Access

含义:解锁C盘的lock.dll,并重命名为22lock.dll

说明:用于解除被驱动层锁定的文件.

语法说明:

名称 描述 其他
UnLockFile 前缀关键词, 该语句的头部声明,大小写敏感
Self 用于描述需要进行操作的目标文件,文件信息为文件全路径Path.注意路径之前需要保留DOS路径前缀” \??\”.
ReName  解锁后重命名的后名字Name,也是文件全路径名称.
Access 后缀固定关键词

 

 

七、基本网络拦截规则 支持黑白名单组合使用

语法示例:

// 拦截 qq.exe 连接任何网络.
NetWork[Protocol(All)][Process(Path="*\qq.exe")][Address("*:*->*:*")]=Deny

// 黑白名单组合规则:先拦截 client.exe 连接任何网络,再放行其与 192.168.X.X 这个C段的IP的1234端口进行通讯。目的是让 client.exe 不能连外网,只能与内网的1234端口进行通讯.
NetWork[Protocol(All)][Process(Path="*\client.exe")][Address("*:*->*:*")]=Deny
NetWhite[Protocol(All)][Process(Path="*\client.exe")][Address("192.168.*:1234")]=Allow

// 阻止任何进程连接 115.239.211.X 这个D段下任何一个IP的 443 端口.
NetWork[Protocol(All)][Process(null)][Address("*:*->115.239.211*:443")]=Deny

// 阻止MD5值为"c613e69c3b191bb02c7a191741a1d024"的进程用TCP的方式连接 126.211.152.32 的 8800 端口.
NetWork[Protocol(TCP)][Process(MD5="c613e69c3b191bb02c7a191741a1d024")][Address("*:*->126.211.152.32:8800")]=Deny

// 阻止 360se.exe 进程用TCP的方式连接 122.228.233.208 的任何端口
NetWork[Protocol(TCP)][Process(Path="*360se.exe")][Address("*:*->122.228.233.208:*")]=Deny

// 阻止 client.exe 进程用UDP的方式与任何IP地址的53端口进行通讯, 一般用于拦截一个进程的DNS解析操作.
NetWork[Protocol(UDP)][Process(Path="*\client.exe")][Address("*:*->*:53")]=Deny

// 阻止任何进程用ICMP协议访问 115.236.139.174 ,一般用于拦截ping操作
NetWork[Protocol(ICMP)][Process(null)][Address("*:*->115.236.139.174:*")]=Deny

说明:

根据协议类型(或者不关心协议类型)对特定的进程(或者不关心进程)访问特定的网络地址进行拦截操作.

语法说明:

名称 描述 其他
NetWork 前缀关键词, 该语句的头部声明,大小写敏感;白名单(放行)关键词为“NetWhite”.
Protocol 协议类型,包括TCP,UDP,ICMP,如果不关心可以直接使用All表示全部.
Process  关心的进程信息,可以使用路径信息(必须带通配符*或?),或者MD5信息.如果不关心这个进程的话就直接使用null.
Address 网络的本地与对端地址”本地地址:端口号->远端地址:端口号”.地址与端口可使用通配符*或?;白名单(放行)只支持“远端地址:端口号”,不支持“本地地址:端口号”. 地址只支持IP,不支持直接使用域名。
Deny 后缀固定关键词,白名单关键词为“Allow”.

八、http过滤规则

语法示例:

// 拦截进程路径结尾包含 rome.exe 的进程向任何地址请求包含 *m?rdid=* 特征的HTTP数据(必须带通配符*或?).
TCPPkgFilter[Direction(out)][Process(Path="*rome.exe")][Feature(text="*m?rdid=*")]=Deny

// 拦截 MD5 值为 923fe895b22b22a9ca03c72f3d15ce20 的进程向任何地址请求包含 *m?rdid=* 特征的HTTP数据 (必须带通配符*或?)
TCPPkgFilter[Direction(out)][Process(MD5="923fe895b22b22a9ca03c72f3d15ce20")][Feature(text="*m?rdid=*")]=Deny

说明:用于拦截http接收或发出的包含特征的明文http包,只支持HTTP,不支持https类型.  本规则目前并不完美,可能有时会失效,不推荐使用。

语法说明:

名称 描述 其他
TCPPkgFilter 前缀关键词, 该语句的头部声明,大小写敏感.
Direction 数据发送方向,in:接收.out:发出.
Process http通信的进程信息,可以是路径信息Path(必须带通配符*或?),也可以是MD5信息.
Feature http包特征,特征数据(必须带通配符*或?).
Deny 后缀固定关键词

九、DNS域名解析拦截规则

语法示例:

//全局拦截域名 www.xvideo.com 解析,造成该域名解析失败,返回结果:找不到主机.
DNS[Domain("www.xvideo.com")][Process(null)]=Deny

//拦截名称为 ping.exe 的进程解析域名 www.xvideo.com,造成该域名解析失败,返回结果:找不到主机. 其他进程可以正常解析这个域名.
//注意:由于某些原因,指定了进程名称实际上也是全局拦截域名!
DNS[Domain("www.xvideo.com")][Process(Path="*\ping.exe")]=Deny

说明:DNS域名解析规则中的域名不支持任何通配符,您需要填写完整的域名,例如 qq.com 不能代表 www.qq.com .

注意:往往一个软件可能内置多个备用域名,要尽可能多抓包查看实际使用的域名列表;或者当域名解析失败时,软件可能直接使用IP连接,可使用基本网络拦截规则进行拦截.

十、DLL模块注入规则

语法示例:

//当 2.exe 运行时,内核将自动将 3.dll 注入到 2.exe,也就是说每次 2.exe 运行时都会自动加载 3.dll
InjectDll[Self(Path="c:\3.dll")][HostName(Name="2.exe")]=Access

说明:向指定名称的进程在启动时注入指定的dll模块.

语法说明:
InjectDll: 前缀关键词, 该语句的头部声明,大小写敏感
Self: 指定需要注入的目标模块的路径Path,该路径为模块绝对路径,需要带盘符,不能带通配符.
HostName: 被注入的宿主进程名称信息,Name为进程全名,不是路径,不能带通配符.
Access: 后缀固定关键词

 

十一、窗口规则

语法示例:

WindowCheck[Proc("*explorer.exe")][Title(null)][Class("*StatusTips")][Style(8c000000;00000000)][Rect(800x600)][Action(Hide)]=Deny
WindowCheck[Proc("*.exe")][Title("*皇家娱乐")][Class(null)][Style(null)][Rect(null)][Action(close)]=Deny

说明:用于对指定的窗体进行关闭或隐藏等操作。

窗口规则可使用维护大师窗口猎手一键生成,维护大师窗口猎手下载

语法说明:

名称 描述 其他
WindowCheck 前缀关键词, 该语句的头部声明,大小写敏感.
Proc 进程的名称,如果忽略,可设置为”*.exe”
Title 窗口标题,如果忽略,可设置为null
Class 窗口类名,如果忽略,可设置为null
Style 窗口样式,如果忽略,可设置为null. 第一个值代表标准样式,第二个值代表扩展样式.  值必须为8位16进制,若不足8位需要在前面补0,若某个样式缺失或忽略,则设为00000000  

句柄精灵下载

彗星小助手下载

Rect 窗口矩形,如果忽略,可设置为null
Action 对符合条件的窗口执行的操作,不区分大小写.

hide    隐藏窗口

close  关闭窗口

kill       结束窗口所属的进程

mini    最小化窗口

move  将窗口移动到不可见的位置.

Deny 后缀固定关键词