册表Value防御设置(注意最后没有\):
文件防御
下面所列文件很少会有进程去改写。除非你正在安装软件或打补丁,正常情况下是不会改写的,所以报警的话隔离是最好的选择。
C:\autoexec.bat
C:\boot.ini
C:\config.sys
C:\msdos.sys
C:tdetect.com
C:tldr
C:\WINDOWS\system.ini
C:\WINDOWS\System32\AUTOEXEC.nt
C:\WINDOWS\System32\bootvrfy.exe
C:\WINDOWS\System32\CONFIG.nt
C:\WINDOWS\System32\control.ini
C:\WINDOWS\system32\drivers\etc\hosts
C:\WINDOWS\System32\logon.exe
C:\WINDOWS\System32tdos.sys
C:\WINDOWS\system32\svchost.exe
C:\WINDOWS\win.ini
C:\WINDOWS\wininit.ini
程序外联网络防御
木马一般都会要求外联发送窃取的信息。下面的规则就是防御木马外联的,适用于非交互程序(和用户没有通讯的,相当于隐藏秘密外联)。如果一个程序要联网,不是杀软升级或WINDOWS自动更新的话就要留意了,建议把报警框里的进程名百度一下,确定是正常程序再点允许并记住。
其他注意事项
把你的安全软件加入到信任区,这样会降低TF的CPU占用。
步骤:主界面的高级工具--高级规则设置--自定义规则设置--ThreatFire设置--进程列表--新--在打开的对话框内选择你要加入的程序加入即可,如下图:
泄漏防御
如果你已经装有硬件路由或软件防火墙,只需要稍微控制一下内部外联就可以了,下面的规则是用来补充只有防外功能的防火墙的,可以取代COMODO ,onlinearmor一类具有防内功能的防火墙来节省资源。
这个规则的思路就是把你平时要用到的需要外联的程序事先排除,这样以后报警就是没有排除的,需要注意的有可能是木马一类。
除了系统和信任进程列表中的进程排除之外,你可以创建另外的进程列表,把需要联网的程序加入就可以了。一般有浏览器,播放器,邮件客户端,P2P软件,下载工具等,这个看各人需要自行添加。
调用危险程序保护
一些系统程序被病毒调用的话会对系统造成危害,可以设置规则阻止调用,排除系统进程和信任进程即可。
C:\WINDOWS\System32\cmd.exe
C:\WINDOWS\System32\cscript.exe
C:\WINDOWS\System32\msh.exe
C:\WINDOWS\System32\mshta.exe
C:\WINDOWS\System32\reg.exe
C:\WINDOWS\System32\regedit.exe
C:\WINDOWS\System32\regsvr32.exe
C:\WINDOWS\System32\wscript.exe
C:\WINDOWS\System32tvdm.exe
C:\WINDOWS\System32\ftp.exe
C:\WINDOWS\System32ftp.exe