说明:我编辑时是.//(点号加两个斜杠),可在文章中却变成一个斜杠,且有的斜杠方向反了。所以维护大师的语法最好到它的官网上查看说明。

参数备忘:Create包含了 读、写、创建,三种动作。 Read只是读动作。 Write只是写动作。 Delete是删除动作
包括打开/创建(Create),读(Read),写(Write),删除(Delete),重命名(Rename) 注意大小写

.*\123.exe代表目录下的123.exe
.*123.exe代表目录下包含123.exe

第一条只能拦截123.exe

第二条可以拦截3123.exe 4123.exe 5123.exe …………就是说包含123.exe的都拦截

//拦截DLL劫持
ModuleHost(null)=Deny
FileCheckSelf(Path=".*\irwin.dll")[AccessMode(Create)]=Deny
第一条是模块拦截(所有包含uitck.dll的文件),第二条是禁止创建此文件(目录下全名为irwin.dll的文件)

备忘:2018年3月19日用ModuleHost(null)=Deny这条规则一直拦截不成功,但拦截uitck.dll却成功,不知道是不是维护大师的BUG,把规则改为文件规则:禁止创建就拦截成功了

//拦截创建广告
FileCheckSelf(Path=".\Temp\.")[AccessMode(Create)]=Deny
FileCheckSelf(Path=".\Program Files.\.*")[AccessMode(Create)]=Deny
关于第二条之前写为".\Program Files (x86)\." 不成功,改为.\Program~1\.也不成功,最后技术教我改为Program Files.*才成功。

//拦截写入广告(此目录只能拦截写入,拦截创建或者读取会出问题)
FileCheckSelf(Path=".\Windows\SysWOW64\.")[AccessMode(Write)]=Deny


规则:

//固定万象进程
FileCheckSelf(Path=".*.exe")[AccessMode(Write)]=Deny

//拦截创建广告
FileCheckSelf(Path=".\Temp\.")[AccessMode(Create)]=Deny
FileCheckSelf(Path=".\Program Files.\.*")[AccessMode(Create)]=Deny

//拦截写入广告(此目录只能拦截写入,拦截创建或者读取会出问题)
FileCheckSelf(Path=".\Windows\SysWOW64\.")[AccessMode(Write)]=Deny

//锁屏广告
FileCheckSelf(Path=".*.ocx")[AccessMode(Create)]=Deny

//拦截DLL劫持
ModuleHost(null)=Deny
FileCheckSelf(Path=".*\irwin.dll")[AccessMode(Create)]=Deny
FileCheckSelf(Path=".*\irwin.dat")[AccessMode(Create)]=Deny
FileCheckSelf(Path=".*\uitck.dll")[AccessMode(Create)]=Deny

//只允许创建子进程
ProcAccessParent(Path=".*wxcltaidex.exe")=Access

//拦截万象进程写日志
FileCheckSelf(Path=".\wxLog\wxcltaidex.exe\wxcltaidex.exe\..log")[AccessMode(Create)]=Deny

// 拦截ikuconn.exe创建任何子进程,除了cmd.exe外
ProcAccessParent(Path=".*\iKuConn.exe")=Access

//拦截YY进程创建图标
FileCheckSelf(Path=".*DianHu_comwangba.exe")[AccessMode(Create)]=Deny
FileCheckSelf(Path=".*DianHu.exe")[AccessMode(Create)]=Deny
FileCheckSelf(Path=".*.lnk")[AccessMode(Create)]=Deny
weihudashi