不受限的
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot% 
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe 
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe 
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir% 
C:\Program Files\Internet Explorer\iexplore.exe      保护正常IE程序运行
C:\WINDOWS\amcap.exe         允许运行摄像头程序
C:\WINDOWS\Explorer.exe         保护正常的Explorer.exe进程运行
C:\WINDOWS\notepad.exe         保护正常的记事本程序
C:\WINDOWS\regedit.exe         允许运行注册表编辑器
C:\WINDOWS\RTHDCPL.EXE         允许运行声卡管理程序
C:\WINDOWS\RTLCPL.EXE         允许运行声卡管理程序
C:\WINDOWS\system32\csrss.exe        保护系统正常进程
C:\WINDOWS\system32\ctfmon.exe        保护正常的输入法进程
C:\WINDOWS\system32\logonui.exe        保护系统正常的登陆注销
C:\WINDOWS\system32\lsass.exe        保护系统正常进程
C:\WINDOWS\system32\msconfig.exe       保护系统启动项配置程序
C:\WINDOWS\system32\notepad.exe        保护正常的记事本程序
C:\WINDOWS\system32\regsvr32.exe       保护系统组件注册程序
C:\WINDOWS\system32\rundll32.exe       允许正常rundll32.exe进程
C:\WINDOWS\system32\services.exe       保护系统正常进程
C:\WINDOWS\system32\smss.exe        保护系统正常进程
C:\WINDOWS\system32\spoolsv.exe        保护正常的打印机进程
C:\WINDOWS\system32\svchost.exe        允许正常svchost.exe进程
C:\WINDOWS\system32\taskmgr.exe        保护任务管理器进程
C:\WINDOWS\system32\winlogon.exe       允许正常winlogon.exe进程
C:\WINDOWS\system32\wuauclt.exe        保护系统自动更新进程
C:\WINDOWS\winhelp.exe         允许运行hlp格式的帮助文件
C:\WINDOWS\winhlp32.exe         允许运行hlp格式的帮助文件

不允许的
%ALLAPPDATA%\*.*         禁止从程序文件夹执行文件
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.*      禁止从启动文件夹执行文件
%ALLUSERSPROFILE%\*.*         禁止从所有用户目录执行文件
%APPDATA%\*.*          禁止从程序文件夹执行文件
%CommonProgramFiles%\*.*        禁止从安装目录执行文件
%ProgramFiles%\*.*         禁止从安装目录执行文件
%ProgramFiles%\Internet Explorer\*.*       禁止从IE的安装文件夹执行文件
%SYSTEMROOT%\*.*         禁止从WINDOWS文件夹下执行文件
%SYSTEMROOT%\Config\**\*.*        禁止从config目录执行文件
%SYSTEMROOT%\Downloaded Program Files\**\*.*      禁止从IE临时下载文件夹执行文件
%SYSTEMROOT%\Fonts\*.*         禁止从字体文件夹执行文件
%SYSTEMROOT%\system\*.*         禁止从system文件夹执行文件
%SYSTEMROOT%\system32\config\**\*.*       禁止从注册表文件夹执行文件
%SYSTEMROOT%\system32\drivers\**\*.*       禁止从驱动目录执行文件
%SYSTEMROOT%\system32\spool\**\*.*       禁止从打印机目录执行文件
%SYSTEMROOT%\tasks\**\*.*        禁止从计划任务中执行文件
%SYSTEMROOT%\Temp\**\*.*        禁止从临时文件夹执行文件
%USERPROFILE%\*.*         禁止从当前用户目录执行文件
%USERPROFILE%\「开始」菜单\程序\启动\*.*      禁止从启动文件夹执行文件
%USERPROFILE%\Cookies\*.*        禁止从Cookies执行文件
%USERPROFILE%\Local Settings\Application Data\**\*.*     禁止从临时程序文件夹执行文件
%USERPROFILE%\Local Settings\History\**\*.*      禁止从历史记录中执行文件
%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.*    禁止从IE缓存中执行文件
*.???.bat          禁止执行双扩展名文件
*.???.cmd          禁止执行双扩展名文件
*.???.com          禁止执行双扩展名文件
*.???.exe          禁止执行双扩展名文件
*.???.pif          禁止执行双扩展名文件
?:\*.*           U盘病毒防御策略
?:\autorun.inf          U盘病毒防御策略
?:\Recycler\**\*.*         禁止从回收站执行文件
?:\System Volume Information\**\*.*       禁止从备份文件夹执行文件
?udf.dll          防止udf.dll专用网马
_desktop.ini          免疫威金、熊猫
c?nime.*          禁止conime及其仿冒进程加载
csrss.*           禁止csrss仿冒进程加载
ctfm?n.*          禁止任务栏输入法图标仿冒进程加载
exp??re*.*          禁止explorer仿冒进程加载
iexp??r*.*          禁止IE仿冒进程加载
inexp??r*.*          禁止IE仿冒进程加载
internat.*          禁止托盘区输入法图标及其仿冒进程加载
intranet.*          禁止IE仿冒进程加载
langouster_udf.dll         禁止langouster_udf.dll专用网马
lass.*           禁止lsass仿冒进程加载
logo*.*           免疫威金、熊猫
lssas.*           禁止lsass仿冒进程加载
Mix.dll          防止利用Mix.dll My_udf.dll的WEBSHELL提升权限
My_udf.dll         防止利用Mix.dll My_udf.dll的WEBSHELL提升权限
n?tepad.*          禁止记事本仿冒进程加载
n?tpad.*          禁止记事本仿冒进程加载
QQUpdateCenter.exe         禁止QQ更新
regsv*.*          禁止组件注册程序仿冒进程加载
rund*.*           禁止rundll32仿冒进程加载
s??h?st.*          禁止svchost仿冒进程加载
s?vch?st.*          禁止svchost仿冒进程加载
scrss.*           禁止csrss仿冒进程加载
sp???sv.*          禁止打印机服务仿冒进程加载
sxs.*           免疫SXS1980病毒
taskmgr.*          禁止任务管理器仿冒进程加载
TIMPlatform.exe          禁止珊瑚虫进程加载,不影响显IP
win??g?n.*          禁止winlogon仿冒进程加载
wuauc?t.*          禁止系统自动更仿冒进程加载
xiaohao.*          免疫小浩病毒