不受限的
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\SystemRoot%System32\*.exe
%HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\ProgramFilesDir%
C:\Program Files\Internet Explorer\iexplore.exe 保护正常IE程序运行
C:\WINDOWS\amcap.exe 允许运行摄像头程序
C:\WINDOWS\Explorer.exe 保护正常的Explorer.exe进程运行
C:\WINDOWS\notepad.exe 保护正常的记事本程序
C:\WINDOWS\regedit.exe 允许运行注册表编辑器
C:\WINDOWS\RTHDCPL.EXE 允许运行声卡管理程序
C:\WINDOWS\RTLCPL.EXE 允许运行声卡管理程序
C:\WINDOWS\system32\csrss.exe 保护系统正常进程
C:\WINDOWS\system32\ctfmon.exe 保护正常的输入法进程
C:\WINDOWS\system32\logonui.exe 保护系统正常的登陆注销
C:\WINDOWS\system32\lsass.exe 保护系统正常进程
C:\WINDOWS\system32\msconfig.exe 保护系统启动项配置程序
C:\WINDOWS\system32\notepad.exe 保护正常的记事本程序
C:\WINDOWS\system32\regsvr32.exe 保护系统组件注册程序
C:\WINDOWS\system32\rundll32.exe 允许正常rundll32.exe进程
C:\WINDOWS\system32\services.exe 保护系统正常进程
C:\WINDOWS\system32\smss.exe 保护系统正常进程
C:\WINDOWS\system32\spoolsv.exe 保护正常的打印机进程
C:\WINDOWS\system32\svchost.exe 允许正常svchost.exe进程
C:\WINDOWS\system32\taskmgr.exe 保护任务管理器进程
C:\WINDOWS\system32\winlogon.exe 允许正常winlogon.exe进程
C:\WINDOWS\system32\wuauclt.exe 保护系统自动更新进程
C:\WINDOWS\winhelp.exe 允许运行hlp格式的帮助文件
C:\WINDOWS\winhlp32.exe 允许运行hlp格式的帮助文件
不允许的
%ALLAPPDATA%\*.* 禁止从程序文件夹执行文件
%ALLUSERPROFILE%\「开始」菜单\程序\启动\*.* 禁止从启动文件夹执行文件
%ALLUSERSPROFILE%\*.* 禁止从所有用户目录执行文件
%APPDATA%\*.* 禁止从程序文件夹执行文件
%CommonProgramFiles%\*.* 禁止从安装目录执行文件
%ProgramFiles%\*.* 禁止从安装目录执行文件
%ProgramFiles%\Internet Explorer\*.* 禁止从IE的安装文件夹执行文件
%SYSTEMROOT%\*.* 禁止从WINDOWS文件夹下执行文件
%SYSTEMROOT%\Config\**\*.* 禁止从config目录执行文件
%SYSTEMROOT%\Downloaded Program Files\**\*.* 禁止从IE临时下载文件夹执行文件
%SYSTEMROOT%\Fonts\*.* 禁止从字体文件夹执行文件
%SYSTEMROOT%\system\*.* 禁止从system文件夹执行文件
%SYSTEMROOT%\system32\config\**\*.* 禁止从注册表文件夹执行文件
%SYSTEMROOT%\system32\drivers\**\*.* 禁止从驱动目录执行文件
%SYSTEMROOT%\system32\spool\**\*.* 禁止从打印机目录执行文件
%SYSTEMROOT%\tasks\**\*.* 禁止从计划任务中执行文件
%SYSTEMROOT%\Temp\**\*.* 禁止从临时文件夹执行文件
%USERPROFILE%\*.* 禁止从当前用户目录执行文件
%USERPROFILE%\「开始」菜单\程序\启动\*.* 禁止从启动文件夹执行文件
%USERPROFILE%\Cookies\*.* 禁止从Cookies执行文件
%USERPROFILE%\Local Settings\Application Data\**\*.* 禁止从临时程序文件夹执行文件
%USERPROFILE%\Local Settings\History\**\*.* 禁止从历史记录中执行文件
%USERPROFILE%\Local Settings\Temporary Internet Files\**\*.* 禁止从IE缓存中执行文件
*.???.bat 禁止执行双扩展名文件
*.???.cmd 禁止执行双扩展名文件
*.???.com 禁止执行双扩展名文件
*.???.exe 禁止执行双扩展名文件
*.???.pif 禁止执行双扩展名文件
?:\*.* U盘病毒防御策略
?:\autorun.inf U盘病毒防御策略
?:\Recycler\**\*.* 禁止从回收站执行文件
?:\System Volume Information\**\*.* 禁止从备份文件夹执行文件
?udf.dll 防止udf.dll专用网马
_desktop.ini 免疫威金、熊猫
c?nime.* 禁止conime及其仿冒进程加载
csrss.* 禁止csrss仿冒进程加载
ctfm?n.* 禁止任务栏输入法图标仿冒进程加载
exp??re*.* 禁止explorer仿冒进程加载
iexp??r*.* 禁止IE仿冒进程加载
inexp??r*.* 禁止IE仿冒进程加载
internat.* 禁止托盘区输入法图标及其仿冒进程加载
intranet.* 禁止IE仿冒进程加载
langouster_udf.dll 禁止langouster_udf.dll专用网马
lass.* 禁止lsass仿冒进程加载
logo*.* 免疫威金、熊猫
lssas.* 禁止lsass仿冒进程加载
Mix.dll 防止利用Mix.dll My_udf.dll的WEBSHELL提升权限
My_udf.dll 防止利用Mix.dll My_udf.dll的WEBSHELL提升权限
n?tepad.* 禁止记事本仿冒进程加载
n?tpad.* 禁止记事本仿冒进程加载
QQUpdateCenter.exe 禁止QQ更新
regsv*.* 禁止组件注册程序仿冒进程加载
rund*.* 禁止rundll32仿冒进程加载
s??h?st.* 禁止svchost仿冒进程加载
s?vch?st.* 禁止svchost仿冒进程加载
scrss.* 禁止csrss仿冒进程加载
sp???sv.* 禁止打印机服务仿冒进程加载
sxs.* 免疫SXS1980病毒
taskmgr.* 禁止任务管理器仿冒进程加载
TIMPlatform.exe 禁止珊瑚虫进程加载,不影响显IP
win??g?n.* 禁止winlogon仿冒进程加载
wuauc?t.* 禁止系统自动更仿冒进程加载
xiaohao.* 免疫小浩病毒
转载于:https://blog.51cto.com/xoxox/412717