資料介紹

軟件類型：安全相關-系統安全
軟件性質：免費軟件
操作系統：Windows® 7、Vista™、XP、和 2003
問題反饋：http://www.threatfire.com/cn/supportinfo/
網站鏈接：http://www.threatfire.com/cn/
版本說明：簡約規則2010版即著名的tf局長規則由卡飯網網友baerzake提供
版本更新：
6.28更新：信任列表加入了少量常見軟件，上個版本漏加了explorer，現重新加入。
6.22更新：添加了一些重要注冊表鍵值防御，增加了U盤病毒防御。
4.15小更新：將explorer.exe加入了信任列表，不想重新下載的卡飯可以自行添加。

[ThreatFire簡約規則2010版].General.rar網盤下載:http://u.115.com/file/f030d80dd1
(下載後勿忘做源分流)

引用 【發布者語】
導入規則後的TF真的是非常非常的強大...強大到只有用過的人才能體會~囧
裝了TF後,木馬啊病毒啊惡意軟件啊什麼亂七八糟的東西的可疑動作都會被TF攔截或彈窗提示操作,所以機子裡的小紅傘就開始很悠閒了...難怪有人只用HIPS來裸奔(新手不建議)!
不過因為彈窗提示操作需要一定的電腦基礎進行判斷操作,所以未免造成不必要的損失,建議沒有一定電腦基礎的新手斟酌下載使用!!!謝謝合作~

引用 【殺毒提示】
已通過安全檢測：
安全檢測軟件：Avira AntiVir Personal
版本號：9.0.0.13
病毒庫發布時間：2010-06-25
引擎版本：8.02.04.02 (20100622)

引用 【安裝/卸載】
一般步驟安裝卸載

引用 【ThreatFire簡約規則2010版使用注意事項】
敏感度：建議默認三級。強烈建議不要超過3級，會造成很多系統進程的誤報！

【規則導入方法】
停止TF保護（不停止也可以，但建議停止），然後XP用戶請將附件中文件復制到C:/Documents and Settings/All Users/Application Data/PC Tools/ThreatFire目錄下替換原文件（此目錄為隱藏目錄），Vista用戶請將附件中文件復制到C:/ProgramData/PC Tools/ThreatFire目錄下（同樣是隱藏目錄）【windows7系統經熱心卡飯測試可以使用，規則目錄同VISTA。】。然後檢查TF高級設置裡是否規則都打了鉤，若打鉤了重啟系統即可正常使用。

建議導入規則後將常用程序都運行一遍，有報警的點允許並記住【特別是一些更新程序會後台聯網的被報警】。以後就會很安靜了。

【VISTA用戶注意】
TF對於“非交互進程”的定義規則在Vista下好像不是很有效，不知道為什麼，此規則中有一條監控非交互進程聯網的規則在XP下很正常，但在Vista 下使用時任何進程聯網都會報警，所以如果覺得麻煩的Vista用戶可以不勾選這條規則。

【ThreatFire簡約規則2010版預覽】

【軟件簡介】
ThreatFire™ 能傳統防病毒軟件之不能，全面保護您的計算機

計算機不斷受到病毒、間諜軟件和身份盜竊的攻擊。每天都會出現針對您計算機的新威脅。它們比以往來得更快、更猛、更難設防，傳統防病毒軟件已跟不上它們的腳步。

您的防病毒軟件能防護今天剛出現的最新惡意軟件嗎？大多數情況下都不能，因為它根本檢測不出來。但 ThreatFire 的 ActiveDefense 技術可以做到，而且經證實，它與傳統防病毒產品配合使用時，可多提供高達 243% 的保護。請參閱下表。

單獨使用傳統安全產品的情況與結合 ThreatFire 使用傳統安全產品的效果對比

圖表顯示了 ThreatFire 在對系統檢測、阻擋和刪除零時差威脅和未知威脅時所提供的額外保護力度，這是 2009 年 6 月 AV-test.org 在一項獨立的試驗中得出的結果。所測試的競爭產品為 Alwil Software avast!Antivirus、AVG Technologies AVG Anti-Virus Free、Avira AntiVir Premium、G Data Software G Data AntiVirus 2010、Kaspersky Lab Kaspersky Anti-Virus 2009、McAfee VirusScan Plus、Trend Micro Trend Micro AntiVirus 和 AntiSpyware，在測試日期中都應用了最新的更新。

ThreatFire最具有特色的地方,應該就是它享有專利的行為監控技術 ( patent-pending ActiveDefense technology ),可以監控電腦中活動的進程,當辨識到惡意的程序,或是發現可疑的行為時,便會阻止其對系統的入侵破壞,或是提示使用者進行判斷.這種監控方式因為是判斷某個程序的行為是否有妨礙系統安全的可疑動作,或是辨識那些會更動系統核心區域的行為,只要這個進程有「不正常」的動作就會被揪出來,理論上來說,這是更好的惡意軟體防護方式,因為不管惡意軟體怎麽變,他要入侵電腦就一定要做出某些動作,而我們只要揪出這些動作然後阻止即可,不需要完全依靠病毒碼的方式來辨識惡意軟體本身.這種監控方式因為是判斷某個程序的行為是否有妨礙系統安全的可疑動作,或是辨識那些會更動系統核心區域的行為,只要這個進程有「不正常」的動作就會被揪出來,理論上來說,這是更好的惡意軟體防護方式,因為不管惡意軟體怎麼變,他要入侵電腦就一定要做出某些動作,而我們只要揪出這些動作然後阻止即可,不需要完全依靠病毒碼的方式來辨識惡意軟體本身.
　　重要的是，它具有類似程序防火牆的作用，號稱西方的微點，是可以與殺毒軟件配合使用的一個絕佳選擇，能夠查出殺毒軟件所無法掃描到的惡意程序，保護電腦安全.

如果我已經有防病毒軟件了，為什麼還需要 ThreatFire 呢？

ThreatFire 與傳統防病毒軟件有很大不同。常規的防病毒產品通常必須先識別並發現威脅，才能提供足夠防護。發現威脅之後，防病毒研究人員必須先編寫代碼，然後將代碼通過特征碼或指印更新的形式提供給用戶，以此提供保護。這需要較長一段時間，在此期間，無法檢測出該威脅，所以即使您的計算機裝有防病毒軟件，也會被感染。

為什麼說 ThreatFire 能夠提供傳統防病毒軟件不能提供的保護？

ThreatFire 通過檢測惡意行為持續保護您的計算機抵御攻擊，可檢測的惡意行為包括擊鍵捕獲或數據竊取等，而不像常規防病毒軟件那樣只能查找已知威脅。通過采用精密的實時行為分析，ThreatFire 僅憑檢測惡意活動就能夠制止從未出現過的"零天威脅"。
零天威脅通常利用傳統安全產品當前無法防護的新弱點或漏洞進行攻擊。它們一般通過群發電子郵件（垃圾郵件）、網站劫持、即時消息或點對點網絡快速大量傳播。因為傳統安全軟件無法檢測到它們，所以即使您安裝了最新版的防病毒軟件，也無法阻擋它們輪番"轟炸"並侵害您的計算機安全。
ThreatFire 正在申請專利的 ActiveDefense 技術可防護所有類型的因特網威脅，不管是已知威脅還是未知威脅，都能一網打盡，例如間諜軟件、廣告軟件、擊鍵記錄器、病毒、蠕蟲、特洛伊木馬、根工具包、緩沖區溢出和其他惡意軟件。ThreatFire 使用其獨一無二的保護功能，獵尋並消滅讓傳統的"基於特征碼"的防病毒軟件束手無策的狡猾的新威脅。

是不是只有專家才能使用 ThreatFire？

ThreatFire 是一種旨在為所有人服務的先進技術，而不是僅供專家使用。

我們認為安全軟件應該做到"安裝後便萬事大吉"，因此，一旦安裝 ThreatFire 後，您不需要處理任何技術問題，實際上，您只有當 ThreatFire 檢測到惡意軟件並需要您注意時，才會覺察到它一直在保護您的系統。

【ThreatFire的擴展】
如果你具有基本的安全知識，而且還有耐心，那麼完全可以自定一個規則來打造攔截率超過98%的tf。
　　下面引用網友baerzake的規則，也就是著名的tf局長規則。
　　因為病毒的特性是就是隱蔽，無界面，無進程……，故而設置一條針對非交互進程的規則即可，規則大意是禁止後台執行可執行文件。
　　正常程序一般不會後台自動運行，除了一些升級程序，可以在提示時選擇允許並記住就可以了（開始提示會有點多，但一兩天後就會很安靜，很強大）。
　　具體設置見下圖右
　　（常用可執行文件有*.ax *.bat *.bin *.cab *.cmd *.com *.cpl *.dll *.drv *.exe *.hiv *.hta *.lmz *.ocx *.olb *.pif *.scr *.sys *.tlb *.vxd *.x32）　
　　實測中幾乎所有的病毒或惡意程序都被攔截，有的甚至連自帶的規則都沒過（能過自帶的就是很厲害的病毒了。）
　　至於應該如何判斷，最好的辦法是先看這個進程是不是自己的正常程序（在哪個文件夾，是不是三無產品）。如果不是，那就要小心了，到“文件活動詳細信息”去看看這個程序到底想做什麼，如果它是想搞破壞，堅決斬立決。
　　其次，如果是在安裝補丁、或安裝新的軟件時它立馬彈出來，則應該放行。這些經驗還很淺顯，只是拋磚引玉，娛樂一下大眾o(∩_∩)o

引用 【主機入侵防御體系即HIPS簡介】
Host-based Intrusion Prevention System HIPS，基於主機的入侵防御系統。HIPS是一種能監控你電腦中文件的運行和文件運用了其他的文件以及文件對注冊表的修改，並向你報告請求允許的的軟件。如果你阻止了，那麼它將無法運行或者更改。比如你雙擊了一個病毒程序，HIPS軟件跳出來報告而你阻止了，那麼病毒還是沒有運行的。引用一句話：”病毒天天變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問題。”。 HIPS是以後系統安全發展的一種趨勢，只要你有足夠的專業水平，你可以只用HIPS而不需殺毒軟件。但是HIPS並不能稱為防火牆，最多只能叫做系統防火牆，它不能阻止網絡上其他計算機對你計算機的攻擊行為。
　　因為病毒天天變種天天出新，使得殺軟可能跟不上病毒的腳步，而HIPS能解決這些問題。
　　我們個人用的HIPS可以分為3D：
　　AD(Application Defend)應用程序防御體系
　　RD(Registry Defend)注冊表防御體系
　　FD(File Defend)文件防御體系
　　它通過可定制的規則對本地的運行程序、注冊表的讀寫操作、以及文件讀寫操作進行判斷並允許或禁止。
　　所謂hips(主機入侵防御體系)，也就是現在大家所說的系統防火牆，它有別於傳統意義上的網絡防火牆nips.
　　二者雖然都是防火牆，但是在功能上其實還是有很大差別的：傳統的nips網絡防火牆說白了就是只有在你使用網絡的時候能夠用上，通過特定的tcp/ip協議來限定用戶訪問某一ip地址，或者也可以限制互聯網用戶訪問個人用戶和服務器終端，在不聯網的情況下是沒有什麼用處的；而hips系統防火牆就是限制諸如a進程調用b進程，或者禁止更改或者添加注冊表文件--打個比方說，也就是當某進程或者程序試圖偷偷運行的時候總是會調用系統的一些其他的資源，這個行為就會被hips檢測到然後彈出警告詢問用戶是否允許運行，用戶根據自己的經驗來判斷該行為是否正確安全，是則放行允許運行，否就不使之運行，一般來說，在用戶擁有足夠進程相關方面知識的情況下，裝上一個hips軟件能非常有效的防止木馬或者病毒的偷偷運行，這樣對於個人用戶來說，中毒插馬的可能性就基本上很低很低了.但是，只是裝上個hips也不是最安全的，畢竟--用戶穿上的只是個全透明防彈衣也還是會被某些別有用心的人偷窺去用戶的個人隱私的，所以，選用一款功能強大而小巧的防火牆也是很重要的--起碼有防止DDOS攻擊和防arp欺騙攻擊功能(對內網用戶尤為重要)！