上一期我们了解了“木马行为防御行为编辑器”的基本作用，今天我们来学习一下几种常见病毒行为的规则拆解。其实无论什么类型的木马、病毒，它们的病毒行为都是类似的，其常规操作包括：偷偷释放病毒文件，把释放的文件设为自启动，遍历硬盘目录（在文件夹中搜索）查找EXE文件并修改等。那么，针对这些常见的病毒破坏行为，我们应该如何建立“防御行为规则”呢？
　　例如：如果有一个病毒，进入电脑电脑后首先把自己复制多份，释放到系统文件夹中，然后搜索系统文件夹，找到系统EXE文件并破坏。那么我们就可以设定以下规则：
　　第一步：运行“木马行为规则编辑器”，单击左下方的“添加”，建立新规则。病毒记录名称设定为“病毒A”（这个名称可以自己指定，你甚至可以起名为“熊猫再烧香”），敏感级别默认为“中”。另外，作者一项你可以填写自己的名字、网名等，附加信息相当于注释，自己可以任意填写。
　　


　　(1)
　　


　　(2)
　　第二步：单击病毒特征后面的“指定”按钮，在弹出的对话框中选择“强自复制”。单击下方的“添加API”按钮，针对“病毒搜索系统文件夹”这个动作，在弹出的对话框中依次选择“查找文件→监控规则→目录名→包含”，在包含中设置为“?:\”（见图1），依次选择“监控规则→文件名”，将此处的包含设置为“EXE”。
　　第三步：针对“病毒破坏系统EXE”这个动作，单击“添加文件”，在弹出的对话框中选择“修改文件→主文件类型→数值”，将数值设置为2（见图2）。
　　这样，一个比较完整的规则就诞生了。单击左下方的“导出”按钮，可以将你编辑的规则导出为XML格式文件，上传到论坛分享，或者共享给你的QQ好友。如果你发现了合适的规则，可以单击左下方的“导入”按钮导入，从而使之成为瑞星杀毒软件主动防御方面的新规则。
　　
　　小提示
　　这里的最后一项是可以自己填写的，如果病毒只搜索带有特定字符的目录，如包含“Windows”，你就可以在这一项里自己填写“Windows”。