麦咖啡8.5设置

版权声明:转载 麦咖啡8.5设置 时请以超链接形式标明文章出自 正确的方法 !!!
https://cn.chinese-blog.org/mai-ka-fei-8.5-she-zhi/

HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:

FD:File Defend,文件防御体系

AD:Application Defend,应用程序防御体系

RD:Registry Defend,注册表防御体系

McAfee VirusScan Enterprise v8.5i通鉴

一、安装流程:

1、安装McAfee VirusScan Enterprise v8.5i,安装的最后不要选择“立即更新”

2、安装反间谍模块McAfee Anti-Spyware Enterprise Module v8.5

3、设置McAfee,导入自定义规则

4、升级病毒库,第一次升级很慢,而且往往不成功,最好下载superDAT安装,或者在“AutoUpdate”中设置固定时间让McAfee在后台自动升级,至此,安装已基本完成。

5、安装附加病毒库Extra.DAT,选择C:\Program Files\Common Files\McAfee\Engine路径。需要说明的是,附加病毒库列举的病毒都是疑似病毒,可能造成误报,当McAfee确认是真正的病毒后,将在下一次的病毒库升级时自动下载并加入到最新的标准病毒库中。如果Extra.DAT是错误的,将导致McAfee无法打开“按访问扫描程序”,另外,McAfee不支持附加病毒库的按访问扫描(监控),即如果此病毒被列入附加病毒库中,当McAfee监控到此病毒时,McAfee不会报毒,只有“按需扫描”时才会报毒,综上,附加病毒库不必安装。

6、关闭“访问保护”,将帮助文件更名为Vse,复制到D:\security\mcafee\VirusScan Enterprise\Res0402中即可在控制台中调用官方帮助文件。

二、病毒库备份:

1、病毒库位置在“系统盘:\Program Files\Common Files\McAfee\Engine”目录中,备份其中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文件,重装McAfee后,将这三个备份的DAT文件copy回“系统盘:\Program Files\Common Files\McAfee\Engine”目录,重启即可。

2、官方病毒库:(其中1234为DAT版本)http://www.mcafee.com/apps/downloads/security_updates/superdat.asp?region=us&segment=enterprise

http://download.nai.com/products/licensed/superdat/nai/Chinese/simplified/sdat1234.exe

3、病毒库数量:http://vil.nai.com/vil/DATReadme.aspx

三、7个进程:Frameworkservice.exe(升级),Mcshield.exe(实时监控),Mctray.exe,naPrdMgr.exe,SHSTAT.exe(任务栏图标),UdaterUI.exe(升级),Vstskmgr.exe(控制台)

二、软件设置

以下设置中没提到的均按照默认设置!

一、“控制台”-“工具”-“用户界面选项”,取消“允许此系统与其他系统建立远程控制台连接”。

二、Quarantine文件夹在C盘根目录下,实在是有碍观瞻,我们可以把文件夹移至C:\Documents and Settings\Quarantine下,在设置中,凡遇到需要这个选项时,均选择该文件夹。

三、日常使用中,所有的“报告”都可以关闭。

四、“电子邮件传递扫描”

1、“高级”-“启发式分析”中将“查找带有多个扩展名的附件”选中。

2、“操作”&“有害程序”-“发现威胁时”&“发现有害附件时”,“辅助操作”均选择“删除附件”。

五、“按访问扫描程序”:

1、“常规设置”—“常规”

1.1取消“在关机过程中扫描软盘”。

1.2“扫描时间”一栏中,“存档文件最长扫描时间”可以调成5秒,这样在进入含有大型程序的文件夹时,McAfee读取这些大型文件不会读取太久。“最长扫描时间”默认45秒即可。

2、“所有进程”

在“检测项”一栏中,如果在局域网上,可以选中“在网络驱动器上”。

六、“隔离管理器策略”中,“自动删除隔离数据”选择“1天”。

七、“完全扫描”和“目标扫描”,在“检测”-“压缩文件”一栏中,这里不是实时保护,所以需要检测压缩包,两个选项均须选中,除此以外的所有设置中,这两个选项都可以不选。

八、“AutoUpdate”中,点击“计划”—“计划”,McAfee每日更新,“起始时间”一般是调成比较频繁的上网时段,“启用随机选择”为开机10分钟即可。

三、访问保护

一、特别申明:系统升级、软(硬)件安装与卸载时,要暂停“访问保护”,切记切记!!

二、说明

1、McAfee的杀毒凌驾于一切规则之上!即设置规则禁止对染毒文件做任何操作,在McAfee杀毒时,该规则失效。所以不要介意将规则中的“删除”选项选中,因为即使禁止删除该文件,若该文件染毒,McAfee一样照杀不误。

2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。

3、双星号(**)表示在反斜线()字符前后任意多个层级的目录,即文件夹可以新建,但任何文件夹中的文件均被保护。

一个星号()表示任意一个或部分目录名称,(.*)表示任何文件,不包括文件夹,即只有一层文件夹内的文件被保护。

(*)与(**)均表示在当前目录下任意多个层级目录里的任何文件和文件夹。

4、在“要禁止的文件操作”里,除了“创建”外,其余四项都是对已有的文件进行操作,一般情况下,“写入”、“创建”和“删除”可以一同禁止,而且禁止“写入”有时需要禁止“创建”,否则系统会在此文件夹中创建TMP*.tmp的临时文件(垃圾文件)。

5、读取:对已有的文件进行读取操作,但不执行文件的内容;

写入:对已有的文件进行写入操作,即对文件的内容进行修改,删除等;

执行:对已有的文件进行执行操作,即执行文件的内容;

创建:在文件夹中创建一个新的文件;

删除:对已有的文件进行删除操作,包括修改文件名。

6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明:

空白项:默认状态,无任何意义。

HKLM:表示HKEY_LOCAL_MACHINE主键。

HKCU:表示HKEY_CURRENT_USER主键。

HKCR:表示HKEY_CLASSES_ROOT主键。

HKCCS:表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。

HKULM:表示HKCU+HKLM+HKEY_USER三大主键。

HKALL:表示所有主键。可以近似地当作自定义项来使用。

7、将“访问保护”中所有的“报告”取消,则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止,且用户尚未查看报告。

8、“阻止”与“报告”若同时选中,则既阻止又报告;若只选中“阻止”,则只阻止不报告;若只选中“报告”,则只报告不阻止。

9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。

10、“访问保护”不支持环境变量。环境变量的出现,是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法,比如windows2000的系统文件夹是WINNT,而windows XP的系统文件夹是WINDOWS,如果在2000下使用绝对路径编写的规则,在XP下就会失效,为了解决这一问题,McAfee在8.0i版时允许使用环境变量,比如%windir%无论在任何系统内都表示系统文件夹,这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了,原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少,随着windows vista以及电脑高端配置的出现,使用XP以上系统的用户会越来越多,而XP系统已成为了最基本的操作系统,因此从8.5i版开始,McAfee将只认可XP以上的系统,规则的通用性自然就会以XP系统为底线来编写,所以环境变量的存在已失去意义,当然就会退出舞台咯。

11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名,该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件,而非监控软件,“访问保护”只是辅助杀毒的一种手段,通过McAfee的内置规则不难看出,McAfee只提供对系统文件夹的保护,而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的,所以对McAfee来说,他的内置规则是不受文件夹更名威胁的。前面也说了,McAfee不是做监控或者保密软件的,他不支持保护个人的隐私文件和文件夹,那是否McAfee就因此也不保护一些重要的文件呢,不是,McAfee会保护全盘下的某一类文件,如**.exe,但是这样又会给使用带来诸多不便,从而影响实用性,可操作性也大大降低,在此种情况下,排除进程应运而生,所以编写规则时应尽量避免非系统文件夹的出现,使用通配符,再配合排除进程才是最完美的规则。

12、规则越多,监控的负担越大。规则的编写应该具有总结性,应该是某一类行为的概括,应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据,将所有的规则分为“层”,例如,当“访问保护”开启时,用户“执行”的任何操作,McAfee都会将之与所有包含“执行”的规则一一比对,如果此时规则很多,可想而知,监控的负担会变大,使用会变的迟缓,当然,对于高配置计算机,这个变化也许不是很明显,但系统资源仍会被消耗。

13、HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:

FD:File Defend,文件防御体系

AD:Application Defend,应用程序防御体系

RD:Registry Defend,注册表防御体系

三、访问保护中需要排除的进程

1、说明:

1.1以下未提及者排除项均为“空”!因为McAfee的内置规则中排除进程太多,安全性降低,绝大多数进程可删除。

1.2红字部分为应用软件,用户可根据不同的使用环境与自身需要情况而调整,为方便用户阅读,故显示为红色。

1.3排除进程中不赞成使用通配符*,因为病毒会伪装成任何进程,风险度提高,建议使用绝对路径。

1.4“用户自定义的规则”里的“2、禁止在计算机中创建新文件”,在“要排除的进程”中不必加入McScript.exe。原因如下:当McAfee升级病毒库时,需调用FrameworkService.exe和McScript_InUse.exe两个进程,这两个进程中任何一个被阻止,升级都将失败。当FrameworkService.exe被阻止时,McAfee会调用McScript.exe进程来做一些升级失败的善后事情,而当McScript_InUse.exe被阻止时,McAfee却不会再调用其他程序了,升级会直接失败。当升级成功,也就是说FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了,McScript.exe进程也不会被调用,因为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。

1.5对于部分应用软件进程排除的说明:

1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”,必要时需暂时停用“访问保护”。

1.5.2部分应用软件需开机运行的,如迅雷、鱼鱼桌面秀等,要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。

1.5.3如果将应用软件一一排除的话,不仅工作量大,且排除进程多了,安全性降低了,另外应用软件的设置一般都是一次性的工作,排除进程的话没有任何意义,因此,需要排除的进程,必然不是一次性的工作,比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时,就需要排除该进程了。

1.5.4应用软件的进程名有时会随着该软件版本的升级而改变,需要实时关注,比如迅雷,现在是Thunder5.exe,等版本升级到迅雷6时,可能进程会改名为Thunder6.exe。

1.6排除路径中有一种以“\??\”或“\?\”打头的路径,编写规则时若将“\??\”或“\?\”去掉的话便无法排除该进程,这是因为该进程已注入内存,所以在排除时已不是原路径,而是内存中的路径,所以需要以“\??\”或“\?\”打头。“\??\”表示内存中的单个进程,多为系统进程,如??\C:\WINDOWS\system32\csrss.exe;“\?\”表示在内存中除自身进程外,还注入在内存其他进程中,多为应用程序进程。

2、进程排除:

2.1“防间谍程序标准保护”:

“保护 Internet Explorer 收藏夹和设置”,排除C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\rundll32.exe,C:\WINDOWS\Explorer.exe,C:\Program Files\Maxthon\Maxthon.exe

说明:排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹;排除Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏;当rundll32.exe与Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置;排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。

2.2“防间谍程序最大保护”:

“禁止所有程序从 Temp 文件夹运行文件”,排除D:\security\mcafee\Common Framework\McScript_InUse.exe。

说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.3“防病毒最大保护”:

2.3.1“禁止更改所有文件扩展名的注册”,排除C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe。

说明:排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。

2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”,排除C:\Program Files\Maxthon\Maxthon.exe。

说明:排除Maxthon.exe是允许遨游浏览器可以进行网页(论坛)下载。

2.4“通用标准保护”:

2.4.1“禁止修改 McAfee 文件和设置”,排除D:\security\mcafee\VirusScan Enterprise\VsTskMgr.exe。

说明:排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。

2.4.2“禁止修改 McAfee Common Management Agent 文件和设置”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。

说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.4.3“禁止修改 McAfee 扫描引擎文件和设置”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。

说明:排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中,以便回滚DAT之用。

2.5“通用最大保护”:

2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。

说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.5.2“禁止在 Program Files 文件夹中创建新的可执行文件”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。

说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.5.3“禁止 FTP 通信”,

排除C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Internet Explorer\IExplore.exe

说明:排除Thunder5.exe是允许迅雷可以进行FTP下载;排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。

2.5.4“禁止 HTTP 通信”,

排除C:\Program Files\McAfee\Common Framework\FrameworkService.exe。

说明:排除FrameworkService.exe是允许McAfee升级病毒库;排除Thunder5.exe是允许迅雷可以进行HTTP下载;排除Maxthon.exe是允许遨游可以上网且不会无故中断;排除QQGame.exe是允许QQ游戏能够运行;排除TTPlayer.exe是允许千千静听可以下载歌词。

四、用户自定义的规则

1、对未知程序的行为控制

说明:该系列规则防护相当强大,使用时需根据使用环境随时调整,但因为排除进程太多,故安全性降低,以“1.1禁止未知程序的任何操作”为例,为了不影响日常使用,排除了浏览器和下载工具,所以并不能阻挡病毒从外部创建到计算机中,虽然可以禁止其执行,但病毒源已存在于计算机中,威胁依然存在,因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。

1.1禁止未知程序的任何操作

要包含的进程:*

要排除的进程:C:\WINDOWS\System32\alg.exe,C:\WINDOWS\system32\ctfmon.exe,\??\C:\WINDOWS\system32\winlogon.exe,\??\C:\WINDOWS\system32\csrss.exe,C:\WINDOWS\system32\lsass.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\System32\svchost.exe,C:\WINDOWS\system32\logonui.exe,C:\WINDOWS\system32\RUNDLL32.EXE,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\services.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE,C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE,C:\WINDOWS\system32\taskmgr.exe,C:\WINDOWS\system32\NOTEPAD.EXE,C:\Program Files\McAfee\Common Framework\McTray.exe,C:\Program Files\McAfee\Common Framework\UdaterUI.exe,C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe,C:\Program Files\McAfee\Common Framework\naPrdMgr.exe,C:\Program Files\Thunder\Thunder.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbconfig.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\IconPackager\IconPackager.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE,C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE,C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\TTPlayer\TTPlayer.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Tencent\QQ\CoralQQ.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\PROGRA~1\KMplayer\KMPlayer.exe,C:\PROGRA~1\NFSU2\speed2.exe

要阻止的文件或文件夹名:***

要禁止的文件操作:读取、写入、执行、创建、删除

说明:该规则属于FD的极致规则,类似于AD,利用FD模仿AD的行为控制,但并不如真正的AD完美与强大,若McAfee与具备AD的HIPS相配合,该规则就没有存在的意义了。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.2禁止未知程序的任何网络行为

要包含的进程:*

要排除的进程:C:\WINDOWS\system32\svchost.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe

要阻止端口:1~65535

方向:入站、出站

说明:该规则类似于防火墙,阻止了不信任程序对网络的访问。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.3禁止未知程序的任何注册表行为

说明:该系列规则属于RD的极致规则。需要注意的是,若“1.1禁止未知程序的任何操作”开启,则该系列规则毫无意义,因为排除进程是一样的,所以不被“1.1禁止未知程序的任何操作”阻挡的进程,也必然不会被该系列规则阻挡,反之,已经被“1.1禁止未知程序的任何操作”阻挡的进程,也没有能力再碰触到该系列规则了。因为“1.1禁止未知程序的任何操作”是FD模仿了AD的行为控制,反之AD却无法模仿FD,总体来说FD应该是HIPS中最强大的防御系统,如果FD与AD相配合达到对计算机的完全保护,那么即使是RD中属于极致的规则都变得多余了,因此可以得出FD强于AD,AD强于RD,但三者其实各有所长,对于不同的用户群,FD、AD和RD都发挥着各自的能力。

1.3.1禁止未知程序的任何注册表行为(项)

要包含的进程:*

要排除的进程:同“1.1禁止未知程序的任何操作”

要保护的注册表项或注册表值:HKALL/**

规则类型:项

要阻止的注册表操作:写入、创建、删除

1.3.2禁止未知程序的任何注册表行为(值)

要包含的进程:*

要排除的进程:同“1.1禁止未知程序的任何操作”

要保护的注册表项或注册表值:HKALL/**

规则类型:值

要阻止的注册表操作:写入、创建、删除

2、禁止在计算机中创建新文件

说明:该系列规则对部分格式文件禁止写入、创建和删除,以主要操作“创建”而命名这一系列规则,同时也为了与内置规则“禁止在 Windows 文件夹中创建新的可执行文件”相对应,该系列规则在“要禁止的文件操作”中不可选中“执行”,因为“执行”的操作在排除进程上要比“写入、创建、删除”的操作多的多,故从安全性考虑,该系列规则与“1、对未知程序的行为控制”系列规则相配合,才能使“访问保护”趋于完善。

2.01禁止在计算机中创建新的.exe文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Thunder\Program\Thunder5.exe

要阻止的文件或文件夹名:***.exe

要禁止的文件操作:写入、创建、删除

说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库;排除Explorer.exe是为了日常使用时不受该规则限制,例如复制、粘贴、移动、删除等等的操作;排除WinRAR.exe是允许压缩软件释放压缩包,尤其是绿色软件;排除Thunder5.exe是允许迅雷下载软件。

2.02禁止在计算机中创建新的.dll文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.dll

要禁止的文件操作:写入、创建、删除

说明:该规则的排除进程基本与2.01规则一样,仅仅去除了对Thunder5.exe的排除,因为日常使用中,一般不会用迅雷下载DLL文件,以下的规则中不排除Thunder5.exe皆是此理。

2.03禁止在计算机中创建新的.bat文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.bat

要禁止的文件操作:写入、创建、删除

说明:排除WinRAR.exe是允许绿色软件可以直接解压使用;排除Explorer.exe也是允许绿色软件可以复制、粘贴、移动、删除等等的日常操作。

2.04禁止在计算机中创建新的.chm文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.chm

要禁止的文件操作:写入、创建、删除

2.05禁止在计算机中创建新的.com文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.com

要禁止的文件操作:写入、创建、删除

2.06禁止在计算机中创建新的.cpl文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.cpl

要禁止的文件操作:写入、创建、删除

2.07禁止在计算机中创建新的.ini文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe

要阻止的文件或文件夹名:***.ini

要禁止的文件操作:写入、创建、删除

说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

2.08禁止在计算机中创建新的.msc文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.msc

要禁止的文件操作:写入、创建、删除

2.09禁止在计算机中创建新的.msi文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.msi

要禁止的文件操作:写入、创建、删除

2.10禁止在计算机中创建新的.ocx文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.ocx

要禁止的文件操作:写入、创建、删除

2.11禁止在计算机中创建新的.pif文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.pif

要禁止的文件操作:写入、创建、删除

2.12禁止在计算机中创建新的.scr文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.scr

要禁止的文件操作:写入、创建、删除

2.13禁止在计算机中创建新的.sys文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.sys

要禁止的文件操作:写入、创建、删除

2.14禁止在计算机中创建新的.vbs文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.vbs

要禁止的文件操作:写入、创建、删除

2.15禁止在计算机中创建新的.vxd文件

要包含的进程:*

要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe

要阻止的文件或文件夹名:***.vxd

要禁止的文件操作:写入、创建、删除

2.16禁止在计算机中创建新的autorun.inf文件

要包含的进程:*

要阻止的文件或文件夹名:**\autorun.inf

要禁止的文件操作:读取、写入、执行、创建、删除

说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3、禁止部分系统工具的操作

3.1禁止通过注册表编辑器与.reg文件对注册表进行任何操作

要包含的进程:*

要阻止的文件或文件夹名:**\regedit.exe

要禁止的文件操作:读取、写入、执行、创建、删除

说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,需要注意的是,该规则不属于RD,只通过FD对注册表外部进行保护,RD是对注册表内部进行的保护。

3.2禁止管理工具的操作

要包含的进程:*

要阻止的文件或文件夹名:**\mmc.exe

要禁止的文件操作:读取、写入、执行、创建、删除

说明:管理工具里都是重要的系统工具

3.3禁止格式化命令format的运行

要包含的进程:*

要阻止的文件或文件夹名:*\format.

要禁止的文件操作:读取、写入、执行、创建、删除

说明:针对一些格式化病毒的防护措施

3.4禁止net命令的运行

要包含的进程:*

要阻止的文件或文件夹名:*\net.exe

要禁止的文件操作:读取、写入、执行、创建、删除

说明:对远程攻击的防护措施

3.5禁止at命令的运行

要包含的进程:*

要阻止的文件或文件夹名:**\at.exe

要禁止的文件操作:读取、写入、执行、创建、删除

说明:对远程攻击的防护措施

4、保护部分重要的系统文件

4.1保护系统盘根目录下的文件

要包含的进程:*

要阻止的文件或文件夹名:C:*.*

要禁止的文件操作:写入、创建、删除

说明:系统盘根目录下都是重要的系统文件

4.2保护ghost文件

要包含的进程:*

要阻止的文件或文件夹名:***.GHO

要禁止的文件操作:读取、写入、执行、创建、删除

说明:对系统备份进行防护

5、禁止任何远程操作

要包含的进程:System:Remote

要阻止的文件或文件夹名:***

要禁止的文件操作:读取、写入、执行、创建、删除

说明:通过文件保护禁止了远程的一切行为

四.保存设置和规则

说明:将HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection两个注册表项全部导出,包含子项目,即保存了所有设置和规则,再将导出的两个注册表文件合并到一个文件中,若使用时只须导入即可。

一、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore中包含的规则设置

1.1访问保护:(这个值只有在访问保护关闭时才能访问,一旦导入也将覆盖所有以前的访问保护设置!)

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\AccessProtectionUserRules

1.2缓冲区溢出保护:(其中*表示数字0、1、2、3、4、5……)

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\BOPExclusionProcess_*

1.3电子邮件传递扫描程序:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\Email Scanner

1.4有害程序策略:(其中*表示数字0、1、2、3、4、5……)

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\NVP\UserDefinedDetection_*

1.5按访问扫描程序:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration以及Default(默认设置)、High(高风险进程)、Low(低风险进程)

二、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection中包含的规则设置

2.1隔离管理器策略:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection

2.2按需扫描(完全扫描、目标扫描):

HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks{21221C11-A06D-4558-B833-98E8C7F6C4D2}和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\DefaultTask(默认)

2.3AutoUpdate:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks{A14CD6FC-3BA8-4703-87BF-E3247CE382F5}(默认)

写给准备用mcafee8.5i企业版的朋友

http://www.3qu.org/archives/2006/10786.html

写给准备用mcafee8.5i企业版的朋友

mcafee是最受公认的监控最灵敏的防病毒软件

但是真正的精髓部分应该是它的文件访问保护部分(以及端口阻挡,注册表防护等等)

首先,若您想使用mcafee

我建议您要学会自己动手DIY最适合自己的规则

为自己的机器“量身定做”一套属于自己的,独一无二的细密而强大的保护规则

(别人做的规则不一定是适合您的)

您对系统的熟悉度越高,mcafee就越强大

反之,如果您对此一窍不通的话,mcafee也就发挥不出它应有的强大保护力了

可以说这样:只要您懂得并会熟练的运用好mcafee(8.5i)的访问保护

无论什么新型病毒,什么变种木马,加了什么壳,加了多少层壳

在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的

附上我自己编写的部分规则:

(仅供参考)

禁止在C盘根目录创建文件

禁止在WINDOWS目录中新建任何文件

禁止修改WINDOWS目录中的任何文件

禁止删除WINDOWS目录中的任何文件

禁止在WINDOWS根目录下新建任何文件

禁止在system32根目录下新建任何文件

禁止在C盘中新建,修改任何SCR文件(防范某些木马)

禁止cscript.exe运行

禁止mshta.exe运行

禁止format.com运行(防范恶意格式化行为)

禁止hh.exe运行

禁止cmd.exe运行

禁止修改文件访问控制权限

禁止私自启用计划运行任务程序

防范远程注册表操作,禁止调用regsvc.dll

禁止在C盘中新建任何VXD文件

禁止私自创建共享文件夹

禁止telnet.exe运行

禁止在C盘中新建任何EXE可执行文件

禁止在C盘中新建任何COM可执行文件

禁止在C盘中新建任何DLL动态连接库文件

防范脚本病毒,禁止scrrun.dll

禁止在C盘中新建任何批处理BAT文件

禁止在C盘中新建任何VBS脚本文件

禁止访问TEMP文件夹,防止恶意安装程序

禁止在C盘中新建任何JS脚本文件

禁止在C盘中新建任何JSE脚本文件

禁止对Access数据库文件进行任何操作

禁止在C盘中新建任何VBE文件

禁止C盘中新建,运行任何WSH文件

禁止C盘中新建任何WSF文件

禁止在本地新建,修改,执行任何AUTORUN.INF文件

禁止在C盘中新建任何SYS文件

禁止在Downloaded Program Files目录中新建任何文件

禁止添加桌面文件

禁止启用远程桌面程序

禁止在开始菜单中添加项目

禁止在C盘中新建ZIP文件(防范某些蠕虫)

禁用NetMeeting网络会议程序

禁止在system.ini中创建和写入内容

禁止在win.ini中创建和写入内容

禁止在wininit.ini中创建和写入内容

禁止在本地新建任何*desktop.ini文件

禁止java目录下的程序私自运行

禁止在C盘中新建CHM文件

保护本机所有EXE可执行文件(防止修改)

禁止私自在Program Files根目录下新建文件

禁止nwscript.exe运行

禁用自动下载连接管理器

禁止未经许可的控件注册

禁止script.dll运行

禁用SQL Server 客户端网络工具

禁止创建,修改或删除磁盘的卷标(名称)

禁止调用路由跟踪命令

防范某些网络蠕虫扩散,禁止私自运行PING命令

禁止私自用源目录中的同名文件替换目标目录中的文件

禁止私自更改当前登录用户的权限

禁止私自调用文件属性修改工具

禁止对Boot.ini配置文件执行编辑操作

防止多用户同时登陆,禁用termsrv.dl

禁止使用NetMeeting功能访问远程桌面

禁止“私自指定某些程序在指定的时间运行”

禁止在C盘中新建任何PIF文件

禁止私自修改本地用户帐户数据库

禁止在Default User目录下新建任何文件

禁止在LocalService目录下新建任何文件

禁止在NetworkService目录下新建任何文件

禁止在Application Data目录下新建任何项目

保护本机所有EXE可执行文件(防止删除)

禁止网络检测命令net.exe运行

禁止在PCHEALTH目录中新建,修改,删除任何文件

禁止Config目录下新建,修改,删除任何文件

禁止在security目录下新建,修改,删除任何文件

禁止在system目录下新建,修改,删除任何文件

禁止在Registration目录下新建,修改,删除任何文件

禁止在drivers目录下新建,修改,删除任何文件

禁止启用系统还原程序

禁止控制台程序tlntsvr.exe运行

禁止私自调用系统配置编辑器

禁止在C盘中新建CMD文件(防范某些蠕虫)

禁止在C盘中新建HTT文件(防范某些病毒)

保护WINDOWS的"系统文件替换"备份目录

保护WINDOWS的"最后一次正确启动配置"备份文件目录

禁止在C盘中新建,修改任何CPL文件(防范某些木马)

禁止在C盘中新建,修改任何DOT文件(防范宏病毒)

禁止在C盘中新建,修改任何DOC文件(防范宏病毒)

禁止运行Windows脚本宿主工具

禁止在C盘中新建,修改任何BFF文件(防止宏病毒寄生)

禁止读取Cookies文件

禁止创建新的Cookies文件

这些规则看起来似乎让人很头晕,但其实这还只是属于框架部分(我们还需要制定一些特定规则)

这些规则看似复杂,但是却不会对我电脑的以及机器上程序的正常使用造成任何妨碍

您必须学会用两至三条的规则对某个区域形成一个防护体系

并且能够使电脑最终在这些复杂而强悍的规则的防护下运行自如

有些用户发现他们使用了mcafee后的“主要工作”就是需要不停的添加排除进程

好在这些规则是可以逐渐积累的,而且是可以将其最终保存起来的

(终将会形成一套属于您自己的强大的防护体系)

我喜欢用mcafee的另一个原因是它让我感觉到了自己是自己电脑真正的“主宰者”

什么程序(甚至后台服务)可以被运行,什么程序不可以被运行

什么文件可以被修改,删除,什么文件不可以

什么地方可以被写入(创建)新文件,什么地方不可以新建任何文件

什么地方只可以被写入什么格式的文件,全都由我说了算,呵呵。

能用好mcafee您就会明白其顶尖的监控和强大的保护规则配合起来的好处

而对于那些不懂得如何设置和运用好mcafee的保护规则的初级用户来讲

呵呵,mcafee同样是一个令人头疼的“梦魇”。

mcafee自定义规则在系统中表示

使用工具可以查看注册表自定义规则,随意导入、修改和合并自定义规则,见我的另一帖子。

对于显示的结果各项含义举例如下:

文件规则:

UserString(用户命名) UR14(系统使用名称) “A47 禁止私自启用命令行运行工具"(用户规则名称)

UserEnforce(阻止) UR14 1(选)

UserReport(报告) UR14 0(不选)

UserProcess(用户进程) UR14 {Include(包含) *;Exclude(排除) Explorer.EXE}

UserRule(用户规则) UR14 G_User {File(文件) R(读)W(写)X(执行)C(创建)D(删除) { Include C:\WINDOWS\system32\cmd.exe }

}

端口规则:

UserString UR126 “A32 禁止(监视)一切高端动态\私有端口的连接尝试行为”

UserEnforce UR126 1

UserReport UR126 1

UserProcess UR126 {Include *}

UserRule UR126 G_User {Port(端口) I(入)O(出)UT {Include 49152 65535}

}

注册表规则:

UserString UR70 “8-401 RD 淇濇姢[鏄剧ず鎵鏈夋枃浠] K”

UserEnforce UR70 1

UserReport UR70 1

UserProcess UR70 {Include *}

UserRule UR70 G_User {Key(注册表) CWD {Include HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/**}

}

没有技术含量,只为比我更菜的人能读懂。只发卡饭,其它坛子不发了。

麦咖啡设置指南———详细介绍访问保护的设置方法抵御未知病毒

特别是自定义规则,功能强大,使用得当几乎百毒不侵

不过正常功能也会受到影响,用咖啡的人自己定义安全级别把

1、访问保护。

双击访问保护,打开访问保护。出现端口阻挡,文件保护,报告,三个选项。

(1)更改端口设置。

默认端口阻挡全部勾选。添加阻挡端口新规则。端口总共有65535个。好了,把1~65535端口全部进行设置。由于咖啡对端口的阻挡模式分为两种:阻止入站,阻止出站,这样,对1~65535端口进行设置,需要分为两组。一组阻止通过1~65535端口入站,一组阻止通过1~65535端口出站。为了方便设置和查看端口阻挡而影响的进程,可以这样进行设置。1~1000,每隔100个端口设置一个规则,并进行规则标号。1000~10000,每隔1000个端口设置一个规则,也进行规则标号。10000~65535设置成一个规则,同时进行标号。这样设置好了,可以连网进行测试,怎么样,不能上网吧?当然别人也进不来了。好了,打开咖啡日志,查看那些进程被阻止,阻止的具体规则是哪些。比如,咖啡日志标明,svchost.exe进程被新规则1阻止,好了,选中新规则1,点击“编辑”,弹出对话框,在已排除进程里,添加svchost.exe,好了。依次类推,将影响的进程添加进去。设置好了之后,可以上网了。这样进行端口设置,可以阻挡99%的端口。那些通过端口出入的木马几乎没戏了。

(2)更改访问保护设置。

勾选所有默认设置。一一打开编辑,查看每个规则设置情况,凡是能够选择“阻止并报告访问尝试”,一律选择。——默认规则里,许多都是警告模式,将它们更改(注:如果更改默认设置,请再三思量,否则出现意外情况,我不负责)。将远程对exe、ocx等文件保护规则合并。但凡远程操作,在创建文件、写入文件、执行文件、读取文件、删除文件前全部打勾。

(3)更改咖啡日志路径。放在其他盘里。

2、有害程序策略。默认规则里,都没有勾选。将他们全部勾选。

3、给咖啡杀软设置密码。咖啡控制台——工具——用户界面选项——密码选项。选择使用密码保护下面所有项目。设置8位以上超强密码。在用咖啡设置一系列规则之后,可以锁定咖啡杀软界面。这样,别人不能再更改您对咖啡的设置了。

4、共享资源的保护。打开咖啡访问保护——文件保护——共享资源,将它设置成阻止并报告访问尝试。这样,共享资源就不能被别人共享了。

5、按访问扫描程序设置。常规——扫描——将引导区,关机时扫描软盘去掉。

其他设置,自己看着办吧。

上面是咖啡本身携带的一些规则。为了安全,可以进行更加严格的设置。

1、用咖啡杀软来防止3721、网络猪、中文邮、百度搜霸、一搜。

目前,3721、网络猪、中文邮、百度搜霸、一搜经常偷偷溜进您的电脑,而且难以卸载干净。用咖啡杀软可以阻止它们进入。

打开咖啡杀软访问保护,创建如下几个规则:

1、禁止在本地创建、写入、执行、读取3721任何内容;

2、禁止在本地创建、写入、执行、读取网络猪任何内容;

3、禁止在本地创建、写入、执行、读取中文邮任何内容;

4、禁止在本地创建、写入、执行、读取百度搜霸任何内容;

5、禁止在本地创建、写入、执行、读取一搜任何内容。

好了,3721、网络猪、中文邮、百度搜霸、一搜没有理由呆在您的电脑里了。

附上部分设置方法。比如,防止3721的方法:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止在本地创建、写入、执行、读取3721任何内容

阻挡对象:*

要阻挡的文件或文件名:*\3721**

要阻止的文件操作:在创建文件、写入文件、执行文件、读取文件前全部打勾

响应方式:阻止并报告访问尝试

2、用咖啡杀软来防止未知木马病毒

我查了下相关资料,就目前来说,木马、病毒基本都是三种类型的,exe、dll、vxd类型。好了,只要我们创建如下三种保护机制:

1、禁止在本地任何地方创建、写入任何exe文件

2、禁止在本地任何地方创建、写入任何dll文件

3、禁止在本地任何地方创建、写入任何vxd文件

这样,现在出现的各种木马病毒是进不来的。当然,这条规则非常霸道,就是您更新咖啡病毒库,对其他软件进行升级,下载exe、dll、vxd类型文件,以及移动任何exe、dll、vxd类型文件也不可能了。所以,当您进行类似操作时,暂时取消此规则,等操作完成之后,再继续使用。

部分规则创建如下所示:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止在本地任何地方创建、写入任何exe文件

阻挡对象:*

要阻挡的文件或文件名:***.exe

要阻止的文件操作:在创建文件、写入文件前打勾

响应方式:阻止并报告访问尝试

其他的类似规则,参照设置即可。

3、阻挡肆意删除文件的行为

现在出现许多删除mp3格式的病毒。好了,为了杜绝此类事件发生,可以这样做。打开咖啡访问保护,创建如下规则:禁止删除本地任何mp3文件。好了,那些病毒想删除mp3是不可能的了。即便是您自己也删不掉mp3了!除非解禁!为了杜绝类似删除某些文件的病毒、木马,好了。我们再创建一条规则:禁止删除本地任何内容。好了,那些肆意删除各种文件的病毒、木马,根本起不了什么作用。当然,如果这条规则起作用,您自己也不可能删除任何东西了。当您自己需要删除某些内容,暂时取消这条规则,等删除操作完成了,再打开就是了。这条规则保护自己电脑不被别人删除任何东西非常管用哦。而且别人莫名其妙的,他根本不会想到是咖啡在阻止删除操作哦?

规则创建如下所示:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止删除本地任何mp3文件

阻挡对象:*

要阻挡的文件或文件名:***.mp3

要阻止的文件操作:在删除文件前打勾

响应方式:阻止并报告访问尝试

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止删除本地任何内容

阻挡对象:*

要阻挡的文件或文件名:***

要阻止的文件操作:在删除文件前打勾

响应方式:阻止并报告访问尝试

个人也可以使用类似方法保护任何一个文件不被删除。比如rm文件等。自己照猫画虎试试。

4、用咖啡杀软保护注册表。

目前许多木马、病毒都喜欢在注册表驻留。好了。我们用咖啡创建这样一条规则。禁止对本地注册表进行创建、写入活动。好了。除非您同意,否则,注册表是不会无缘无故的被修改的。包括安装软件在内,如果咖啡依然开启这条规则,哈哈,软件虽然安装完了,注册表里却没有写入什么东西。虽然不少软件需要写入注册表里才成,可注册表里没有被写入也可以用的哦——不信的可以实验下!当然,不写入注册表,软件功能上会打折扣,尤其是杀软、防火墙之类。我曾做过类似实验。不让反间谍软件写入注册表里,结果它只能查到间谍,却不能清除间谍(查到间谍数量与反间谍软件安装时是否写入注册表无关)。对比一下金山、瑞星的注册表监视功能,金山、瑞星简直差远了。他们对注册表的监视不但烦人,而且意义不是很大。比如,安装一个软件,点击阻止写入注册表,那您就一直点下去吧。十年也点不完。有什么意义?

规则创建如下所示:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止对本地注册表进行创建、写入活动

阻挡对象:*

要阻挡的文件或文件名:***.reg

要阻止的文件操作:在创建文件、写入文件前打勾

响应方式:阻止并报告访问尝试

5、用咖啡来保护主页。

通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源,而且效果不一定好。而咖啡防护效果相当理想。具体方法如下:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止在本地创建/修改hosts文件

阻挡对象:IEXPLORE.EXE,或者*

要阻挡的文件或文件名:*\etc**

要阻止的文件操作:在创建文件、写入文件、删除文件前打勾

响应方式:阻止并报告访问尝试

好了。恶意网站不能在更改您的主页了。

6、阻止恶意脚本入侵。

打开咖啡杀软访问保护中文件保护规则,创建这样一些规则:

1、禁止在本地任何地方读取、执行、创建、写入任何js文件

2、禁止在本地任何地方读取、执行、创建、写入任何vbs文件

3、禁止在本地任何地方读取、执行、创建、写入任何htm文件

4、禁止在本地任何地方读取、执行、创建、写入任何html文件

好了,恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。

部分规则创建如下所示:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止在本地任何地方读取、执行、创建、写入任何js文件

阻挡对象:*

要阻挡的文件或文件名:***.js

要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件前打勾

响应方式:阻止并报告访问尝试

其他的类似规则,参照设置即可。

当然,这样有些严厉,可能防碍上网,可以将这些规则修改为阻止创建、写入即可。

7、用咖啡来防止插件入侵。

现在上网越来越不安全。恶意插件越来越多了。好了。我们用咖啡来对付他们。由于那些插件是绑架到Internet Explorer文件里的,好了,我们用咖啡把Internet Explorer文件保护起来。

规则创建如下所示:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止在Internet Explorer文件夹中进行创建写入活动

阻挡对象:*

要阻挡的文件或文件名:*\Internet Explorer**

要阻止的文件操作:在创建文件、写入文件前打勾

响应方式:阻止并报告访问尝试

好了,那些插件不能进来了。

8、防止黑客破坏活动。

目前,黑客越来越多,也越来越喜欢入侵个人主机。黑客入侵个人主机不外乎两个原因:

1、炼手。学习怎么入侵别人。

2、种植后门。控制他人。

好了。废话少说。黑客入侵,很难阻挡。那对于入侵的黑客破坏行为如何进行阻挡呢?看咖啡的手段。我们用咖啡建立这样的规则:禁止远程行为对本地任何文件/文件夹进行任何操作。这样,黑客即便入侵了您的主机,他所能做的还有什么呢?

具体规则设置如下:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止远程行为对本地任何文件/文件夹进行任何操作

阻挡对象:System:Remote

要阻挡的文件或文件名:***

要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式:阻止并报告访问尝试

如果还不放心,可以将系统盘里每个根目录文件夹都创建一个规则。禁止黑客对他们进行任何操作。具体就不一一列举里。这样设置,除非黑客能破坏咖啡,或者黑客知道咖啡密码,更改咖啡设置,才能进行进一步破坏活动。如果黑客想破坏咖啡,决非易事。用过咖啡的人知道,咖啡不能被退出进程,只会持续工作。当然黑客可以通过卸载咖啡来破坏,问题是,黑客进行远程卸载,必定调用exe之类文件,而咖啡是不允许黑客远程对exe之类文件进行任何操作的。偶使用咖啡不久,曾被一个黑客入侵,那时还不懂得设置如此严厉的规则,只是打开咖啡默认的对exe、dll文件保护规则,那个黑客都没有干成什么。如果能建立这样严厉的规则,黑客所能做的事情将会非常非常少哦。

9、防止程序运行。

咖啡具有强大的阻止功能,几乎可以阻止任何一个程序运行。比如,tftp.exe这个程序,一般用户是用不上的。可以用咖啡来阻止他运行。注:咖啡默认规则里已经设置,就不列举了。这个功能非常有用。如果某天,不想运行某个程序,可以参照这个规则,将那个程序终止。或者,某天中了木马、病毒,又清除不掉,怎么办呢?这时咖啡这个功能就突显出来了。将那个木马、病毒程序用咖啡阻止起来即可。这样,那个木马不能运行也等于死悄悄了。

10、建立最严厉的规则。

在到黑客网站、破解基地、黄色网站去,往往难免中木马。虽然我不去那些网站,但为了那些常去黑客网站、破解基地、黄色网站的人的安全,特意为其创建如下规则。禁止在本地进行任何创建、写入、删除活动。这样,中招的几率将会是0。

具体规则设置如下:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止在本地进行任何创建、写入、删除活动

阻挡对象:*

要阻挡的文件或文件名:***

要阻止的文件操作:在创建文件、写入文件、删除文件前打勾

响应方式:阻止并报告访问尝试

由于这条规则非常严厉,建议只在黑客网站、破解基地、黄色网站浏览时开启。这条规则会产生大量日志,一分钟往往就有几百条详细日志,非常占用空间。所以,移动咖啡日志到其他盘非常重要。当然,这条规则,也适合那些对安全性非常高的人使用。

此上许多规则,会影响到许多进程,所以,当您出现不解问题时,请及时查看咖啡日志,会找到相关答案的。具体解决办法,请斟酌行事。

mcafee杀毒软件编写规则时通配符使用方法

我们都知道,咖啡可以应用通配符 * 和 ? :

(喜欢咖啡的友情帮顶下啊)

1.问号 (?) : 用于排除单个字符) ,比如, 排除项 w?? 排除 www,但不排除 ww 或wwww

2.星号 (*) : 用于排除多个字符

双星号 (**) : 表示零个或多个含有反斜杠的字符,这样允许多层次排除。

比如, \temp* ,双星号 () 表示在反斜线 () 字符前后任意多个

层级的目录,一个星号 (*) 表示任意一个或部分目录名称。

3.*和有什么不同?—-看完测试就知道了

4.排除规则 : C:\quarantine* 和 C:\quarantine\ 这2条有区别吗?没有区别吗?—-前者排除C:\quarantine\目录下的所有文件,包括排除子文件夹,后者只包括C:\quarantine\下的文件,不排除子文件夹,即C:\quarantine* 的排除范围 > C:\quarantine\ ,看下边我的测试会就明白。

以下是我自己作的测试,还望高手指教,不过我觉得应该是100%正确了的吧xixi

我在E:\110下创建了一些文件和文件夹,其中patch.rar为病毒文件,在165、265文件夹中我把patch.rar分别更名为02.rar,03.rar,以便查看测试结果。

文件夹结构为:

E:\110

—-125

—-265

—-03.rar

—-02.rar

—-patch.rar

下面我把我的测试结果奉上以飨朋友们————没兴趣看测试的,直接看最后1句我总结的一条(不过这只是测试中的其中一个结果)

在做此测试时,必须按如下图做些改动:临时禁用按访问扫描,把辅助操作改成继续扫描,以防咖啡进行隔离等动作,

规则为E:\110\ ,排除E:\110\ 下的所有文件,但不排除子文件夹。

规则为E:\110**,细心的人会发现,并没有出现在“设置排除项中”,但后边的“排除子文件夹”变成“是”了,其实在“添加排除设置中”输入(仅限于最后出现的字符),咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示,这个地方中文咖啡似乎有歧义,大家仔细思考下就明白其真正的意思了。(另:在咖啡的访问保护中可以出现**为最后结尾的,因为那里咖啡没有这个打勾的选项, )

规则为E:\110 ,这个规则就是“什么也没有排除” 哈哈哈哈,

规则E:\110* 等价于 E:\110\

规则为E:\110** \(最后2条规则其实和这条规则的作用是一样的),排除E:\110\下的文件夹,但不排除E:\110\的文件。通过这里大家可以悟出点什么吧,呵呵,我就不多说了。

规则为E:\110**和E:\110*\只是多了个显式地“排除子文件夹”(是E:\110*\的子集而已),是但真正的作用是一样的——-排除E:\110\下的文件夹,但不排除E:\110\的文件

规则为E:\110**和E:\110*\的作用是一样的(是E:\110**\的子集而已) ,意思是排除E:\110\下的“文件夹中的任何文件”[

看懂以上这些,大家应该什么都明白了,不用我作总结了喜喜。那么大家对咖啡的规则设置,比如“访问保护”等等都轻而易举了吧

不过还是总结1句吧:要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义,严重注意哦),或者在\后边添加2个星号(**),咖啡会自动帮你打勾

另外,就咖啡规则使用情况,说点个人经验。

一、在咖啡默认规则里有这样几条规则:

1、禁止在 Windows 文件夹中创建新文件 (.dll)

2、禁止在 Windows 文件夹中创建新文件 (.exe)

3、禁止在 System32 文件夹中创建新文件 (.dll)

4、禁止在 System32 文件夹中创建新文件 (.exe)

这几条规则,一般情况下都开启没有什么问题。一般的软件,在安装时往往会在Windows 文件夹和System32 文件夹创建exe文件和dll文件。不用管它。即便没有在Windows 文件夹和System32 文件夹创建exe文件和dll文件,也可以使用的。但是惟独在给系统打补丁时例外!某些系统补丁,即便阻止了,也没有什么,可有些系统补丁如果阻止往Windows 文件夹和System32 文件夹创建exe文件和dll文件,那就意味着系统瘫痪!您不能再登陆系统了!切记!所以,在打系统补丁时,要暂停使用这些规则。

二、同样一条保护规则,不要过于频繁的打开关闭。否则很容易出现失灵。原本阻止在某地创建某个文件,咖啡可能变的创建行为也不阻止了。偶甚至碰到咖啡密码失灵的情况,密码正确都不能解禁。所以,不要经常性打开关闭某条规则。这样可以避免此类失灵事件发生。

经过以上设置,再中木马、病毒、广告、间谍、恶意代码······几率将会是0。当然,最有可能中招的就是个人下载不安全软件,而后进行安装导致中招。如果注意安全,那另当别论了。 上面,是偶使用咖啡几个月的一点心得,大家交流一下。如果有更好的技巧,请不吝赐教?

偶再补充一些内容。某些网站或\和黑客,会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件,可以这样做。用咖啡建立Cookies保护机制。

具体规则设置如下:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止对Cookies文件进行某些操作

阻挡对象:*

要阻挡的文件或文件名:*\Cookies**

要阻止的文件操作:在读取文件、创建文件、写入文件前打勾

响应方式:阻止并报告访问尝试

好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然,这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制,不太好操作。用禁止,好多网站不能去。不禁止,又有危险。与咖啡相比,显然咖啡更加人性化。希望大家喜欢。

使用咖啡来防护个人隐私文件。

这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密,起到防护作用。如果您使用咖啡,那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉,根本不会想到是一个杀软来保护的。而且,咖啡防护文件,在他人读取、打开文件时,根本不提密码,也不提咖啡,只是提示:请确认磁盘没有写保护之类。对于一般人来说,还以为文件损毁了而打不开哈。哈哈。是否有些意思?

下面简单介绍一下,如何实现这个功能。首先,请将您所有需要保护的个人文件都放在某个根目录里,比如,起名为,流星雨。然后将这个文件保护起来即可。

具体规则设置如下:

咖啡控制台———访问保护———文件夹保护——-添加

规则名称:禁止对流星雨文件/文件夹进行任何操作

阻挡对象:*

要阻挡的文件或文件名:*\流星雨**

要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾

响应方式:阻止并报告访问尝试

MDF8.5规则包修正版

http://bbs.kpfans.com/viewthread.php?tid=47545&extra=page%3D4

这次更新,只增加了局域网的支持,阻止不受欢迎网站,因最近工作较忙,没及时发上来,偶不会合并帖子,还得请斑竹帮忙与原帖合并

下面是本规则包的详细介绍

参考了ZA等防火墙、小邪邪的MVE8.5超强版之端口部分、MDF设置之我见等的有关参数,(规则包还增加了3个取自LNS的规则)制定了MDF8.5的规则包,此为修正版本,现介绍如下:

1、VPN(3条规则),组位置不能调整

允许 IPsec ESP

允许 IKE

允许 GRE

2、Ping和ICMP(8条规则)如不用ICMP,可以全部禁止,或者在启用最后一条规则前提下删除此规则组

阻止传入的 Ping

阻止 ICMP 时间戳

阻止 ICMP 地址掩码

阻止 ICMP 信息请求

阻止 ICMP 路由器请求

阻止 ICMP 重定向

允许 ICMP不可达目标消息传入

允许 ICMP源抑制

3、网络协议组(4条规则),如使用,需要允许,组位置不能调整

阻止网络时间协议

阻止IGMP通讯

阻止BOOTP

允许137通讯,是我的咖啡升级,如使用需要重新指定程序路径

4、新增:NetBIOS组(7条规则),组位置不能调整,这个组是为了局域网使用而设置的,没有局域网的可以删除,不删除也不会影响安全效果(除非用户添加了信任区域)

局域网的用法:在可信对象里添加Ip地址范围为局域网的范围,如192.168.0.1-192.168.0.30,即可击活本规则组,不过在MDF中没发现ARP功能,有ARP攻击捆饶的用户最好使用其他的墙

允许NetBIOS名称服务,网上邻居文件传输

允许NetBIOS数据报,网上邻居文件传输

允许NetBIOS会话传入,打印机端口

允许NetBIOS会话传出,打印机端口

允许NetBIOS TCP传入,网上邻居TCP通信

阻止NetBIOS TCP传入,阻止非网上邻居TCP通信

允许NetBIOS TCP传出,网上邻居TCP通信

5、阻止连接策略(6条规则),组位置不能调整

新增:阻止不受欢迎网站,定义了七十多个不受欢迎的网站,如发现某些网站不能联网,请参看本条规则是否包含

注:地址收集截止日期为 2007年1月,仅表明至收集时止验证有效。事后这些网址可能进行了内容或感染方式的修改,因此不能保证你参考使用时仍然有相同的表现,自己如发现不良网站可继续添加

阻止TCP低端端口、阻止UDP低端端口,禁止了所有TCP、UDP对本机低端端口的访问,(因个人是ADSL上网,采用客户端方案,)如果要使用本机少数几个低端端口,请在此2个规则之上加入允许某个低端端口(如NetBIOS组);如果是服务端,要使用本机多个低端端口,请取消阻止TCP低端端口、和阻止UDP低端端口这两条规则,加入以下规则:

拦截UDP传入连接: 135, 139, 445, 67, 80, 137, 161

拦截UDP传出连接: 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015

拦截TCP传入连接: 21, 22, 23, 25, 53, 79, 80, 110, 113, 119, 135, 137, 138, 139, 143, 443, 445, 593

拦截TCP传出连接: 31, 41, 58, 146, 531, 555, 666, 911, 999, 1001, 1010, 1011, 1012, 1015

+Invalid UDP packet,阻止UDP空连接

+Loopback,阻止本地回显

6、拦截TCP传出连接,(27条规则)阻止了约27*4个TCP端口外联,主要作用是防止木马外联

7、拦截UDP传出连接,(26条规则)阻止了约26*4个UDP端口外联,主要作用是防止木马外联

8、拦截UDP传入连接,(1条规则)阻止UDP端口4000-8080的传入连接

9、拦截TCP传入连接,(4条规则)阻止了一些TCP端口的传入连接

10、允许 DNS,放在此位置,为了安全,(如果知道网络提供商的DNS地址,亦可填入地址拦)不可移动上下位置

11、软件规则组,(使用PPLive作为P2P类软件规则示例,程序路径需要重新指定,便于大家自己制定程序规则,)存放大家所使用的软件规则,组位置不能调整

11、阻止所有连接,放在最后,大家使用联网软件时,请先取消此规则,待网络软件规则制定好以后再启用,目的是减少连接提示

另外,使用本规则,应用程序策略需要重新适配,windows的系统程序在使用本规则包后,第一次重新启动系统后会自动适配

关于程序设置,因导入规则包包含程序设置,现说明:

防火墙策略:起用防火墙,启用传出和传入,可信对象无

应用程序策略(咖啡的AD功能):全部启用

活动日志:记录阻止连接通讯和入侵

入侵签名全部勾选,受到入侵显示消息

附录:

一步一步教你用好mcafee 8.5i+Mcafee8.5i新规则如何备份、新技巧集合贴:

http://star1020.qq.topzj.com/thread-365771-1-1.html

McAfee8.5i企业版(安装程序+最新病毒库+详细教程+大众版→增强版→超级版规则包)

http://www.kpfans.com/bbs/viewthread.php?tid=33726&extra=page%3D1

McAfee文章:

http://www.kpfans.com/bbs/viewthread.php?tid=37742&extra=page%3D1

mcafee8.0i设置图解完善版:

http://bbs.deepin.org/read.php?tid=95269&page=1

MCAFEE防病毒软件说明及安装方法:

http://antivirus.hust.edu.cn/mcafee/readme.htm

McAfee8.0 启动 修改 注册表 设置:

http://hi.baidu.com/shengyi168/blog/item/e10c9523983ad444ac34dea7.html

McAfee无法自动更新病毒库及运行报错的彻底解决方法:

http://bbs.kpfans.com/redirect.php?tid=45843&goto=newpost

麦咖啡8.5设置
https://cn.chinese-blog.org/mai-ka-fei-8.5-she-zhi/

作者 tuenhai:这个星球上对大道理解最为深刻的人,著有《道解相对论》《圣医治国——黄帝内经客观点评》《理性即慧根》《父母怎么教育孩子》。咨询微信或QQ (备注 tuenhai.com)

相关文章: