分享

mcafee 8.5 mcafee virusscan杀毒软件防火墙下载和病毒库升级及设置...

 赶路的狗 2008-03-19

mcafee 8.5杀毒软件下载

在D:\security\mcafee下建立setup目录,把安装文件全部放在这里:
VSE850LML——mcafee8.5i杀毒软件安装文件
VSE850_HelpFile——mcafee8.5i杀毒软件帮助文件
ASEM850LALL——AntiSpyware Enterprise 反间谍软件模块
MDF850_RTW_LEN——mcafee防火墙软件

mcafee 8.5i杀毒软件安装

打开D:\security\mcafee\setup\VSE850LML目录
双击setup.exe开始安装。
许可期类型——永久
国家或地区——中国
安装到,http://www.设置安装到D:\security\mcafee\VirusScan Enterprise\
安装过程让你选择是否“立即更新”,如果防火墙没有挡住的话,可以自动完成更新。
选择“运行按需扫描”,在更新病毒库结束后自动扫描所有硬盘。(知识若不分享 实在没有意义 http://www.)

接下来安装反间谍软件模块。
打开目录D:\security\mcafee\setup\ASEM850LALL
点击VSE85MAS.exe开始安装。安装注意事项同上。

mcafee 8.5i杀毒软件规则配置

基本概念:
HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:
FD:File Defend,文件防御体系
AD:Application Defend,应用程序防御体系
RD:Registry Defend,注册表防御体系

McAfee VirusScan Enterprise v8.5i通鉴
按:很不错的 mcafee配置教程,不知道作者是谁。

一、软件安装
一、安装流程:
1、安装McAfee VirusScan Enterprise v8.5i,安装的最后不要选择“立即更新”
2、安装反间谍模块McAfee Anti-Spyware Enterprise Module v8.5
3、设置McAfee,导入自定义规则
4、升级病毒库,第一次升级很慢,而且往往不成功,最好下载superDAT安装,或者在“AutoUpdate”中设置固定时间让McAfee在后台自动升级,至此,安装已基本完成。
5、 安装附加病毒库Extra.DAT,选择C:\Program Files\Common Files\McAfee\Engine路径。需要说明的是,附加病毒库列举的病毒都是疑似病毒,可能造成误报,当McAfee确认是真正的病毒后,将在 下一次的病毒库升级时自动下载并加入到最新的标准病毒库中。如果Extra.DAT是错误的,将导致McAfee无法打开“按访问扫描程序”,另外, McAfee不支持附加病毒库的按访问扫描(监控),即如果此病毒被列入附加病毒库中,当McAfee监控到此病毒时,McAfee不会报毒,只有“按需 扫描”时才会报毒,综上,附加病毒库不必安装。
6、关闭“访问保护”,将帮助文件更名为Vse,复制到D:\security\mcafee\VirusScan Enterprise\Res0402中即可在控制台中调用官方帮助文件。

二、病毒库备份:
1、 病毒库位置在“系统盘:\Program Files\Common Files\McAfee\Engine”目录中,备份其中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文 件,重装McAfee后,将这三个备份的DAT文件copy回“系统盘:\Program Files\Common Files\McAfee\Engine”目录,重启即可。
2、官方病毒库:(其中1234为DAT版本)http://www./apps/downloads/security_updates/superdat.asp?region=us&segment=enterprise
http://download./products/licensed/superdat/nai/Chinese/simplified/sdat1234.exe
3、病毒库数量:http://vil./vil/DATReadme.aspx

三、7个进程:Frameworkservice.exe(升级),Mcshield.exe(实时监控),Mctray.exe,naPrdMgr.exe,SHSTAT.exe(任务栏图标),UdaterUI.exe(升级),Vstskmgr.exe(控制台)

二、软件设置
以下设置中没提到的均按照默认设置?br /> 一、“控制台”-“工具”-“用户界面选项”,取消“允许此系统与其他系统建立远程控制台连接”。

二、Quarantine文件夹在C盘根目录下,实在是有碍观瞻,我们可以把文件夹移至C:\Documents and Settings\Quarantine下,在设置中,凡遇到需要这个选项时,均选择该文件夹。

三、日常使用中,所有的“报告”都可以关闭。

四、“电子邮件传递扫描”
1、“高级”-“启发式分析”中将“查找带有多个扩展名的附件”选中。
2、“操作”&“有害程序”-“发现威胁时”&“发现有害附件时”,“辅助操作”均选择“删除附件”。(知识若不分享 实在没有意义 http://www.)

五、“按访问扫描程序”:
1、“常规设置”—“常规”
1.1取消“在关机过程中扫描软盘”。
1.2“扫描时间”一栏中,“存档文件最长扫描时间”可以调成5秒,这样在进入含有大型程序的文件夹时,McAfee读取这些大型文件不会读取太久。“最长扫描时间”默认45秒即可。

2、“所有进程”
在“检测项”一栏中,如果在局域网上,可以选中“在网络驱动器上”。

六、“隔离管理器策略”中,“自动删除隔离数据”选择“1天”。

七、“完全扫描”和“目标扫描”,在“检测”-“压缩文件”一栏中,这里不是实时保护,所以需要检测压缩包,两个选项均须选中,除此以外的所有设置中,这两个选项都可以不选。

八、“AutoUpdate”中,点击“计划”—“计划”,McAfee每日更新,“起始时间”一般是调成比较频繁的上网时段,“启用随机选择”为开机10分钟即可。

三、访问保护
一、特别申明:系统升级、软(硬)件安装与卸载时,要暂停“访问保护”,切记切记!?/p>

二、说明
1、McAfee的杀毒凌驾于一切规则之上!即设置规则禁止对染毒文件做任何操作,在McAfee杀毒时,该规则失效。所以不要介意将规则中的“删除”选项选中,因为即使禁止删除该文件,若该文件染毒,McAfee一样照杀不误。
2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。
3、双星号(**)表示在反斜线(\)字符前后任意多个层级的目录,即文件夹可以新建,但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称,(*.*)表示任何文件,不包括文件夹,即只有一层文件夹内的文件被保护。
(\**)与(\**\*)均表示在当前目录下任意多个层级目录里的任何文件和文件夹。
4、在“要禁止的文件操作”里,除了“创建”外,其余四项都是对已有的文件进行操作,一般情况下,“写入”、“创建”和“删除”可以一同禁止,而且禁止“写入”有时需要禁止“创建”,否则系统会在此文件夹中创建TMP*.tmp的临时文件(垃圾文件)。
5、读取:对已有的文件进行读取操作,但不执行文件的内容;
写入:对已有的文件进行写入操作,即对文件的内容进行修改,删除等;
执行:对已有的文件进行执行操作,即执行文件的内容;
创建:在文件夹中创建一个新的文件;
删除:对已有的文件进行删除操作,包括修改文件名。
6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明:
空白项:默认状态,无任何意义。
HKLM:表示HKEY_LOCAL_MACHINE主键。
HKCU:表示HKEY_CURRENT_USER主键。
HKCR:表示HKEY_CLASSES_ROOT主键。
HKCCS:表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM:表示HKCU+HKLM+HKEY_USER三大主键。
HKALL:表示所有主键。可以近似地当作自定义项来使用。
7、将“访问保护”中所有的“报告”取消,则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止,且用户尚未查看报告。
8、“阻止”与“报告”若同时选中,则既阻止又报告;若只选中“阻止”,则只阻止不报告;若只选中“报告”,则只报告不阻止。
9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。
10、 “访问保护”不支持环境变量。环境变量的出现,是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法,比如 windows2000的系统文件夹是WINNT,而windows XP的系统文件夹是WINDOWS,如果在2000下使用绝对路径编写的规则,在XP下就会失效,为了解决这一问题,McAfee在8.0i版时允许使用 环境变量,比如%windir%无论在任何系统内都表示系统文件夹,这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了,原因 是因为McAfee认为现在使用2000以下系统的用户已逐步减少,随着windows vista以及电脑高端配置的出现,使用XP以上系统的用户会越来越多,而XP系统已成为了最基本的操作系统,因此从8.5i版开始,McAfee将只认 可XP以上的系统,规则的通用性自然就会以XP系统为底线来编写,所以环境变量的存在已失去意义,当然就会退出舞台咯。
11、“访问保护”不支持 对文件夹的保护。即只要将规则中保护的文件夹更名,该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件,而非监控 软件,“访问保护”只是辅助杀毒的一种手段,通过McAfee的内置规则不难看出,McAfee只提供对系统文件夹的保护,而系统盘下的三个系统文件夹 WINDOWS、Program Files、Documents and Settings都是不允许更名的,所以对McAfee来说,他的内置规则是不受文件夹更名威胁的。前面也说了,McAfee不是做监控或者保密软件的, 他不支持保护个人的隐私文件和文件夹,那是否McAfee就因此也不保护一些重要的文件呢,不是,McAfee会保护全盘下的某一类文件,如**\ *.exe,但是这样又会给使用带来诸多不便,从而影响实用性,可操作性也大大降低,在此种情况下,排除进程应运而生,所以编写规则时应尽量避免非系统文 件夹的出现,使用通配符*,再配合排除进程才是最完美的规则。
12、规则越多,监控的负担越大。规则的编写应该具有总结性,应该是某一类行为的概 括,应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据,将所有的规则分为“层”,例如,当“访问保护”开启时,用户“执行”的任何 操作,McAfee都会将之与所有包含“执行”的规则一一比对,如果此时规则很多,可想而知,监控的负担会变大,使用会变的迟缓,当然,对于高配置计算 机,这个变化也许不是很明显,但系统资源仍会被消耗。
13、HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:
FD:File Defend,文件防御体系
AD:Application Defend,应用程序防御体系
RD:Registry Defend,注册表防御体系

三、访问保护中需要排除的进程
1、说明:
1.1以下未提及者排除项均为“空”!因为McAfee的内置规则中排除进程太多,安全性降低,绝大多数进程可删除。

1.2红字部分为应用软件,用户可根据不同的使用环境与自身需要情况而调整,为方便用户阅读,故显示为红色。

1.3排除进程中不赞成使用通配符*,因为病毒会伪装成任何进程,风险度提高,建议使用绝对路径。(知识若不分享 实在没有意义 http://www.)

1.4 “用户自定义的规则”里的“2、禁止在计算机中创建新文件”,在“要排除的进程”中不必加入McScript.exe。原因如下:当McAfee升级病毒 库时,需调用FrameworkService.exe和McScript_InUse.exe两个进程,这两个进程中任何一个被阻止,升级都将失败。当 FrameworkService.exe被阻止时,McAfee会调用McScript.exe进程来做一些升级失败的善后事情,而当 McScript_InUse.exe被阻止时,McAfee却不会再调用其他程序了,升级会直接失败。当升级成功,也就是说 FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了,McScript.exe进程也不会被调用,因 为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。

1.5对于部分应用软件进程排除的说明:
1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”,必要时需暂时停用“访问保护”。
1.5.2部分应用软件需开机运行的,如迅雷、鱼鱼桌面秀等,要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。
1.5.3 如果将应用软件一一排除的话,不仅工作量大,且排除进程多了,安全性降低了,另外应用软件的设置一般都是一次性的工作,排除进程的话没有任何意义,因此, 需要排除的进程,必然不是一次性的工作,比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时,就需要排除该进程了。
1.5.4应用软件的进程名有时会随着该软件版本的升级而改变,需要实时关注,比如迅雷,现在是Thunder5.exe,等版本升级到迅雷6时,可能进程会改名为Thunder6.exe。

1.6 排除路径中有一种以“\??\”或“\\?\”打头的路径,编写规则时若将“\??\”或“\\?\”去掉的话便无法排除该进程,这是因为该进程已注入内 存,所以在排除时已不是原路径,而是内存中的路径,所以需要以“\??\”或“\\?\”打头。“\??\”表示内存中的单个进程,多为系统进程,如?? \C:\WINDOWS\system32\csrss.exe;“\\?\”表示在内存中除自身进程外,还注入在内存其他进程中,多为应用程序进程。

2、进程排除:
2.1“防间谍程序标准保护”:
氨;? Internet Explorer 收藏夹和设置”,排除C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\rundll32.exe,C:\WINDOWS\Explorer.exe,C:\Program Files\Maxthon\Maxthon.exe
说明:排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹;排除 Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏;当rundll32.exe与 Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置;排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。

2.2“防间谍程序最大保护”:
敖 顾 谐绦虼?Temp 文件夹运行文件”,排除D:\security\mcafee\Common Framework\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.3“防病毒最大保护”:
2.3.1“禁止更改所有文件扩展名的注册”,排除C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe。
说明:排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。

2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”,排除C:\Program Files\Maxthon\Maxthon.exe。
说明:排除Maxthon.exe是允许遨游浏览器可以进行网页(论坛)下载。

2.4“通用标准保护”:
2.4.1“禁止修改 McAfee 文件和设置”,排除D:\security\mcafee\VirusScan Enterprise\VsTskMgr.exe。
说明:排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。

2.4.2 “禁止修改 McAfee Common Management Agent 文件和设置”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.4.3“禁止修改 McAfee 扫描引擎文件和设置”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中,以便回滚DAT之用。(知识若不分享 实在没有意义 http://www.)

2.5“通用最大保护”:
2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.5.2 “禁止在 Program Files 文件夹中创建新的可执行文件”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.5.3“禁止 FTP 通信”,
排 除C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\Program Files\Maxthon\Maxthon.exe。
说明:排除Thunder5.exe是允许迅雷可以进行FTP下载;排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。

2.5.4“禁止 HTTP 通信”,
排 除C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe。
说 明:排除FrameworkService.exe是允许McAfee升级病毒库;排除Thunder5.exe是允许迅雷可以进行HTTP下载;排除 Maxthon.exe是允许遨游可以上网且不会无故中断;排除QQGame.exe是允许QQ游戏能够运行;排除TTPlayer.exe是允许千千静 听可以下载歌词。

四、用户自定义的规则
1、对未知程序的行为控制
说明:该系列规则防护相当强大,使用时需根据使用环境随时 调整,但因为排除进程太多,故安全性降低,以“1.1禁止未知程序的任何操作”为例,为了不影响日常使用,排除了浏览器和下载工具,所以并不能阻挡病毒从 外部创建到计算机中,虽然可以禁止其执行,但病毒源已存在于计算机中,威胁依然存在,因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。
1.1禁止未知程序的任何操作
要包含的进程:*
要 排除的进程:C:\WINDOWS\System32\alg.exe,C:\WINDOWS\system32\ctfmon.exe,\??\C:\ WINDOWS\system32\winlogon.exe,\??\C:\WINDOWS\system32\csrss.exe,C:\WINDOWS\system32\lsass.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\System32\svchost.exe,C:\WINDOWS\system32\logonui.exe,C:\WINDOWS\system32\RUNDLL32.EXE,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\services.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE,C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE,C:\WINDOWS\system32\taskmgr.exe,C:\WINDOWS\system32\NOTEPAD.EXE,C:\Program Files\McAfee\Common Framework\McTray.exe,C:\Program Files\McAfee\Common Framework\UdaterUI.exe,C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe,C:\Program Files\McAfee\Common Framework\naPrdMgr.exe,C:\Program Files\Thunder\Thunder.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbconfig.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\IconPackager\IconPackager.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE,C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE,C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\TTPlayer\TTPlayer.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe,C:\Program Files\鱼鱼软件\鱼鱼桌面秀\XDeskShow.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Tencent\QQ\CoralQQ.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\PROGRA~1\KMplayer\KMPlayer.exe,C:\PROGRA~1\NFSU2\speed2.exe
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取、写入、执行、创建、删除
说 明:该规则属于FD的极致规则,类似于AD,利用FD模仿AD的行为控制,但并不如真正的AD完美与强大,若McAfee与具备AD的HIPS相配合,该 规则就没有存在的意义了。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.2禁止未知程序的任何网络行为
要包含的进程:*
要 排除的进程:C:\WINDOWS\system32\svchost.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe
要阻止端口:1~65535
方向:入站、出站
说明:该规则类似于防火墙,阻止了不信任程序对网络的访问。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.3禁止未知程序的任何注册表行为
说 明:该系列规则属于RD的极致规则。需要注意的是,若“1.1禁止未知程序的任何操作”开启,则该系列规则毫无意义,因为排除进程是一样的,所以不被 “1.1禁止未知程序的任何操作”阻挡的进程,也必然不会被该系列规则阻挡,反之,已经被“1.1禁止未知程序的任何操作”阻挡的进程,也没有能力再碰触 到该系列规则了。因为“1.1禁止未知程序的任何操作”是FD模仿了AD的行为控制,反之AD却无法模仿FD,总体来说FD应该是HIPS中最强大的防御 系统,如果FD与AD相配合达到对计算机的完全保护,那么即使是RD中属于极致的规则都变得多余了,因此可以得出FD强于AD,AD强于RD,但三者其实 各有所长,对于不同的用户群,FD、AD和RD都发挥着各自的能力。
1.3.1禁止未知程序的任何注册表行为(项)
要包含的进程:*
要排除的进程:同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值:HKALL/**
规则类型:项
要阻止的注册表操作:写入、创建、删除

1.3.2禁止未知程序的任何注册表行为(值)
要包含的进程:*
要排除的进程:同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值:HKALL/**
规则类型:值
要阻止的注册表操作:写入、创建、删除

2、禁止在计算机中创建新文件
说 明:该系列规则对部分格式文件禁止写入、创建和删除,以主要操作“创建”而命名这一系列规则,同时也为了与内置规则“禁止在 Windows 文件夹中创建新的可执行文件”相对应,该系列规则在“要禁止的文件操作”中不可选中“执行”,因为“执行”的操作在排除进程上要比“写入、创建、删除”的 操作多的多,故从安全性考虑,该系列规则与“1、对未知程序的行为控制”系列规则相配合,才能使“访问保护”趋于完善。
2.01禁止在计算机中创建新的.exe文件
要包含的进程:*
要 排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Thunder\Program\Thunder5.exe
要阻止的文件或文件夹名:**\*.exe
要禁止的文件操作:写入、创建、删除
说 明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库;排除Explorer.exe 是为了日常使用时不受该规则限制,例如复制、粘贴、移动、删除等等的操作;排除WinRAR.exe是允许压缩软件释放压缩包,尤其是绿色软件;排除 Thunder5.exe是允许迅雷下载软件。

2.02禁止在计算机中创建新的.dll文件
要包含的进程:*
要排除的进 程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.dll
要禁止的文件操作:写入、创建、删除
说明:该规则的排除进程基本与2.01规则一样,仅仅去除了对Thunder5.exe的排除,因为日常使用中,一般不会用迅雷下载DLL文件,以下的规则中不排除Thunder5.exe皆是此理。(知识若不分享 实在没有意义 http://www.)

2.03禁止在计算机中创建新的.bat文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.bat
要禁止的文件操作:写入、创建、删除
说明:排除WinRAR.exe是允许绿色软件可以直接解压使用;排除Explorer.exe也是允许绿色软件可以复制、粘贴、移动、删除等等的日常操作。

2.04禁止在计算机中创建新的.chm文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.chm
要禁止的文件操作:写入、创建、删除

2.05禁止在计算机中创建新的.com文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.com
要禁止的文件操作:写入、创建、删除

2.06禁止在计算机中创建新的.cpl文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.cpl
要禁止的文件操作:写入、创建、删除

2.07禁止在计算机中创建新的.ini文件
要包含的进程:*
要 排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe
要阻止的文件或文件夹名:**\*.ini
要禁止的文件操作:写入、创建、删除
说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

2.08禁止在计算机中创建新的.msc文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msc
要禁止的文件操作:写入、创建、删除

2.09禁止在计算机中创建新的.msi文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msi
要禁止的文件操作:写入、创建、删除

2.10禁止在计算机中创建新的.ocx文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.ocx
要禁止的文件操作:写入、创建、删除

2.11禁止在计算机中创建新的.pif文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.pif
要禁止的文件操作:写入、创建、删除

2.12禁止在计算机中创建新的.scr文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.scr
要禁止的文件操作:写入、创建、删除(知识若不分享 实在没有意义 http://www.)

2.13禁止在计算机中创建新的.sys文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.sys
要禁止的文件操作:写入、创建、删除

2.14禁止在计算机中创建新的.vbs文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vbs
要禁止的文件操作:写入、创建、删除

2.15禁止在计算机中创建新的.vxd文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vxd
要禁止的文件操作:写入、创建、删除

2.16禁止在计算机中创建新的autorun.inf文件
要包含的进程:*
要阻止的文件或文件夹名:**\autorun.inf
要禁止的文件操作:读取、写入、执行、创建、删除
说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3、禁止部分系统工具的操作
3.1禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程:*
要阻止的文件或文件夹名:**\regedit.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,需要注意的是,该规则不属于RD,只通过FD对注册表外部进行保护,RD是对注册表内部进行的保护。

3.2禁止管理工具的操作
要包含的进程:*
要阻止的文件或文件夹名:**\mmc.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:管理工具里都是重要的系统工具

3.3禁止格式化命令format的运行
要包含的进程:*
要阻止的文件或文件夹名:**\format.*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:针对一些格式化病毒的防护措施

3.4禁止net命令的运行
要包含的进程:*
要阻止的文件或文件夹名:**\net*.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对远程攻击的防护措施

3.5禁止at命令的运行
要包含的进程:*
要阻止的文件或文件夹名:**\at.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对远程攻击的防护措施

4、保护部分重要的系统文件
4.1保护系统盘根目录下的文件
要包含的进程:*
要阻止的文件或文件夹名:C:\*.*
要禁止的文件操作:写入、创建、删除
说明:系统盘根目录下都是重要的系统文件(知识若不分享 实在没有意义 http://www.)

4.2保护ghost文件
要包含的进程:*
要阻止的文件或文件夹名:**\*.GHO
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对系统备份进行防护

5、禁止任何远程操作
要包含的进程:System:Remote
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:通过文件保护禁止了远程的一切行为

四.保存设置和规则
说 明:将HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore和HKEY_LOCAL_MACHINE\SOFTWARE \McAfee\DesktopProtection两个注册表项全部导出,包含子项目,即保存了所有设置和规则,再将导出的两个注册表文件合并到一个文 件中,若使用时只须导入即可。
一、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore中包含的规则设置
1.1访问保护:(这个值只有在访问保护关闭时才能访问,一旦导入也将覆盖所有以前的访问保护设置!)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\AccessProtectionUserRules

1.2缓冲区溢出保护:(其中*表示数字0、1、2、3、4、5……)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\BOPExclusionProcess_*

1.3电子邮件传递扫描程序:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\Email Scanner

1.4有害程序策略:(其中*表示数字0、1、2、3、4、5……)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\NVP\UserDefinedDetection_*

1.5 按访问扫描程序:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration以及Default(默认设置)、High(高风险进程)、Low(低风险进程)

二、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection中包含的规则设置
2.1隔离管理器策略:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection

2.2按需扫描(完全扫描、目标扫描):
HKEY_LOCAL_MACHINE \SOFTWARE\McAfee\DesktopProtection\Tasks\{21221C11-A06D-4558-B833-98E8C7F6C4D2} 和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\DefaultTask(默认)

2.3AutoUpdate:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks\{A14CD6FC-3BA8-4703-87BF-E3247CE382F5}(默认)(知识若不分享 实在没有意义 http://www.)

写给准备用mcafee8.5i企业版的朋友

http://www./archives/2006/10786.html

写给准备用mcafee8.5i企业版的朋友
mcafee是最受公认的监控最灵敏的防病毒软件
但是真正的精髓部分应该是它的文件访问保护部分(以及端口阻挡,注册表防护等等)(知识若不分享 实在没有意义 http://www.)

首先,若您想使用mcafee
我建议您要学会自己动手DIY最适合自己的规则
为自己的机器“量身定做”一套属于自己的,独一无二的细密而强大的保护规则
(别人做的规则不一定是适合您的)
您对系统的熟悉度越高,mcafee就越强大
反之,如果您对此一窍不通的话,mcafee也就发挥不出它应有的强大保护力了

可以说这样:只要您懂得并会熟练的运用好mcafee(8.5i)的访问保护
无论什么新型病毒,什么变种木马,加了什么壳,加了多少层壳
在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的

附上我自己编写的部分规则:

(仅供参考)
禁止在C盘根目录创建文件
禁止在WINDOWS目录中新建任何文件
禁止修改WINDOWS目录中的任何文件
禁止删除WINDOWS目录中的任何文件
禁止在WINDOWS根目录下新建任何文件
禁止在system32根目录下新建任何文件
禁止在C盘中新建,修改任何SCR文件(防范某些木马)
禁止cscript.exe运行
禁止mshta.exe运行
禁止format.com运行(防范恶意格式化行为)
禁止hh.exe运行
禁止cmd.exe运行
禁止修改文件访问控制权限
禁止私自启用计划运行任务程序
防范远程注册表操作,禁止调用regsvc.dll
禁止在C盘中新建任何VXD文件
禁止私自创建共享文件夹
禁止telnet.exe运行
禁止在C盘中新建任何EXE可执行文件
禁止在C盘中新建任何COM可执行文件
禁止在C盘中新建任何DLL动态连接库文件
防范脚本病毒,禁止scrrun.dll
禁止在C盘中新建任何批处理BAT文件
禁止在C盘中新建任何VBS脚本文件
禁止访问TEMP文件夹,防止恶意安装程序
禁止在C盘中新建任何JS脚本文件
禁止在C盘中新建任何JSE脚本文件
禁止对Access数据库文件进行任何操作
禁止在C盘中新建任何VBE文件
禁止C盘中新建,运行任何WSH文件
禁止C盘中新建任何WSF文件
禁止在本地新建,修改,执行任何AUTORUN.INF文件
禁止在C盘中新建任何SYS文件
禁止在Downloaded Program Files目录中新建任何文件
禁止添加桌面文件
禁止启用远程桌面程序
禁止在开始菜单中添加项目
禁止在C盘中新建ZIP文件(防范某些蠕虫)
禁用NetMeeting网络会议程序
禁止在system.ini中创建和写入内容
禁止在win.ini中创建和写入内容
禁止在wininit.ini中创建和写入内容
禁止在本地新建任何*desktop.ini文件
禁止java目录下的程序私自运行
禁止在C盘中新建CHM文件
保护本机所有EXE可执行文件(防止修改)
禁止私自在Program Files根目录下新建文件
禁止nwscript.exe运行
禁用自动下载连接管理器
禁止未经许可的控件注册
禁止script.dll运行
禁用SQL Server 客户端网络工具
禁止创建,修改或删除磁盘的卷标(名称)
禁止调用路由跟踪命令
防范某些网络蠕虫扩散,禁止私自运行PING命令
禁止私自用源目录中的同名文件替换目标目录中的文件
禁止私自更改当前登录用户的权限
禁止私自调用文件属性修改工具
禁止对Boot.ini配置文件执行编辑操作
防止多用户同时登陆,禁用termsrv.dl
禁止使用NetMeeting功能访问远程桌面
禁止“私自指定某些程序在指定的时间运行”
禁止在C盘中新建任何PIF文件
禁止私自修改本地用户帐户数据库
禁止在Default User目录下新建任何文件
禁止在LocalService目录下新建任何文件
禁止在NetworkService目录下新建任何文件
禁止在Application Data目录下新建任何项目
保护本机所有EXE可执行文件(防止删除)
禁止网络检测命令net.exe运行
禁止在PCHEALTH目录中新建,修改,删除任何文件
禁止Config目录下新建,修改,删除任何文件
禁止在security目录下新建,修改,删除任何文件
禁止在system目录下新建,修改,删除任何文件
禁止在Registration目录下新建,修改,删除任何文件
禁止在drivers目录下新建,修改,删除任何文件
禁止启用系统还原程序
禁止控制台程序tlntsvr.exe运行
禁止私自调用系统配置编辑器
禁止在C盘中新建CMD文件(防范某些蠕虫)
禁止在C盘中新建HTT文件(防范某些病毒)
保护WINDOWS的"系统文件替换"备份目录
保护WINDOWS的"最后一次正确启动配置"备份文件目录
禁止在C盘中新建,修改任何CPL文件(防范某些木马)
禁止在C盘中新建,修改任何DOT文件(防范宏病毒)
禁止在C盘中新建,修改任何DOC文件(防范宏病毒)
禁止运行Windows脚本宿主工具
禁止在C盘中新建,修改任何BFF文件(防止宏病毒寄生)
禁止读取Cookies文件
禁止创建新的Cookies文件

这些规则看起来似乎让人很头晕,但其实这还只是属于框架部分(我们还需要制定一些特定规则)
这些规则看似复杂,但是却不会对我电脑的以及机器上程序的正常使用造成任何妨碍

您必须学会用两至三条的规则对某个区域形成一个防护体系
并且能够使电脑最终在这些复杂而强悍的规则的防护下运行自如

有些用户发现他们使用了mcafee后的“主要工作”就是需要不停的添加排除进程
好在这些规则是可以逐渐积累的,而且是可以将其最终保存起来的
(终将会形成一套属于您自己的强大的防护体系)

我喜欢用mcafee的另一个原因是它让我感觉到了自己是自己电脑真正的“主宰者”
什么程序(甚至后台服务)可以被运行,什么程序不可以被运行
什么文件可以被修改,删除,什么文件不可以
什么地方可以被写入(创建)新文件,什么地方不可以新建任何文件
什么地方只可以被写入什么格式的文件,全都由我说了算,呵呵。(知识若不分享 实在没有意义 http://www.)

能用好mcafee您就会明白其顶尖的监控和强大的保护规则配合起来的好处
而对于那些不懂得如何设置和运用好mcafee的保护规则的初级用户来讲
呵呵,mcafee同样是一个令人头疼的“梦魇”。

    本站是提供个人知识管理的网络存储空间,所有内容均由用户发布,不代表本站观点。请注意甄别内容中的联系方式、诱导购买等信息,谨防诈骗。如发现有害或侵权内容,请点击一键举报。
    转藏 分享 献花(0

    0条评论

    发表

    请遵守用户 评论公约

    类似文章 更多