和我一起品咖啡 - McAfee 8.8 规则设置(1) 下载本文

内容发布更新时间 : 2024/11/14 13:07:36星期一 下面是文章的全部内容请认真阅读。

*\\Windows\\system32\\svchost.exe, *\\AloneSbck\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\EMPIRE EARTH\\**\\*.* 要阻止的文件或文件夹名:**\\*.tmp 要禁止的文件:执行

3.04 规则名称:禁止在本机非法创建BAT文件 要包含的进程:* 要排除的进程:无

要阻止的文件或文件夹名:**\\*.bat 要禁止的文件:创建

3.05 规则名称:禁止在本机非法执行脚本文件 要包含的进程:?script.exe 要排除的进程:无

要阻止的文件或文件夹名:**\\** 要禁止的文件:执行

*\\KangXiDict\\**\\*.*,

3.06 规则名称:禁止在本机非法创建CPI文件 要包含的进程:*

要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.cpl 要禁止的文件操作:写入 创建 删除

3.07 规则名称:禁止在本机非法创建INI文件 要包含的进程:*

要排除的进程:*\\**工具\\**\\*.*, *\\4KBrowser\\**\\*.*, *\\AloneSbck\\**\\*.*, *\\EMPIRE EARTH\\**\\*.*, *\\KangXiDict\\**\\*.*, *\\Program Files*\\**\\*.*, *\\PROGRA~?\\**\\*.*, *\\WINDOWS\\**\\*.*

要阻止的文件或文件夹名:**\\*.ini 要禁止的文件操作:写入 创建 删除

说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

3.08 规则名称:禁止在本机非法创建MSC文件 要包含的进程:*

要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.msc 要禁止的文件操作:写入 创建 删除

3.09 规则名称:禁止在本机非法创建MSI文件 要包含的进程:*

要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.msi

要禁止的文件操作:写入 创建 删除

3.01 规则名称:禁止在本机非法创建VBS文件 要包含的进程:*

要排除的进程:*\\WINDOWS\\Explorer.exe, *\\**\\Program Files*\\WinRAR\\WinRAR.exe 要阻止的文件或文件夹名:**\\*.vbs 要禁止的文件操作:写入 创建 删除

3.11 规则名称:禁止*autorun*.*任何操作 要包含的进程:*

要阻止的文件或文件夹名:**\\*autorun*.*

要禁止的文件操作:读取 写入 执行 创建 删除

说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3.12 规则名称:禁止修改gho文件 要包含的进程:*

要阻止的文件或文件夹名:**\\*.gho

要禁止的文件操作:读取 写入 执行 创建 删除

3.13 规则名称:保护安全模式设置 要包含的进程:* 要排除的进程:无

要保护的注册表项目或注册表值:HKLM /SYSTEM/*ControlSet*/Control/SafeBoot/** 要保护的注册表项或注册表值:项 要阻止的注册表:写入 创建 删除

3.14 规则名称:防止映像劫持 要包含的进程:* 要排除的进程:无

要保护的注册表项目或注册表值:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/** 要保护的注册表项或注册表值:项 要阻止的注册表:写入 创建 删除

3.15 规则名称:禁止通过注册表编辑器与.reg文件对注册表进行任何操作 要包含的进程:* 要排除的进程:无

要阻止的文件或文件夹名:**\\regedit.exe

要禁止的文件操作:读取 写入 执行 创建 删除

说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,通过文件访问对注册表外部进行保护。

3.16 规则名称:禁止管理工具的操作 要包含的进程:*

要排除的进程:无

要阻止的文件或文件夹名:**\\mmc.exe

要禁止的文件操作:读取 写入 执行 创建 删除 说明:管理工具里都是重要的系统工具

3.17 规则名称:禁止格式化命令format的运行 要包含的进程:* 要排除的进程:无

要阻止的文件或文件夹名:**\\format.*

要禁止的文件操作:读取 写入 执行 创建 删除 说明:针对一些格式化病毒的防护措施

3.18 规则名称:禁止net命令的运行 要包含的进程:* 要排除的进程:无

要阻止的文件或文件夹名:**\\net*.exe

要禁止的文件操作:读取 写入 执行 创建 删除 说明:对远程攻击的防护措施

3.19 规则名称:禁止at命令的运行 要包含的进程:* 要排除的进程:无

要阻止的文件或文件夹名:**\\at.exe

要禁止的文件操作:读取 写入 执行 创建 删除 说明:对远程攻击的防护措施

3.20 规则名称:禁止任何远程操作 要包含的进程:System:Remote 要排除的进程:无

要阻止的文件或文件夹名:**\\*

要禁止的文件操作:读取 写入 执行 创建 删除 说明:通过文件保护禁止了远程的一切行为

五、规则导出

运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置: XP及更高版本32位:[HKEY_LOCAL_MACHINE\\SOFTWARE\\McAfee\\SystemCore\\VSCore\\On Scanner\\BehaviourBlocking] 64位

Access

[HKEY_LOCAL_MACHINE\\SOFTWARE\\Wow6432Node\\McAfee\\SystemCore\\VSCore\\On Access Scanner\\BehaviourBlocking]

六、规则分享

64位规则(在Windows Server 2008 R2 下设置而成):

32位规则(修改64位规则注册表位置而成): XP规则(在Windows XP 下设置而成):

2011.4.25 更新说明:

1、删除重复规则;

2、调整部分通配符,运行更流畅,保护更全面; 3、修订少数规则,安全性有所提升; 4、端口规则变化较大,请善用之;

5、绿色软件、电子书请分别放到任意位置的“**工具”和“**电子书”文件夹中,可以正常运行,不干坏事不会触红;

6、保持风格:中规中矩,稳重细腻,安全易用; 7、帖子中的文字版未作大的改动。

规则导入:关闭访问保护,双击规则文件。

规则修改:导入规则,在 控制台——访问保护 中增加、减少或修改包含、排除、阻止的进程以及操作、报告等,完毕再导出,这规则就是你的了。