9512.net
甜梦文库
当前位置:首页 >> >>

麦咖啡McAfee 8.8企业版规则设置


麦咖啡McAfee 8.8企业版规则设置(初级篇)


McAfee是杀毒软件,访问保护是辅助的,所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是:杀毒强于规则,文件规则强于注册表规则,注册表规则强于端口规则,但四者各有所长,相互配合,才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。

一、通配符
McAfee 8.8 规则设置之难,难于通配符而已。通配符之难,难于8.8不支持“?:\”表示任意盘符。以WINDOWS和Program Files文件夹为例,下面是文件夹的表示方法:
*\WINDOWS:表示任意盘符下的WINDOWS文件夹(在“要阻止的进程”中无效)。
**\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。
*\**\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。
文件的通配符表示方法:
*\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在“要阻止的进程”中无效)。
**\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。
*\**\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。
*\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)。
**\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。
*\**\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。
文件夹名的通配符表示方法:
Program Files*:表示Program Files文件夹以及其后有多个任意字符的文件夹,当然包括Program Files (x86)。
PROGRA~?:?表示任意单个字符,当然包括1、2、3、4等。关于PROGRA~1,百度一下就知道了。
*\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)
**\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
*\**\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
要包含的进程通配符表示方法:
*:表示所有进程。
**:表示所有进程。
*.*:表示所有带后缀的进程(解决Sestem进程无法排出的问题)。
其它:?:\*:单独表示根目录继续有效。
  说明:经实践,以上语法在8.7i中同样有效。

二、规则设置思路
规则是用来辅助杀毒软件防御未知病毒的,思路不同,规则的框架也就不同。下面是两种防御思路:
1、划分信任区,禁止非信任区程序非法运行,保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。
2、拟出绝对路径的白名单,白名单允许运行并禁止篡改,其它一律禁止。这种思路的关键是白名单必须找准。
说明:此思路的规则坛子里目前空白,有兴趣的可以一试。系统白名单提取思路——纯系统(不同系统)安装咖啡,去掉咖啡所有默认排除如法炮制名单,所有规则不保护、只勾选报告,进行各种运行和操作,最后从报告中整理出绝对路径的白名单,这个名单是通用的。然后在装好应用软件的系统里如法炮制,又可以得到其它白名单,这个名单是个性的的,常用软件还是通用的。
3、干净PC,入口防御。即在本机无毒的前提下,禁止可移动设备的程序非法运行和浏览器非法下载。
以上每一种思路下都可以做到非常严格和相对宽松。
下面就以第一种思路为例来设置McAfee 8.8 规则。

三、前期准备
1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。
2、划分信任区。我的划分比较严格:
*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明:信任区包括任意盘符下带后缀的系统程序,安装在Program Files、Program Files (x86)以及非Program Files下的应用软件,32、64位通用,加入*\PROGRA~?\**\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行(虽然99.99%用不着)。4KBrowser四库全书,AloneSbck四部丛刊,EMPIRE EARTH地球帝国,KangXiDict康熙字典,没有的这些的在下面的设置中去掉即可。
3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。
4、安排规则框架。
(1)禁止非信任区程序非法运行:理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口,其中,“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是,这是咖啡的极致规则,“阻止对所有共享资源的读写访问”开启,非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以,其它三个规则在用户定义的规则中加不加两可。
(2)保护信任区程序不被非法篡改:需要两类规则——保护系统程序、应用软件程序
(3)禁止其它风险运行:例如防映像劫持、防U盘病毒、保护根目录等。

万事俱备,下面就实践吧!

四、规则设置(McAfee 8.8 天诺规则 文字版)
(一)默认规则设置
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无

《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:*\WINDOWS\**\*.*

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*(Win7下应为*.*,否则可能导致系统正版验证失败)
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.EXE

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无

《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
《防病毒爆发控制》

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:*.*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明:这条规则的作用即“禁止非信任区程序访问-文件”。

《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *
\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\regedit.exe, *\WINDOWS\system32\svchost.exe

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*, *\WINDOWS\Explorer.EXE

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:保护网络设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:iexplore.exe
要排除的进程:无

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无
《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止在 Program Files* 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:*\Program Files*\McAfee\Common Framework\FrameworkService.exe

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe

规则名称:禁止 HTTP 通信
要包含的进程:*.*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
《虚拟机保护》

规则名称:防止终止 VMWare 进程
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

(二)用户定义的规则运行(此部分可以选择性设置,不必求全)
1、禁止非信任区程序(此部分可以没有,原因见前“规则框架”)
1.01 规则名称:禁止非信任区程序访问-文件
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要阻止的文件或文件夹名:**\*
要禁止的文件:读取 写入 执行 创建 删除

1.01 规则名称:禁止非信任区程序访问-注册表(项)
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

1.02 规则名称:禁止非信任区程序访问-注册表(值)
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

1.03 规则名称:禁止非信任区程序访问-端口
要包含的进程:*.*
要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:入站 出站

2、保护信任区关键部位(此部分必须有)
2.01 规则名称:保护windows下的COM文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.com
要禁止的文件:写入 创建

2.02 规则名称:保护windows下的VXD驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.vxd
要禁止的文件:创建

2.03 规则名称:保护windows下的DRV驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.drv
要禁止的文件:创建

2.04 规则名称:保护windows下的OCX控件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.ocx
要禁止的文件:写入 创建

2.05 规则名称:保护windows下的EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\system32\Rundll32.exe
要阻止的文件或文件夹名:**\WINDOWS\**\*.exe
要禁止的文件:写入 创建

2.06 规则名称:保护windows下的DLL文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\WINDOWS\**\*.dll
要禁止的文件:写入 创建

2.07 规则名称:保护windows下的PIF文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.pif
要禁止的文件:写入 创建

2.08 规则名称:保护windows下的SCR文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.scr
要禁止的文件:写入 创建

2.09 规则名称:保护windows下的SYS驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.sys
要禁止的文件:创建

2.10 规则名称:保护Program Files*下的COM文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.com
要禁止的文件:写入 创建

2.11 规则名称:保护Program Files*下的COM文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.com
要禁止的文件:写入 创建
  说明:我的四库全书大型软件等都装在E盘,阻止E:\**\*.com可以全覆盖,没有的去掉这类即可。下同。

2.12 规则名称:保护Program Files*下的SCR文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.scr
要禁止的文件:写入 创建

2.13 规则名称:保护Program Files*下的SCR文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.scr
要禁止的文件:写入 创建

2.14 规则名称:保护Program Files*下的PIF文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.pif
要禁止的文件:写入 创建

2.15 规则名称:保护Program Files*下的PIF文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.pif
要禁止的文件:写入 创建

2.16 规则名称:保护Program Files*下的EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\Program Files*\**\*.exe
要禁止的文件:创建

2.17 规则名称:保护Program Files*下的EXE文件2
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件:创建

2.18 规则名称:保护Program Files*下的DLL文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\Program Files*\**\*.dll
要禁止的文件:写入 创建

2.19 规则名称:保护Program Files*下的DLL文件2
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:E:\**\*.dll
要禁止的文件:写入 创建

3、其它保护(此部分可以选择)
3.01 规则名称:保护根目录
要包含的进程:*
要排除的进程:*\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:?:\*
要禁止的文件:写入 创建 删除

3.02 规则名称:禁止在本机非法修改EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夹名:**\*.exe
要禁止的文件:写入

3.03 规则名称:禁止在本机非法执行TMP文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\Windows\system32\svchost.exe, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夹名:**\*.tmp
要禁止的文件:执行

3.04 规则名称:禁止在本机非法创建BAT文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\*.bat
要禁止的文件:创建

3.05 规则名称:禁止在本机非法执行脚本文件
要包含的进程:?script.exe
要排除的进程:无
要阻止的文件或文件夹名:**\**
要禁止的文件:执行

3.06 规则名称:禁止在本机非法创建CPI文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.cpl
要禁止的文件操作:写入 创建 删除

3.07 规则名称:禁止在本机非法创建INI文件
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:**\*.ini
要禁止的文件操作:写入 创建 删除
说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

3.08 规则名称:禁止在本机非法创建MSC文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msc
要禁止的文件操作:写入 创建 删除

3.09 规则名称:禁止在本机非法创建MSI文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msi
要禁止的文件操作:写入 创建 删除

3.01 规则名称:禁止在本机非法创建VBS文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vbs
要禁止的文件操作:写入 创建 删除

3.11 规则名称:禁止*autorun*.*任何操作
要包含的进程:*
要阻止的文件或文件夹名:**\*autorun*.*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3.12 规则名称:禁止修改gho文件
要包含的进程:*
要阻止的文件或文件夹名:**\*.gho
要禁止的文件操作:读取 写入 执行 创建 删除

3.13 规则名称:保护安全模式设置
要包含的进程:*
要排除的进程:无
要保护的注册表项目或注册表值:HKLM /SYSTEM/*ControlSet*/Control/SafeBoot/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

3.14 规则名称:防止映像劫持
要包含的进程:*
要排除的进程:无
要保护的注册表项目或注册表值:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

3.15 规则名称:禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\regedit.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,通过文件访问对注册表外部进行保护。

3.16 规则名称:禁止管理工具的操作
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\mmc.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:管理工具里都是重要的系统工具

3.17 规则名称:禁止格式化命令format的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\format.*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:针对一些格式化病毒的防护措施

3.18 规则名称:禁止net命令的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\net*.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:对远程攻击的防护措施

3.19 规则名称:禁止at命令的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\at.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:对远程攻击的防护措施

3.20 规则名称:禁止任何远程操作
要包含的进程:System:Remote
要排除的进程:无
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:通过文件保护禁止了远程的一切行为

五、规则导出
运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置:
XP及更高版本32位:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
64位:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]

六、规则分享

64位规则(在Windows Server 2008 R2 下设置而成):

McAfee 8.8 天诺规则正式版 64位.rar


32位规则(修改64位规则注册表位置而成):

McAfee 8.8 天诺规则正式版 32位.rar


XP规则(在Windows XP 下设置而成):

McAfee 8.8 天诺规则正式版 XP.rar


更新说明:

1、删除重复规则;
2、调整部分通配符,运行更流畅,保护更全面;
3、修订少数规则,安全性有所提升;
4、端口规则变化较大,请善用之;
5、绿色软件、电子书请分别放到任意位置的“**工具”和“**电子书”文件夹中,可以正常运行,不干坏事不会触红;
6、保持风格:中规中矩,稳重细腻,安全易用;
7、帖子中的文字版未作大的改动。
  
  规则导入:关闭访问保护,双击规则文件。
  规则修改:导入规则,在 控制台——访问保护 中增加、减少或修改包含、排除、阻止的进程以及操作、报告等,完毕再导出,这规则就是你的了。

麦咖啡McAfee 8.8企业版规则设置(中级篇)


规则说明:
1、综合:默认规则采用邪版“McAfee8.8企业版通用加强规则经典版”,并做了有效性调整;自定义规则综合天诺分组防御和猫版浏览器防御相关规则。
2、安全:干净PC模式 + 安全模式 + 疯狂模式 + 入口防御,组成全面、系统、缜密的立体式强大防御体系。
3、高效:自定义规则只有9条,以一当百,一目了然,绝无重复。
4、易用:也不要认为排除很复杂,主要集中在自定义规则的软件组。
5、流畅:系统,软件,冲浪,自己体验,健步如飞,痛快流畅。
6、通用:Windows系统通吃,相应系统直接导入相应规则,适应性排除即可(当然不反对自己设置)。
7、可定制:系统组及自带软件、咖啡本身已经基本排除,自己需要排除实机软件,否则完全无法运行。
8、累了,规则已经完全超越,趋于完善,就作为天诺的封笔规则吧!感谢朋友们的支持与厚爱!

镇版规则:

McAfee 8.8 天诺封笔镇版规则 32位.rar

McAfee 8.8 天诺封笔镇版规则 64位.rar

McAfee 8.8 天诺封笔镇版规则 XP.rar


以下是规则文字版:

>>>>>>>================默认规则------------------>

《防间谍程序标准保护》

规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

《防间谍程序最大保护》

规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无

《防病毒标准保护》

规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:*\**\Windows\**

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\**\Windows\explorer.exe

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无

《防病毒最大保护》

规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

《防病毒爆发控制》

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无

规则名称:阻止对所有共享资源的读写访问
要包含的进程:*.*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

《通用标准保护》

规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:保护网络设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:iexplore.exe
要排除的进程:无

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无

《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\**\Windows\**

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:*\**\Program Files*\McAfee\Common Framework\FrameworkService.exe

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe

规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp


>>>>>>>================用户定义的规则------------------>

《用户定义的规则》

01 规则名称:全局注册表保护_项
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除

02 规则名称:全局注册表保护_值
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:值
要阻止的注册表操作:写入 创建 删除

03 规则名称:全局控制网络端口连接
要包含的进程:*.*
要排除的进程:dwwin.exe, explorer.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, McScript_InUse.exe, mcshield.exe, sppsvc.exe, svchost.exe
要阻止的端口:1 - 65535
方向:入站 出站
--------------------------------------------------------------------------
到此为止为“干净PC模式”。

04 规则名称:全局禁止修改_系统组
要包含的进程:*.*
要排除的进程:*\**\Program Files*\**, *\Windows\Sys*\wbem\WMIADAP.EXE, *\Windows\Sys*\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\ehome\ehRec.exe, C:\Windows\ehome\ehshell.exe, C:\Windows\eHome\EhTray.exe, C:\Windows\ehome\mcGlidHost.exe, C:\Windows\ehome\mcupdate.EXE, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\Microsoft.NET\**\dw20.exe, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\Windows\PCHealth\HelpCtr\Binaries\MSConfig.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\**\update.exe, C:\Windows\Sys*\cleanmgr.exe, C:\Windows\Sys*\csrss.exe, C:\Windows\Sys*\defrag.exe, C:\Windows\Sys*\DeviceDisplayObjectProvider.exe, C:\Windows\Sys*\DllHost.exe, C:\Windows\Sys*\drwtsn32.exe, C:\Windows\Sys*\dwwin.exe, C:\Windows\Sys*\ie4uinit.exe, C:\Windows\Sys*\imapi.exe, C:\Windows\Sys*\lsass.exe, C:\Windows\Sys*\mmc.exe, C:\Windows\Sys*\msdt.exe, C:\Windows\Sys*\msdtc.exe, C:\Windows\sys*\notepad.exe, C:\Windows\Sys*\powercfg.exe, C:\Windows\Sys*\Reg.exe, C:\Windows\Sys*\rundll32.exe, C:\Windows\Sys*\runonce.exe, C:\Windows\Sys*\SearchIndexer.exe, C:\Windows\Sys*\SearchProtocolHost.exe, C:\Windows\Sys*\services.exe, C:\Windows\Sys*\smss.exe, C:\Windows\Sys*\sppsvc.exe, C:\Windows\Sys*\svchost.exe, C:\Windows\Sys*\taskhost.exe, C:\Windows\sys*\unregmp2.exe, C:\Windows\Sys*\wbem\WMIADAP.EXE, C:\Windows\Sys*\wbem\wmiprvse.exe, C:\Windows\sys*\werfault.exe, C:\Windows\Sys*\WindowsPowerShell\v1.0\powershell.exe, C:\Windows\Sys*\wuapp.exe, C:\Windows\Sys*\wuauclt.exe, C:\Windows\sys*\mspaint.exe, C:\Windows\sys*\wermgr.exe, C:\Windows\sys*\SNDVOL32.EXE, C:\Windows\sys*\dumprep.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:写入 创建 删除

05 规则名称:全局禁止修改_软件组
要包含的进程:*.*
要排除的进程:*\**\Windows\**, *\McAfee\**\*.exe, *\Microsoft Office\OFFICE*\*.EXE, *\Windows Defender\MSASCui.exe, *\Windows Media Player\setup_wm.exe, *\Windows Media Player\wmplayer.exe, *\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:写入 创建 删除
--------------------------------------------------------------------
加上以上两条为“安全模式”。

06 规则名称:全局禁止执行_系统组
要包含的进程:*.*
要排除的进程:*\Program Files*\**, *\PROGRA~?\**, *\Windows\**\WMIADAP.EXE, C:\Windows\**\Ati2evxx.exe, C:\Windows\**\atieclxx.exe, C:\Windows\**\atiesrxx.exe, C:\Windows\**\AUDIODG.EXE, C:\Windows\**\ceipdata.exe, C:\Windows\**\cleanmgr.exe, C:\Windows\**\conhost.exe, C:\Windows\**\conime.exe, C:\Windows\**\consent.exe, C:\Windows\**\csrss.exe, C:\Windows\**\ctfmon.exe, C:\Windows\**\defrag.exe, C:\Windows\**\DeviceDisplayObjectProvider.exe, C:\Windows\**\DllHost.exe, C:\Windows\**\drwtsn32.exe, C:\Windows\**\dumprep.exe, C:\Windows\**\dw20.exe, C:\Windows\**\Dwm.exe, C:\Windows\**\dwwin.exe, C:\Windows\**\ehPrivJob.exe, C:\Windows\**\ehRec.exe, C:\Windows\**\ehshell.exe, C:\Windows\**\EhTray.exe, C:\Windows\**\ie4uinit.exe, C:\Windows\**\imapi.exe, C:\Windows\**\IMJPMIG.EXE, C:\Windows\**\logonui.exe, C:\Windows\**\lpremove.exe, C:\Windows\**\lsass.exe, C:\Windows\**\mcGlidHost.exe, C:\Windows\**\mcupdate.exe, C:\Windows\**\mmc.exe, C:\Windows\**\MSConfig.exe, C:\Windows\**\mscorsvw.exe, C:\Windows\**\msdt.exe, C:\Windows\**\msdtc.exe, C:\Windows\**\Mystify.scr, C:\Windows\**\notepad.exe, C:\Windows\**\powercfg.exe, C:\Windows\**\powershell.exe, C:\Windows\**\rundll32.exe, C:\Windows\**\runonce.exe, C:\Windows\**\sc.exe, C:\Windows\**\schtasks.exe, C:\Windows\**\SearchFilterHost.exe, C:\Windows\**\SearchIndexer.exe, C:\Windows\**\SearchProtocolHost.exe, C:\Windows\**\ServerManagerLauncher.exe, C:\Windows\**\services.exe, C:\Windows\**\smss.exe, C:\Windows\**\spoolsv.exe, C:\Windows\**\sppsvc.exe, C:\Windows\**\svchost.exe, C:\Windows\**\taskhost.exe, C:\Windows\**\tasklist.exe, C:\Windows\**\taskmgr.exe, C:\Windows\**\TrustedInstaller.exe, C:\Windows\**\unregmp2.exe, C:\Windows\**\userinit.exe, C:\Windows\**\verclsid.exe, C:\Windows\**\WDKeyMonitorCCB.exe, C:\Windows\**\werfault.exe, C:\Windows\**\wermgr.exe, C:\Windows\**\wininit.exe, C:\Windows\**\winlogon.exe, C:\Windows\**\wmiprvse.exe, C:\Windows\**\wsqmcons.exe, C:\Windows\**\wuapp.exe, C:\Windows\**\wuauclt.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\SoftwareDistribution\**\update.exe, C:\Windows\splwow64.exe, C:\Windows\**\mspaint.exe, C:\Windows\**\SNDVOL32.EXE, C:\Windows\**\Flash\FlashUtil10r_ActiveX.exe, C:\Windows\**\aitagent.EXE, C:\WINDOWS\**\Binaries\HelpSvc.exe(已用2310个字符)
要阻止的文件或文件夹名:**
要禁止的文件操作:执行

07 规则名称:全局禁止执行_软件组
要包含的进程:*.*
要排除的进程:*\**\Windows\**, *\McAfee\**\*.exe, *\Microsoft Office\OFFICE*\*.EXE, *\Windows Defender\MSASCui.exe, *\Windows Media Player\setup_wm.exe, *\Windows Media Player\wmplayer.exe, *\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:执行
-----------------------------------------------------------------
加上以上两条为“疯狂模式”。

08 规则名称:禁止浏览器/下载软件修改系统文件
要包含的进程:C+WClient.exe, chrome.exe, firefox.exe, iexplore.exe, opera.exe, safari.exe, theworld.exe, Thunder.exe
要排除的进程:无
要阻止的文件或文件夹名:C:\Windows\**(XP下为:**\Windows\**)
要禁止的文件操作:写入 创建 删除

09 规则名称:禁止浏览器/下载软件修改AppData下的可执行文件(XP下为:禁止浏览器/下载软件修改Local Settings下的可执行文件)
要包含的进程:C+WClient.exe, iexplore.exe, Thunder.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的进程:无
要阻止的文件或文件夹名:**\AppData\**\*.exe(XP下为:**\Local Settings\**\*.exe)
要禁止的文件操作:写入 执行 创建 删除
------------------------------------------------------------------
加上以上两条为“入口防御”。


麦咖啡McAfee 8.8企业版规则设置(高级篇)


规则要点:
1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化。
2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制。
3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐。
4、易用性稍差,视个人软件情况,有的排除量可能较大。
5、流畅性极好,飞一般的享受。
6、支持系统自动监测更新,下载并安装时最好关闭访问保护。
7、默认支持与金山网盾、毛豆纯墙\HIP8.0(二选一)安全搭配,一般用户单奔足矣。
8、不直接分享规则,规则自己设置:
(1)系统进程基本排除完毕,出现触红需要谨慎排除。
(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\替换成C:\或D:\等)。

友情提示:如果追求通用,可以把软件路径中的“E:\Program Files\”替换成“*\Program Files*\”即可,安全性影响很小。

(3)没有排除的软件根据日志排除,或自行整理后添加排除。

排除技巧:一般软件要想正常运行,需要在“禁止远程创建/修改可执行文件和配置文件”、“将所有共享项设为只读”、“保护Windows下的文件”、“保护Windows注册表_项”、“保护Windows注册表_值”规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”、“保护缓存文件免受密码和电子邮件地址窃贼的攻击”中排除。

(4)排除原则:善用百度搜索,辅以http://www.virscan.org/扫描,放行已知安全,杜绝一切隐患。
(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则。
(6)不同系统,规则设置有所区别,请详细阅读规则说明。
9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控!不好折腾的朋友不建议使用!


规则设置:

----------------------------默认规则---------------------------------------

《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:**
要排除的进程:C:\Windows\Explorer.EXE, C:\Program Files\Internet Explorer\iexplore.exe
是否勾选报告:否
----------------------------------------
说明:排除C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能够修改Internet Explorer收藏夹和设置。不勾选报告,避免大量日志。

《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:**
要排除的进程:无
是否勾选报告:否
----------------------------------
说明:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告。

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------
说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的 Temp 文件夹下,再运行。该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件。”而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。排除咖啡相关进程是为了正常升级和使用。

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
是否勾选报告:否
-------------------------------
说明:阻止Windows 脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。没必要勾选报告。

《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:**
要排除的进程:无
是否勾选报告:是
------------------------------------
说明:保护Windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用。不用排除。

规则名称:禁止更改用户权限策略
要包含的进程:**
要排除的进程:C:\Windows\system32\lsass.exe
是否勾选报告:是
------------------------------------
说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows 安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限。排除应该极少。

规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)
要包含的进程:**(Win7下用*.*)
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\System32\msdtc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾选报告:是
--------------------------------
说明:该规则是规则“将所有共享项设为只读”的阉割版。保护了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按绝对路径排除已知的安全程序,全局有效防止了对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。只此一条,就涵盖了坛子里原有规则自定义规则的N条。还有com、sys、drv、vxd、bat等,交给自定义规则补充吧。此处排除的是系统组进程,软件组在自定义中补充。( 友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同。)
规则名称:禁止远程创建自动运行文件
要包含的进程:**
要排除的进程:无
要阻止的文件或文件夹名:autorun.inf
是否勾选报告:是
--------------------------------
说明:禁止创建所有自动播放。

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------------
说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件。

规则名称:禁止伪装 Windows 进程
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------------
说明:禁止针对Windows核心进程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的 Windows 文件不受该规则限制。切记不用排除。

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
----------------------------
说明:邮件客户端,禁止通过SMTP 端口(25和587)出站发送email。需要排除所用邮件软件的进程,否则软件将无法使用。

规则名称:禁止 IRC 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------
说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令。

规则名称:禁止使用 tftp.exe
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------
说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒。使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除。

《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
是否勾选报告:否
---------------------------------
说明:禁止Svchost.exe加载非Windows服务.DLL文件。用则不要排除,也不用勾选报告。否则可以不用。

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
------------------------------------------
说明:隐私保护规则。保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码。排除已知的安全程序。

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:**
要排除的进程:C:\WINDOWS\explorer.exe
是否勾选报告:否
------------------------------
说明:这是一个严格的版本“反病毒标准保护:防止其他可执行的EXE和扩展劫持”规则,而不是只保护的.EXE。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名。不勾选报告,否则日志量大。

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
--------------------------------------
说明:隐私保护规则。防止病毒、木马读取上网隐私。排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为)。

《防病毒爆发控制》
规则名称:将所有共享项设为只读(系统组)
要包含的进程:**(Win7下用*.*)
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾选报告:是
---------------------------------------
说明:这是非常强大的全局禁改规则。按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了。有效防止信任区病毒爆发。软件组在自定义中补充。

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:**(Win7下用*.*)
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
------------------------------------------------
说明:这是非常强大的全局禁运规则。排除信任区后,非信任区一切程序的所有操作都无法进行。有效防止非信任区病毒爆发。注册表在自定义中补充。

《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
-------------------------------------------
说明:只排除了咖啡本身和C:\Windows\system32\services.exe。

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
------------------------------------------
说明:只排除了咖啡本身和C:\Windows\system32\services.exe。

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
----------------------------------------
说明:只排除了咖啡本身。

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*
是否勾选报告:是
-------------------------------
说明:本人不用,常规排除。

规则名称:保护 Internet Explorer 设置
要包含的进程:**
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE
是否勾选报告:是
----------------------------------
说明:排除*\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能修改IE设置。

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------------------
说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等。只给咖啡这个权利。

规则名称:保护网络设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\svchost.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
----------------------------------------
说明:反广告规则。禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据。只给咖啡和svchost.exe这个权利。

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
是否勾选报告:是
---------------------------
说明:官方默认。

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
是否勾选报告:是
------------------------------------------------
说明:官方默认。

规则名称:防止终止 McAfee 进程
要包含的进程:**
要排除的进程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
是否勾选报告:是
------------------------------
说明:官方默认。

《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-------------------------------------
说明:安全软件给这个权利。

规则名称:禁止将程序注册为服务
要包含的进程:**
要排除的进程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
---------------------------------------
说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护。严格排除已知的安全进程。

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
是否勾选报告:是
------------------------------
说明:只防了EXE和DLL的创建,自定义规则还需要补充。

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------
说明:只防了EXE和DLL的创建,自定义规则还需要补充。

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------
说明:“要包含的进程”改成**,禁止所有程序从 Downloaded Program Files 文件夹启动文件。

规则名称:禁止 FTP 通信
要包含的进程:**
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾选报告:是
------------------------------
说明:默认,到自定义规则中去详细控制。

规则名称:禁止 HTTP 通信
要包含的进程:**
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾选报告:是
--------------------------------
说明:默认加简单排除,到自定义规则中去详细控制。

《虚拟机保护》
规则名称:防止终止 VMWare 进程
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
--------------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
----------------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
-----------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
---------------------------------
说明:本人不用,常规排除。


----------------------------用户定义的规则-----------------------------------------

01 规则名称:禁止非信任区程序访问注册表_项
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。

02 规则名称:禁止非信任区程序访问注册表_值
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。

03 规则名称:禁止未知程序访问端口_入站
要包含的进程:**(Win7下用*.*)
要排除的进程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾选报告:是
-------------------------------------------------
说明:程序入站自己控制。

04 规则名称:禁止未知程序访问端口_出站
要包含的进程:**(Win7下用*.*)
要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:出站
是否勾选报告:是
-------------------------------------------------
说明:程序出站自己控制。

05 规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组
要包含的进程:**(Win7下用*.*)
要排除的进程:**\Windows\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\svchost.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“禁止远程创建/修改可执行文件和配置文件”规则的软件组。全局防止对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。

06 规则名称:防病毒爆发_将所有共享项设为只读_ 软件组
要包含的进程:**(Win7下用*.*)
要排除的进程:*\WINDOWS\**\*.*, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Program Files\Angry Birds\Angry Birds\AngryBirds.exe, E:\Program Files\Program Files\WinRAR\WinRAR.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“将所有共享项设为只读”规则的软件组。防止信任区病毒爆发。

07 规则名称:保护Windows下的文件
要包含的进程:**(Win7下用*.*)
要排除的进程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**\WINDOWS\**(Win7下用C:\WINDOWS\**)
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 Windows 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读” 规则的强化。目的是严格控制,防止信任的WINDOWS区病毒爆发。

08 规则名称:保护Windows注册表_项_系统组
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(系统组)。

09 规则名称:保护Windows注册表_值_系统组
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(系统组)。

10 规则名称:保护Windows注册表_项_软件组
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(软件组)。

11 规则名称:保护Windows注册表_值_软件组
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(软件组)。

12 规则名称:保护AppData下的Windows文件(Win7下适用)
要包含的进程:**
要排除的进程:*\CCleaner\CCleaner*.exe, *\COMODO\COMODO Internet Security\cmdagent.exe, *\Kingsoft\webshield\KSWebShield.exe, *\Kingsoft\webshield\kwsupd.exe, *\McAfee\Common Framework\McScanCheck.exe, *\McAfee\Common Framework\FrameworkService.exe, *\McAfee\Common Framework\UdaterUI.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\system32\NOTEPAD.EXE
要阻止的文件或文件夹名:**\AppData\**\Windows\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”规则的补充,对“将所有共享项设为只读”的强化。目的是严格控制,防止信任的AppData区病毒爆发。追求通用性者可以参照本条规则的通配符语法排除。

13 规则名称:保护Program Files下的文件
要包含的进程:**
要排除的进程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\system32\NOTEPAD.EXE, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 Program Files 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读”规则的强化。目的是严格控制,防止信任的Program Files区病毒爆发。

1、sandyyangjie :
天诺兄不准备直接附上规则是不?~我觉得可以附上一个都没开启的规则,这样可能别人好修改一些~~~从头开始创建这么多规则伤不起呀~~

答复:附上本人实机规则,方便导入修改:

McAfee 8.8 天诺规则加强版 XP.rar

所有进程采用绝对路径排除。


McAfee 8.8 天诺规则加强版 32.rar

软件采用相对路径排除。不影响边用边改。


McAfee 8.8 天诺规则加强版 64.rar

软件采用相对路径排除。不影响边用边改。


McAfee 8.8 天诺规则加强版 XP_2.rar

需要修改的规则没有勾选阻挡,方便修改,完成后不要忘了勾上。


2、bighead :
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program FilesE:\Program Files
这个是啥意思?应该是多了吧?
答复:替换*\时出的错误,完整的应该是C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe,文中已经改正,规则已经重新上传。


3、bmjp007:
为什么
2011/5/20 17:58:37 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe C:\Program Files\Agnitum\Outpost Firewall Pro\log\netstat4.log 防病毒爆发控制:将所有共享项设为只读 已阻止的操作: 写入这一项排除不了
答复:更正:C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe,这个可能是Win7下排除无效。
后补:根据bmjp007的实践,Win7下似乎~1排除无效,请遇到的朋友说一下经验。

4、bmjp007:
好多要排除的,连排除项里都放不下了,很恼火,倒不是怕麻烦,就是怕放不下。怎么办?
答复:软件很多就把软件改成通配符路径可以节省很多,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe写成*\McAfee\Host Intrusion Prevention\FireSvc.exe,这样还有32位、64位以及软件装在任意盘通用的好处。以此类推。

5、bighead:
这个规则楼主调试过多久了呢,怎么好多系统进程都还没排除掉用起来太辛苦了。换回自己的了呵呵(可能是系统问题,我的是win7 32位)
答复:文字版是在XP下做的,Win7有所不同。现在64位Win7下设了一个规则通用版,软件采用通配符路径,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe写成*\McAfee\Host Intrusion Prevention\FireSvc.exe,这样既节省了很多排除空间,又可以通用。规则直接导入,可以边用边排除:

McAfee 8.8 天诺规则加强通用版 32位.rar

McAfee 8.8 天诺规则加强通用版 64位.rar

McAfee 8.8 天诺规则加强通用版 XP.rar

个人系统软件不同,完全通用而不排除是不可能的,所以导入后一般都需要进一步排除。欢迎大家导入测试并反馈!我将视情况适时推出正式的通用版规则。




赞助商链接

更多相关文章:
Mcafee规则设置教程
Mcafee规则设置教程_IT/计算机_专业资料。麦咖啡全球最畅销的杀毒软件之一,McAfee...麦咖啡McAfee 8.8企业版... 42页 免费 麦咖啡85i规则教程 16页 1下载券 ...
McAfee企业版快速配置手册(EPO4.5)
McAfee企业版快速配置手册(EPO4.5)_IT/计算机_专业资料。McAfee企业版快速配置手册...31页 1下载券 McAfee麦咖啡企业版8.8怎... 26页 免费©2014 Baidu 使用百度...
图解mcafee企业版设置指南
图解mcafee企业版设置指南 - 图解 mcafee 企业版设置指南 mcafee,中文称作麦咖啡.最近老是有人问麦咖啡的问题,于是决定写一篇这样的东西,希 望可以对使用麦咖啡的...
McAfee8.7i详细讲解教程--含安装、设置以及规则编写
McAfee麦咖啡企业版8.8怎么... 26页 免费 迈克菲(麦咖啡)8.7i企业版... 24...McAfee8.7i详细讲解教程--含安装、设置以及规则编写McAfee8.7i详细讲解教程--...
MCAFee(麦咖啡)进程解释+设置指南
他已经有很多的自带规则了,你可以禁止在 windows 的...图解mcafee企业版设置指... 16页 1下载券 迈克菲Move...McAfee麦咖啡企业版8.8怎... 26页 免费 McAfee EP...
Mcafee 企业版 8.0i 缓冲区溢出保护的解决办法和卸载
Mcafee 企业版 8.0i 缓冲区溢出保护的解决办法和卸载_电脑基础知识_IT/计算机...麦咖啡McAfee 8.8企业版... 34页 1下载券 McAfee企业版杀毒软件8... 3页 ...
迈克菲(MCAFEE)防病毒软件说明及安装方法
迈克菲 (MCAFEE) 防病毒软件是网络中心统一部署的国际最先进的网络版防 病毒软件,目的是保护网络的安全,安装该软件后,企业计算机网内的机器将自 动实施网络中心 MC...
McAfee企业版日志详解
注册表阻止规则 与注册表对应的关系图: 4.4、如何取消保护 设置了限制之后,当...McAfee麦咖啡企业版8.8怎... 26页 免费 关于McAfee 4页 免费 迈克菲(麦咖啡)...
mcafee设置全攻略
的想法,并且每 个人都应该有他们自己独特的设置,所以与大家分享咖啡的规则设 置...本人强烈推荐 McAfee VirusScan 8.0i 中文企业版+Anti-Spyware 安装咖啡注意...
McAfee客户端Vse8.7更新手册
McAfee ePO配置手册 49页 1下载券 McAfee企业版快速部署手... 5页 免费 McAfee...McAfee 客户端更新手册目前全行使用的 McAfee 防病毒软件客户端杀毒软件 virus ...
更多相关标签:

All rights reserved Powered by 甜梦文库 9512.net

copyright ©right 2010-2021。
甜梦文库内容来自网络,如有侵犯请联系客服。zhit325@126.com|网站地图