9512.net
甜梦文库
当前位置:首页 >> >>

麦咖啡McAfee 8.8企业版规则设置


麦咖啡McAfee 8.8企业版规则设置(初级篇)


McAfee是杀毒软件,访问保护是辅助的,所以他的杀毒凌驾于一切规则之上。其杀毒与规则之间的关系是:杀毒强于规则,文件规则强于注册表规则,注册表规则强于端口规则,但四者各有所长,相互配合,才能发挥它的综合能力。任何单方面的、静止的褒贬都是片面的。下面进入正题。

一、通配符
McAfee 8.8 规则设置之难,难于通配符而已。通配符之难,难于8.8不支持“?:\”表示任意盘符。以WINDOWS和Program Files文件夹为例,下面是文件夹的表示方法:
*\WINDOWS:表示任意盘符下的WINDOWS文件夹(在“要阻止的进程”中无效)。
**\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。
*\**\WINDOWS:表示任意盘符下的WINDOWS文件夹(所有进程有效)。
文件的通配符表示方法:
*\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在“要阻止的进程”中无效)。
**\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。
*\**\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(所有进程有效)。
*\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)。
**\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。
*\**\WINDOWS\**\*.*:表示任意盘符WINDOWS文件夹下多级目录中的所有带后缀的文件(所有进程有效)。
文件夹名的通配符表示方法:
Program Files*:表示Program Files文件夹以及其后有多个任意字符的文件夹,当然包括Program Files (x86)。
PROGRA~?:?表示任意单个字符,当然包括1、2、3、4等。关于PROGRA~1,百度一下就知道了。
*\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(在“要阻止的进程”中无效)
**\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
*\**\Program Files*\**\*.*:表示任意盘符Program Files和Program Files (x86)文件夹下多级目录中的所有带后缀的文件(所有进程有效)
要包含的进程通配符表示方法:
*:表示所有进程。
**:表示所有进程。
*.*:表示所有带后缀的进程(解决Sestem进程无法排出的问题)。
其它:?:\*:单独表示根目录继续有效。
  说明:经实践,以上语法在8.7i中同样有效。

二、规则设置思路
规则是用来辅助杀毒软件防御未知病毒的,思路不同,规则的框架也就不同。下面是两种防御思路:
1、划分信任区,禁止非信任区程序非法运行,保护信任区程序不被非法篡改。这种思路的关键是信任区必须干净。
2、拟出绝对路径的白名单,白名单允许运行并禁止篡改,其它一律禁止。这种思路的关键是白名单必须找准。
说明:此思路的规则坛子里目前空白,有兴趣的可以一试。系统白名单提取思路——纯系统(不同系统)安装咖啡,去掉咖啡所有默认排除如法炮制名单,所有规则不保护、只勾选报告,进行各种运行和操作,最后从报告中整理出绝对路径的白名单,这个名单是通用的。然后在装好应用软件的系统里如法炮制,又可以得到其它白名单,这个名单是个性的的,常用软件还是通用的。
3、干净PC,入口防御。即在本机无毒的前提下,禁止可移动设备的程序非法运行和浏览器非法下载。
以上每一种思路下都可以做到非常严格和相对宽松。
下面就以第一种思路为例来设置McAfee 8.8 规则。

三、前期准备
1、安装McAfee 8.8 企业版。方法、步骤、设置等相关问题请参考置顶帖。
2、划分信任区。我的划分比较严格:
*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明:信任区包括任意盘符下带后缀的系统程序,安装在Program Files、Program Files (x86)以及非Program Files下的应用软件,32、64位通用,加入*\PROGRA~?\**\*.*是为了fat早期磁盘格式上的老掉牙程序能够运行(虽然99.99%用不着)。4KBrowser四库全书,AloneSbck四部丛刊,EMPIRE EARTH地球帝国,KangXiDict康熙字典,没有的这些的在下面的设置中去掉即可。
3、收集、挑选要设置的单个规则。这样可以防止规则存在大的漏洞。
4、安排规则框架。
(1)禁止非信任区程序非法运行:理论上需要四条规则——禁止非信任区程序访问文件、注册表项、注册表值、端口,其中,“禁止非信任区程序访问文件”默认规则的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”就是,这是咖啡的极致规则,“阻止对所有共享资源的读写访问”开启,非信任区程序根本没有能力再碰触到注册表项、注册表值、端口规则了。所以,其它三个规则在用户定义的规则中加不加两可。
(2)保护信任区程序不被非法篡改:需要两类规则——保护系统程序、应用软件程序
(3)禁止其它风险运行:例如防映像劫持、防U盘病毒、保护根目录等。

万事俱备,下面就实践吧!

四、规则设置(McAfee 8.8 天诺规则 文字版)
(一)默认规则设置
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无

《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:*\WINDOWS\**\*.*

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*(Win7下应为*.*,否则可能导致系统正版验证失败)
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.EXE

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*
规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无

《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*
《防病毒爆发控制》

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:*.*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
说明:这条规则的作用即“禁止非信任区程序访问-文件”。

《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *
\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\regedit.exe, *\WINDOWS\system32\svchost.exe

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\WINDOWS\**\system32\lsass.exe, *\WINDOWS\**\system32\services.exe, *\WINDOWS\**\system32\smss.exe, *\WINDOWS\**\system32\winlogon.exe, *\WINDOWS\system32\svchost.exe, *\Program Files*\**\McAfee\**\*.*, *\WINDOWS\Explorer.EXE

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:保护网络设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:iexplore.exe
要排除的进程:无

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无
《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止在 Program Files* 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:*\Program Files*\McAfee\Common Framework\FrameworkService.exe

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe

规则名称:禁止 HTTP 通信
要包含的进程:*.*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
《虚拟机保护》

规则名称:防止终止 VMWare 进程
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\WINDOWS\**\*.*

(二)用户定义的规则运行(此部分可以选择性设置,不必求全)
1、禁止非信任区程序(此部分可以没有,原因见前“规则框架”)
1.01 规则名称:禁止非信任区程序访问-文件
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要阻止的文件或文件夹名:**\*
要禁止的文件:读取 写入 执行 创建 删除

1.01 规则名称:禁止非信任区程序访问-注册表(项)
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

1.02 规则名称:禁止非信任区程序访问-注册表(值)
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\**电子书\**\*.*, *\WINDOWS\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

1.03 规则名称:禁止非信任区程序访问-端口
要包含的进程:*.*
要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:入站 出站

2、保护信任区关键部位(此部分必须有)
2.01 规则名称:保护windows下的COM文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.com
要禁止的文件:写入 创建

2.02 规则名称:保护windows下的VXD驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.vxd
要禁止的文件:创建

2.03 规则名称:保护windows下的DRV驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.drv
要禁止的文件:创建

2.04 规则名称:保护windows下的OCX控件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.ocx
要禁止的文件:写入 创建

2.05 规则名称:保护windows下的EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*, *\WINDOWS\system32\Rundll32.exe
要阻止的文件或文件夹名:**\WINDOWS\**\*.exe
要禁止的文件:写入 创建

2.06 规则名称:保护windows下的DLL文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\WINDOWS\**\*.dll
要禁止的文件:写入 创建

2.07 规则名称:保护windows下的PIF文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.pif
要禁止的文件:写入 创建

2.08 规则名称:保护windows下的SCR文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.scr
要禁止的文件:写入 创建

2.09 规则名称:保护windows下的SYS驱动
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\windows\**\*.sys
要禁止的文件:创建

2.10 规则名称:保护Program Files*下的COM文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.com
要禁止的文件:写入 创建

2.11 规则名称:保护Program Files*下的COM文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.com
要禁止的文件:写入 创建
  说明:我的四库全书大型软件等都装在E盘,阻止E:\**\*.com可以全覆盖,没有的去掉这类即可。下同。

2.12 规则名称:保护Program Files*下的SCR文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.scr
要禁止的文件:写入 创建

2.13 规则名称:保护Program Files*下的SCR文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.scr
要禁止的文件:写入 创建

2.14 规则名称:保护Program Files*下的PIF文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\Program Files*\**\*.pif
要禁止的文件:写入 创建

2.15 规则名称:保护Program Files*下的PIF文件2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:E:\**\*.pif
要禁止的文件:写入 创建

2.16 规则名称:保护Program Files*下的EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\Program Files*\**\*.exe
要禁止的文件:创建

2.17 规则名称:保护Program Files*下的EXE文件2
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件:创建

2.18 规则名称:保护Program Files*下的DLL文件
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:**\Program Files*\**\*.dll
要禁止的文件:写入 创建

2.19 规则名称:保护Program Files*下的DLL文件2
要包含的进程:*
要排除的进程:*\Program Files*\**\McAfee\**\*.*
要阻止的文件或文件夹名:E:\**\*.dll
要禁止的文件:写入 创建

3、其它保护(此部分可以选择)
3.01 规则名称:保护根目录
要包含的进程:*
要排除的进程:*\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:?:\*
要禁止的文件:写入 创建 删除

3.02 规则名称:禁止在本机非法修改EXE文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夹名:**\*.exe
要禁止的文件:写入

3.03 规则名称:禁止在本机非法执行TMP文件
要包含的进程:*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\Windows\system32\svchost.exe, *\AloneSbck\**\*.*, *\KangXiDict\**\*.*, *\4KBrowser\**\*.*, *\EMPIRE EARTH\**\*.*
要阻止的文件或文件夹名:**\*.tmp
要禁止的文件:执行

3.04 规则名称:禁止在本机非法创建BAT文件
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\*.bat
要禁止的文件:创建

3.05 规则名称:禁止在本机非法执行脚本文件
要包含的进程:?script.exe
要排除的进程:无
要阻止的文件或文件夹名:**\**
要禁止的文件:执行

3.06 规则名称:禁止在本机非法创建CPI文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.cpl
要禁止的文件操作:写入 创建 删除

3.07 规则名称:禁止在本机非法创建INI文件
要包含的进程:*
要排除的进程:*\**工具\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files*\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要阻止的文件或文件夹名:**\*.ini
要禁止的文件操作:写入 创建 删除
说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

3.08 规则名称:禁止在本机非法创建MSC文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msc
要禁止的文件操作:写入 创建 删除

3.09 规则名称:禁止在本机非法创建MSI文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msi
要禁止的文件操作:写入 创建 删除

3.01 规则名称:禁止在本机非法创建VBS文件
要包含的进程:*
要排除的进程:*\WINDOWS\Explorer.exe, *\**\Program Files*\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vbs
要禁止的文件操作:写入 创建 删除

3.11 规则名称:禁止*autorun*.*任何操作
要包含的进程:*
要阻止的文件或文件夹名:**\*autorun*.*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3.12 规则名称:禁止修改gho文件
要包含的进程:*
要阻止的文件或文件夹名:**\*.gho
要禁止的文件操作:读取 写入 执行 创建 删除

3.13 规则名称:保护安全模式设置
要包含的进程:*
要排除的进程:无
要保护的注册表项目或注册表值:HKLM /SYSTEM/*ControlSet*/Control/SafeBoot/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

3.14 规则名称:防止映像劫持
要包含的进程:*
要排除的进程:无
要保护的注册表项目或注册表值:HKLM /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除

3.15 规则名称:禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\regedit.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,通过文件访问对注册表外部进行保护。

3.16 规则名称:禁止管理工具的操作
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\mmc.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:管理工具里都是重要的系统工具

3.17 规则名称:禁止格式化命令format的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\format.*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:针对一些格式化病毒的防护措施

3.18 规则名称:禁止net命令的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\net*.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:对远程攻击的防护措施

3.19 规则名称:禁止at命令的运行
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:**\at.exe
要禁止的文件操作:读取 写入 执行 创建 删除
说明:对远程攻击的防护措施

3.20 规则名称:禁止任何远程操作
要包含的进程:System:Remote
要排除的进程:无
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取 写入 执行 创建 删除
说明:通过文件保护禁止了远程的一切行为

五、规则导出
运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置:
XP及更高版本32位:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
64位:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]

六、规则分享

64位规则(在Windows Server 2008 R2 下设置而成):

McAfee 8.8 天诺规则正式版 64位.rar


32位规则(修改64位规则注册表位置而成):

McAfee 8.8 天诺规则正式版 32位.rar


XP规则(在Windows XP 下设置而成):

McAfee 8.8 天诺规则正式版 XP.rar


更新说明:

1、删除重复规则;
2、调整部分通配符,运行更流畅,保护更全面;
3、修订少数规则,安全性有所提升;
4、端口规则变化较大,请善用之;
5、绿色软件、电子书请分别放到任意位置的“**工具”和“**电子书”文件夹中,可以正常运行,不干坏事不会触红;
6、保持风格:中规中矩,稳重细腻,安全易用;
7、帖子中的文字版未作大的改动。
  
  规则导入:关闭访问保护,双击规则文件。
  规则修改:导入规则,在 控制台——访问保护 中增加、减少或修改包含、排除、阻止的进程以及操作、报告等,完毕再导出,这规则就是你的了。

麦咖啡McAfee 8.8企业版规则设置(中级篇)


规则说明:
1、综合:默认规则采用邪版“McAfee8.8企业版通用加强规则经典版”,并做了有效性调整;自定义规则综合天诺分组防御和猫版浏览器防御相关规则。
2、安全:干净PC模式 + 安全模式 + 疯狂模式 + 入口防御,组成全面、系统、缜密的立体式强大防御体系。
3、高效:自定义规则只有9条,以一当百,一目了然,绝无重复。
4、易用:也不要认为排除很复杂,主要集中在自定义规则的软件组。
5、流畅:系统,软件,冲浪,自己体验,健步如飞,痛快流畅。
6、通用:Windows系统通吃,相应系统直接导入相应规则,适应性排除即可(当然不反对自己设置)。
7、可定制:系统组及自带软件、咖啡本身已经基本排除,自己需要排除实机软件,否则完全无法运行。
8、累了,规则已经完全超越,趋于完善,就作为天诺的封笔规则吧!感谢朋友们的支持与厚爱!

镇版规则:

McAfee 8.8 天诺封笔镇版规则 32位.rar

McAfee 8.8 天诺封笔镇版规则 64位.rar

McAfee 8.8 天诺封笔镇版规则 XP.rar


以下是规则文字版:

>>>>>>>================默认规则------------------>

《防间谍程序标准保护》

规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

《防间谍程序最大保护》

规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无

《防病毒标准保护》

规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:*\**\Windows\**

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:*\**\Windows\explorer.exe

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无

《防病毒最大保护》

规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

《防病毒爆发控制》

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无

规则名称:阻止对所有共享资源的读写访问
要包含的进程:*.*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

《通用标准保护》

规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:保护网络设置
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:iexplore.exe
要排除的进程:无

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无

《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:*\**\Windows\**

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:无

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:*\**\Program Files*\McAfee\Common Framework\FrameworkService.exe

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe

规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp


>>>>>>>================用户定义的规则------------------>

《用户定义的规则》

01 规则名称:全局注册表保护_项
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除

02 规则名称:全局注册表保护_值
要包含的进程:*
要排除的进程:*\**\Program Files (x86)\**, *\**\Program Files\**, *\**\Windows\**
要保护的注册表项或注册表值:HKALL /**
要保护的注册表项或注册表值:值
要阻止的注册表操作:写入 创建 删除

03 规则名称:全局控制网络端口连接
要包含的进程:*.*
要排除的进程:dwwin.exe, explorer.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, McScript_InUse.exe, mcshield.exe, sppsvc.exe, svchost.exe
要阻止的端口:1 - 65535
方向:入站 出站
--------------------------------------------------------------------------
到此为止为“干净PC模式”。

04 规则名称:全局禁止修改_系统组
要包含的进程:*.*
要排除的进程:*\**\Program Files*\**, *\Windows\Sys*\wbem\WMIADAP.EXE, *\Windows\Sys*\winlogon.exe, C:\Windows\ehome\ehPrivJob.exe, C:\Windows\ehome\ehRec.exe, C:\Windows\ehome\ehshell.exe, C:\Windows\eHome\EhTray.exe, C:\Windows\ehome\mcGlidHost.exe, C:\Windows\ehome\mcupdate.EXE, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\Microsoft.NET\**\dw20.exe, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\Windows\PCHealth\HelpCtr\Binaries\MSConfig.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\**\update.exe, C:\Windows\Sys*\cleanmgr.exe, C:\Windows\Sys*\csrss.exe, C:\Windows\Sys*\defrag.exe, C:\Windows\Sys*\DeviceDisplayObjectProvider.exe, C:\Windows\Sys*\DllHost.exe, C:\Windows\Sys*\drwtsn32.exe, C:\Windows\Sys*\dwwin.exe, C:\Windows\Sys*\ie4uinit.exe, C:\Windows\Sys*\imapi.exe, C:\Windows\Sys*\lsass.exe, C:\Windows\Sys*\mmc.exe, C:\Windows\Sys*\msdt.exe, C:\Windows\Sys*\msdtc.exe, C:\Windows\sys*\notepad.exe, C:\Windows\Sys*\powercfg.exe, C:\Windows\Sys*\Reg.exe, C:\Windows\Sys*\rundll32.exe, C:\Windows\Sys*\runonce.exe, C:\Windows\Sys*\SearchIndexer.exe, C:\Windows\Sys*\SearchProtocolHost.exe, C:\Windows\Sys*\services.exe, C:\Windows\Sys*\smss.exe, C:\Windows\Sys*\sppsvc.exe, C:\Windows\Sys*\svchost.exe, C:\Windows\Sys*\taskhost.exe, C:\Windows\sys*\unregmp2.exe, C:\Windows\Sys*\wbem\WMIADAP.EXE, C:\Windows\Sys*\wbem\wmiprvse.exe, C:\Windows\sys*\werfault.exe, C:\Windows\Sys*\WindowsPowerShell\v1.0\powershell.exe, C:\Windows\Sys*\wuapp.exe, C:\Windows\Sys*\wuauclt.exe, C:\Windows\sys*\mspaint.exe, C:\Windows\sys*\wermgr.exe, C:\Windows\sys*\SNDVOL32.EXE, C:\Windows\sys*\dumprep.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:写入 创建 删除

05 规则名称:全局禁止修改_软件组
要包含的进程:*.*
要排除的进程:*\**\Windows\**, *\McAfee\**\*.exe, *\Microsoft Office\OFFICE*\*.EXE, *\Windows Defender\MSASCui.exe, *\Windows Media Player\setup_wm.exe, *\Windows Media Player\wmplayer.exe, *\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:写入 创建 删除
--------------------------------------------------------------------
加上以上两条为“安全模式”。

06 规则名称:全局禁止执行_系统组
要包含的进程:*.*
要排除的进程:*\Program Files*\**, *\PROGRA~?\**, *\Windows\**\WMIADAP.EXE, C:\Windows\**\Ati2evxx.exe, C:\Windows\**\atieclxx.exe, C:\Windows\**\atiesrxx.exe, C:\Windows\**\AUDIODG.EXE, C:\Windows\**\ceipdata.exe, C:\Windows\**\cleanmgr.exe, C:\Windows\**\conhost.exe, C:\Windows\**\conime.exe, C:\Windows\**\consent.exe, C:\Windows\**\csrss.exe, C:\Windows\**\ctfmon.exe, C:\Windows\**\defrag.exe, C:\Windows\**\DeviceDisplayObjectProvider.exe, C:\Windows\**\DllHost.exe, C:\Windows\**\drwtsn32.exe, C:\Windows\**\dumprep.exe, C:\Windows\**\dw20.exe, C:\Windows\**\Dwm.exe, C:\Windows\**\dwwin.exe, C:\Windows\**\ehPrivJob.exe, C:\Windows\**\ehRec.exe, C:\Windows\**\ehshell.exe, C:\Windows\**\EhTray.exe, C:\Windows\**\ie4uinit.exe, C:\Windows\**\imapi.exe, C:\Windows\**\IMJPMIG.EXE, C:\Windows\**\logonui.exe, C:\Windows\**\lpremove.exe, C:\Windows\**\lsass.exe, C:\Windows\**\mcGlidHost.exe, C:\Windows\**\mcupdate.exe, C:\Windows\**\mmc.exe, C:\Windows\**\MSConfig.exe, C:\Windows\**\mscorsvw.exe, C:\Windows\**\msdt.exe, C:\Windows\**\msdtc.exe, C:\Windows\**\Mystify.scr, C:\Windows\**\notepad.exe, C:\Windows\**\powercfg.exe, C:\Windows\**\powershell.exe, C:\Windows\**\rundll32.exe, C:\Windows\**\runonce.exe, C:\Windows\**\sc.exe, C:\Windows\**\schtasks.exe, C:\Windows\**\SearchFilterHost.exe, C:\Windows\**\SearchIndexer.exe, C:\Windows\**\SearchProtocolHost.exe, C:\Windows\**\ServerManagerLauncher.exe, C:\Windows\**\services.exe, C:\Windows\**\smss.exe, C:\Windows\**\spoolsv.exe, C:\Windows\**\sppsvc.exe, C:\Windows\**\svchost.exe, C:\Windows\**\taskhost.exe, C:\Windows\**\tasklist.exe, C:\Windows\**\taskmgr.exe, C:\Windows\**\TrustedInstaller.exe, C:\Windows\**\unregmp2.exe, C:\Windows\**\userinit.exe, C:\Windows\**\verclsid.exe, C:\Windows\**\WDKeyMonitorCCB.exe, C:\Windows\**\werfault.exe, C:\Windows\**\wermgr.exe, C:\Windows\**\wininit.exe, C:\Windows\**\winlogon.exe, C:\Windows\**\wmiprvse.exe, C:\Windows\**\wsqmcons.exe, C:\Windows\**\wuapp.exe, C:\Windows\**\wuauclt.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\regedit.exe, C:\Windows\RTHDCPL.EXE, C:\Windows\SoftwareDistribution\**\update.exe, C:\Windows\splwow64.exe, C:\Windows\**\mspaint.exe, C:\Windows\**\SNDVOL32.EXE, C:\Windows\**\Flash\FlashUtil10r_ActiveX.exe, C:\Windows\**\aitagent.EXE, C:\WINDOWS\**\Binaries\HelpSvc.exe(已用2310个字符)
要阻止的文件或文件夹名:**
要禁止的文件操作:执行

07 规则名称:全局禁止执行_软件组
要包含的进程:*.*
要排除的进程:*\**\Windows\**, *\McAfee\**\*.exe, *\Microsoft Office\OFFICE*\*.EXE, *\Windows Defender\MSASCui.exe, *\Windows Media Player\setup_wm.exe, *\Windows Media Player\wmplayer.exe, *\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:执行
-----------------------------------------------------------------
加上以上两条为“疯狂模式”。

08 规则名称:禁止浏览器/下载软件修改系统文件
要包含的进程:C+WClient.exe, chrome.exe, firefox.exe, iexplore.exe, opera.exe, safari.exe, theworld.exe, Thunder.exe
要排除的进程:无
要阻止的文件或文件夹名:C:\Windows\**(XP下为:**\Windows\**)
要禁止的文件操作:写入 创建 删除

09 规则名称:禁止浏览器/下载软件修改AppData下的可执行文件(XP下为:禁止浏览器/下载软件修改Local Settings下的可执行文件)
要包含的进程:C+WClient.exe, iexplore.exe, Thunder.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
要排除的进程:无
要阻止的文件或文件夹名:**\AppData\**\*.exe(XP下为:**\Local Settings\**\*.exe)
要禁止的文件操作:写入 执行 创建 删除
------------------------------------------------------------------
加上以上两条为“入口防御”。


麦咖啡McAfee 8.8企业版规则设置(高级篇)


规则要点:
1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化。
2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制。
3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐。
4、易用性稍差,视个人软件情况,有的排除量可能较大。
5、流畅性极好,飞一般的享受。
6、支持系统自动监测更新,下载并安装时最好关闭访问保护。
7、默认支持与金山网盾、毛豆纯墙\HIP8.0(二选一)安全搭配,一般用户单奔足矣。
8、不直接分享规则,规则自己设置:
(1)系统进程基本排除完毕,出现触红需要谨慎排除。
(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\替换成C:\或D:\等)。

友情提示:如果追求通用,可以把软件路径中的“E:\Program Files\”替换成“*\Program Files*\”即可,安全性影响很小。

(3)没有排除的软件根据日志排除,或自行整理后添加排除。

排除技巧:一般软件要想正常运行,需要在“禁止远程创建/修改可执行文件和配置文件”、“将所有共享项设为只读”、“保护Windows下的文件”、“保护Windows注册表_项”、“保护Windows注册表_值”规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”、“保护缓存文件免受密码和电子邮件地址窃贼的攻击”中排除。

(4)排除原则:善用百度搜索,辅以http://www.virscan.org/扫描,放行已知安全,杜绝一切隐患。
(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则。
(6)不同系统,规则设置有所区别,请详细阅读规则说明。
9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控!不好折腾的朋友不建议使用!


规则设置:

----------------------------默认规则---------------------------------------

《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:**
要排除的进程:C:\Windows\Explorer.EXE, C:\Program Files\Internet Explorer\iexplore.exe
是否勾选报告:否
----------------------------------------
说明:排除C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能够修改Internet Explorer收藏夹和设置。不勾选报告,避免大量日志。

《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:**
要排除的进程:无
是否勾选报告:否
----------------------------------
说明:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告。

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------
说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的 Temp 文件夹下,再运行。该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件。”而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。排除咖啡相关进程是为了正常升级和使用。

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
是否勾选报告:否
-------------------------------
说明:阻止Windows 脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。没必要勾选报告。

《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:**
要排除的进程:无
是否勾选报告:是
------------------------------------
说明:保护Windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用。不用排除。

规则名称:禁止更改用户权限策略
要包含的进程:**
要排除的进程:C:\Windows\system32\lsass.exe
是否勾选报告:是
------------------------------------
说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows 安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限。排除应该极少。

规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)
要包含的进程:**(Win7下用*.*)
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\System32\msdtc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾选报告:是
--------------------------------
说明:该规则是规则“将所有共享项设为只读”的阉割版。保护了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按绝对路径排除已知的安全程序,全局有效防止了对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。只此一条,就涵盖了坛子里原有规则自定义规则的N条。还有com、sys、drv、vxd、bat等,交给自定义规则补充吧。此处排除的是系统组进程,软件组在自定义中补充。( 友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同。)
规则名称:禁止远程创建自动运行文件
要包含的进程:**
要排除的进程:无
要阻止的文件或文件夹名:autorun.inf
是否勾选报告:是
--------------------------------
说明:禁止创建所有自动播放。

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------------
说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件。

规则名称:禁止伪装 Windows 进程
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------------
说明:禁止针对Windows核心进程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的 Windows 文件不受该规则限制。切记不用排除。

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
----------------------------
说明:邮件客户端,禁止通过SMTP 端口(25和587)出站发送email。需要排除所用邮件软件的进程,否则软件将无法使用。

规则名称:禁止 IRC 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------
说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令。

规则名称:禁止使用 tftp.exe
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------
说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒。使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除。

《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
是否勾选报告:否
---------------------------------
说明:禁止Svchost.exe加载非Windows服务.DLL文件。用则不要排除,也不用勾选报告。否则可以不用。

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
------------------------------------------
说明:隐私保护规则。保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码。排除已知的安全程序。

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:**
要排除的进程:C:\WINDOWS\explorer.exe
是否勾选报告:否
------------------------------
说明:这是一个严格的版本“反病毒标准保护:防止其他可执行的EXE和扩展劫持”规则,而不是只保护的.EXE。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名。不勾选报告,否则日志量大。

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
--------------------------------------
说明:隐私保护规则。防止病毒、木马读取上网隐私。排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为)。

《防病毒爆发控制》
规则名称:将所有共享项设为只读(系统组)
要包含的进程:**(Win7下用*.*)
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾选报告:是
---------------------------------------
说明:这是非常强大的全局禁改规则。按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了。有效防止信任区病毒爆发。软件组在自定义中补充。

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:**(Win7下用*.*)
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
------------------------------------------------
说明:这是非常强大的全局禁运规则。排除信任区后,非信任区一切程序的所有操作都无法进行。有效防止非信任区病毒爆发。注册表在自定义中补充。

《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
-------------------------------------------
说明:只排除了咖啡本身和C:\Windows\system32\services.exe。

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
------------------------------------------
说明:只排除了咖啡本身和C:\Windows\system32\services.exe。

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
----------------------------------------
说明:只排除了咖啡本身。

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*
是否勾选报告:是
-------------------------------
说明:本人不用,常规排除。

规则名称:保护 Internet Explorer 设置
要包含的进程:**
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE
是否勾选报告:是
----------------------------------
说明:排除*\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能修改IE设置。

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------------------
说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等。只给咖啡这个权利。

规则名称:保护网络设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\svchost.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
----------------------------------------
说明:反广告规则。禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据。只给咖啡和svchost.exe这个权利。

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
是否勾选报告:是
---------------------------
说明:官方默认。

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
是否勾选报告:是
------------------------------------------------
说明:官方默认。

规则名称:防止终止 McAfee 进程
要包含的进程:**
要排除的进程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
是否勾选报告:是
------------------------------
说明:官方默认。

《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-------------------------------------
说明:安全软件给这个权利。

规则名称:禁止将程序注册为服务
要包含的进程:**
要排除的进程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
---------------------------------------
说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护。严格排除已知的安全进程。

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
是否勾选报告:是
------------------------------
说明:只防了EXE和DLL的创建,自定义规则还需要补充。

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------
说明:只防了EXE和DLL的创建,自定义规则还需要补充。

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------
说明:“要包含的进程”改成**,禁止所有程序从 Downloaded Program Files 文件夹启动文件。

规则名称:禁止 FTP 通信
要包含的进程:**
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾选报告:是
------------------------------
说明:默认,到自定义规则中去详细控制。

规则名称:禁止 HTTP 通信
要包含的进程:**
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾选报告:是
--------------------------------
说明:默认加简单排除,到自定义规则中去详细控制。

《虚拟机保护》
规则名称:防止终止 VMWare 进程
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
--------------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
----------------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
-----------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
---------------------------------
说明:本人不用,常规排除。


----------------------------用户定义的规则-----------------------------------------

01 规则名称:禁止非信任区程序访问注册表_项
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。

02 规则名称:禁止非信任区程序访问注册表_值
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。

03 规则名称:禁止未知程序访问端口_入站
要包含的进程:**(Win7下用*.*)
要排除的进程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾选报告:是
-------------------------------------------------
说明:程序入站自己控制。

04 规则名称:禁止未知程序访问端口_出站
要包含的进程:**(Win7下用*.*)
要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:出站
是否勾选报告:是
-------------------------------------------------
说明:程序出站自己控制。

05 规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组
要包含的进程:**(Win7下用*.*)
要排除的进程:**\Windows\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\svchost.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“禁止远程创建/修改可执行文件和配置文件”规则的软件组。全局防止对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。

06 规则名称:防病毒爆发_将所有共享项设为只读_ 软件组
要包含的进程:**(Win7下用*.*)
要排除的进程:*\WINDOWS\**\*.*, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Program Files\Angry Birds\Angry Birds\AngryBirds.exe, E:\Program Files\Program Files\WinRAR\WinRAR.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“将所有共享项设为只读”规则的软件组。防止信任区病毒爆发。

07 规则名称:保护Windows下的文件
要包含的进程:**(Win7下用*.*)
要排除的进程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**\WINDOWS\**(Win7下用C:\WINDOWS\**)
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 Windows 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读” 规则的强化。目的是严格控制,防止信任的WINDOWS区病毒爆发。

08 规则名称:保护Windows注册表_项_系统组
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(系统组)。

09 规则名称:保护Windows注册表_值_系统组
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(系统组)。

10 规则名称:保护Windows注册表_项_软件组
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(软件组)。

11 规则名称:保护Windows注册表_值_软件组
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保护的注册表项目或注册表值:HKALL /**/Software/Microsoft/Windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(软件组)。

12 规则名称:保护AppData下的Windows文件(Win7下适用)
要包含的进程:**
要排除的进程:*\CCleaner\CCleaner*.exe, *\COMODO\COMODO Internet Security\cmdagent.exe, *\Kingsoft\webshield\KSWebShield.exe, *\Kingsoft\webshield\kwsupd.exe, *\McAfee\Common Framework\McScanCheck.exe, *\McAfee\Common Framework\FrameworkService.exe, *\McAfee\Common Framework\UdaterUI.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\system32\NOTEPAD.EXE
要阻止的文件或文件夹名:**\AppData\**\Windows\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”规则的补充,对“将所有共享项设为只读”的强化。目的是严格控制,防止信任的AppData区病毒爆发。追求通用性者可以参照本条规则的通配符语法排除。

13 规则名称:保护Program Files下的文件
要包含的进程:**
要排除的进程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\system32\NOTEPAD.EXE, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 Program Files 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读”规则的强化。目的是严格控制,防止信任的Program Files区病毒爆发。

1、sandyyangjie :
天诺兄不准备直接附上规则是不?~我觉得可以附上一个都没开启的规则,这样可能别人好修改一些~~~从头开始创建这么多规则伤不起呀~~

答复:附上本人实机规则,方便导入修改:

McAfee 8.8 天诺规则加强版 XP.rar

所有进程采用绝对路径排除。


McAfee 8.8 天诺规则加强版 32.rar

软件采用相对路径排除。不影响边用边改。


McAfee 8.8 天诺规则加强版 64.rar

软件采用相对路径排除。不影响边用边改。


McAfee 8.8 天诺规则加强版 XP_2.rar

需要修改的规则没有勾选阻挡,方便修改,完成后不要忘了勾上。


2、bighead :
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program FilesE:\Program Files
这个是啥意思?应该是多了吧?
答复:替换*\时出的错误,完整的应该是C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe,文中已经改正,规则已经重新上传。


3、bmjp007:
为什么
2011/5/20 17:58:37 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe C:\Program Files\Agnitum\Outpost Firewall Pro\log\netstat4.log 防病毒爆发控制:将所有共享项设为只读 已阻止的操作: 写入这一项排除不了
答复:更正:C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe,这个可能是Win7下排除无效。
后补:根据bmjp007的实践,Win7下似乎~1排除无效,请遇到的朋友说一下经验。

4、bmjp007:
好多要排除的,连排除项里都放不下了,很恼火,倒不是怕麻烦,就是怕放不下。怎么办?
答复:软件很多就把软件改成通配符路径可以节省很多,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe写成*\McAfee\Host Intrusion Prevention\FireSvc.exe,这样还有32位、64位以及软件装在任意盘通用的好处。以此类推。

5、bighead:
这个规则楼主调试过多久了呢,怎么好多系统进程都还没排除掉用起来太辛苦了。换回自己的了呵呵(可能是系统问题,我的是win7 32位)
答复:文字版是在XP下做的,Win7有所不同。现在64位Win7下设了一个规则通用版,软件采用通配符路径,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe写成*\McAfee\Host Intrusion Prevention\FireSvc.exe,这样既节省了很多排除空间,又可以通用。规则直接导入,可以边用边排除:

McAfee 8.8 天诺规则加强通用版 32位.rar

McAfee 8.8 天诺规则加强通用版 64位.rar

McAfee 8.8 天诺规则加强通用版 XP.rar

个人系统软件不同,完全通用而不排除是不可能的,所以导入后一般都需要进一步排除。欢迎大家导入测试并反馈!我将视情况适时推出正式的通用版规则。




赞助商链接

更多相关文章:
mcafee规则设置技巧
Macfee 规则设置技巧自己动手用 Macfee 打造自己的安全系统 让有些朋友能手动添加...麦咖啡McAfee 8.8企业版... 42页 1下载券 mcafee安装后设置 22页 2下载...
Mcafee规则设置教程
Mcafee规则设置教程_IT/计算机_专业资料。麦咖啡全球最畅销的杀毒软件之一,McAfee...麦咖啡McAfee 8.8企业版... 42页 1下载券 麦咖啡85i规则教程 16页 1...
McAfee企业版快速配置手册(EPO4.5)
企业版| McAfee企业版快速配置手册(EPO4.5)_IT/计算机_专业资料。McAfee企业版快速...如果已启用 Active Directory 同步通知规则, 则会为所添加或删除的每个系统生成...
图解mcafee企业版设置指南
图解mcafee企业版设置指南 - 图解 mcafee 企业版设置指南 mcafee,中文称作麦咖啡.最近老是有人问麦咖啡的问题,于是决定写一篇这样的东西,希 望可以对使用麦咖啡的...
McAfee企业版日志详解
注册表阻止规则 与注册表对应的关系图: 4.4、如何取消保护 设置了限制之后,当...麦咖啡McAfee 8.8企业版... 34页 1下载券 基础教学 McAfee企业版8... ...
McAfee 8.7i企业版新手规则
McAfee 8.7i 企业版新手规则企业版新手规则是为那些初次使用 McAfee 8.7i 的...麦咖啡McAfee 8.8企业版... 42页 1下载券 麦咖啡McAfee 8.8企业版... ...
Mcafee(麦咖啡)8.5i 使用设置图解
Mcafee 的精髓就在于保护规则设置。只要访问保护规则设置得好,几乎可 以说是能够...McAfee麦咖啡企业版8.8怎... 26页 免费 麦咖啡8.5i 使用设置图解... 41页 ...
mcafee访问保护规则
来设置.大家可以根据自己的个人喜好进行改动.建议大家不要从网站直接 导入规则包...麦咖啡McAfee 8.8企业版... 42页 1下载券 mcafee规则设置 34页 1下载券 ...
McAfee EPO4.5 操作手册
McAfee Epo 4.5 部署手册 VSE8.8.0部署手册 Mcafee企业版配置手册(for EPO4.5)...3.1.2.5 访问保护策略 使用访问保护规则,限制系统可访问区域。 各个规则其实是...
mcafee设置全攻略
的想法,并且每 个人都应该有他们自己独特的设置,所以与大家分享咖啡的规则设 置...本人强烈推荐 McAfee VirusScan 8.0i 中文企业版+Anti-Spyware 安装咖啡注意...
更多相关标签:

All rights reserved Powered by 甜梦文库 9512.net

copyright ©right 2010-2021。
甜梦文库内容来自网络,如有侵犯请联系客服。zhit325@126.com|网站地图