查看: 8340|回复: 25
收起左侧

[技术原创] 关于McAfee企业版“读写权限”与“读写保护”两类规则防护效果的试验

[复制链接]
墨池
发表于 2011-8-7 21:35:19 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2011-8-7 21:44 编辑

    试验环境:XP sp3
    试验对象:McAfee 8.8
    试验目的:“读写权限”与“读写保护”两种规则防护效果与效率。
    试验人:墨池
    试验过程:

一、读写权限系列规则设置:

10 规则名称:读写权限_Windows
要包含的进程:*\Windows\**
要排除的进程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\cmd.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dumprep.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\ntbackup.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\WINDOWS\system32\rsmsink.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\sndrec32.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\Taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\System32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

39 规则名称:读写权限_C:\Program Files
要包含的进程:C:\Program Files\**
要排除的进程:C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\IMSCMIG.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

33 规则名称:读写权限_E:\Program Files
要包含的进程:E:\Program Files\**
要排除的进程:E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名:**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

二、读写保护系列规则设置:

01 规则名称:读写保护Windows_W
要包含的进程:**
要排除的进程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

04 规则名称:读写保护Windows_C:\P
要包含的进程:**
要排除的进程:*\Windows\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

07 规则名称:读写保护Windows_E:\P
要包含的进程:**
要排除的进程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\**\*.exe
要阻止的文件或文件夹名:**\Windows\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

02 规则名称:读写保护Program Files_W
要包含的进程:**
要排除的进程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, E:\Program Files\**\*.exe
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

12 规则名称:读写保护Program Files_C:\P
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, , E:\Program Files\**\*.exe
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

09 规则名称:读写保护Program Files_E:\P
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:读 写 执行 创建 删除
是否勾选报告:是

    说明:以上规则来自于《进阶教程》。

三、试验:

    1、提前在E:\Program Files中拷入InstallFlashPlayer.exe。
    2、勾选“权限规则”阻挡,不勾选“保护规则”。
    3、运行InstallFlashPlayer.exe,没有任何反应,触红,日志如下:

2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\imm32.dll 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 执行
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 读取
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 执行
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe \REGISTRY\USER\S-1-5-21-1659004503-1563985344-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 用户定义的规则:30 全局保护注册表项_E:\Program Files 已阻止的操作: 创建
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 读取
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 执行
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\DOCUME~1\用户名\LOCALS~1\TEMP\14.TMP 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 创建
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\DOCUME~1\用户名\LOCALS~1\TEMP\15.TMP 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 创建
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\DOCUME~1\用户名\LOCALS~1\Temp\15.tmp 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 创建
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\faultrep.dll 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 执行
2011-8-7 19:57:24 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\drwtsn32.exe 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 读取

    4、勾选“保护规则”阻挡,不勾选“权限规则”,报告都勾选。
    5、运行InstallFlashPlayer.exe,没有任何反应,触红,日志如下:

2011-8-7 20:31:08 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\imm32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:31:08 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 读取
2011-8-7 20:31:08 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:31:09 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe \REGISTRY\USER\S-1-5-21-1659004503-1563985344-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 用户定义的规则:30 全局保护注册表项_E:\Program Files 已阻止的操作: 创建
2011-8-7 20:31:09 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 读取
2011-8-7 20:31:09 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\17.tmp 用户定义的规则:21 只读权限_Program Files 已阻止的操作: 创建
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\17.tmp 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 读取
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\17.tmp 用户定义的规则:21 只读权限_Program Files 已阻止的操作: 删除
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\18.tmp 用户定义的规则:21 只读权限_Program Files 已阻止的操作: 创建
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\18.tmp 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 读取
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\18.tmp 用户定义的规则:21 只读权限_Program Files 已阻止的操作: 删除
2011-8-7 20:31:09 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\18.tmp 防间谍程序最大保护:禁止所有程序从 Temp 文件夹运行文件 已阻止的操作: 执行
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\18.tmp 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 读取
2011-8-7 20:31:09 将由访问保护规则 (当前不强制执行规则) 禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\Documents and Settings\用户名\Local Settings\Temp\18.tmp 用户定义的规则:21 只读权限_Program Files 已阻止的操作: 删除
2011-8-7 20:31:09 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\faultrep.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:31:09 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\drwtsn32.exe 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 读取

    4、“保护规则”与“权限规则”阻挡、报告都勾选。
    5、运行InstallFlashPlayer.exe,没有任何反应,触红,日志如下:

2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\imm32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 读取
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe \REGISTRY\USER\S-1-5-21-1659004503-1563985344-1417001333-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\AppData 用户定义的规则:30 全局保护注册表项_E:\Program Files 已阻止的操作: 创建
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 读取
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\DOCUME~1\用户名\LOCALS~1\TEMP\1A.TMP 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 创建
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\DOCUME~1\用户名\LOCALS~1\TEMP\1B.TMP 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 创建
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\DOCUME~1\用户名\LOCALS~1\Temp\1B.tmp 用户定义的规则:33 读写权限_E:\Program Files 已阻止的操作: 创建
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\faultrep.dll 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 执行
2011-8-7 20:33:14 已由访问保护规则禁止  CNU-55E795EB311\用户名 E:\Program Files\InstallFlashPlayer.exe C:\WINDOWS\system32\drwtsn32.exe 用户定义的规则:07 读写保护Windows_E:\P 已阻止的操作: 读取

四、分析:

    1、“权限规则”完全防住信任区程序安装,且防护彻底,没有任何遗漏。
    2、“保护规则”完全防住信任区程序安装,但防护不算彻底,有遗漏,虽然无关紧要。
    3、二者同时开,完全防住信任区程序安装,“保护规则”先起作用,说明咖啡规则的优先级为:
      “保护规则”优先于“权限规则”,以前理解有误。

五、结论:

    综合起来看,McAfee企业版“保护规则”优先级高于“权限规则”,而“权限规则”防护效果好于“保护规则”。

后记:
   
    InstallFlashPlayer.exe是正常程序,其安装时的行为与病毒行为有一定差别,所以结论不一定绝对可信,如有行家用病毒进行试验,结论可信度会更高。

评分

参与人数 4经验 +30 人气 +4 收起 理由
大猫熊 + 30 感谢测试:)
智琛 + 1 墨池兄辛苦了,本来没人回复的时候就想给的.
小仙仙 + 2 咖啡V5
storyhare + 1 版区有你更精彩: )--好经典,而气死人的评.

查看全部评分

storyhare 该用户已被删除
发表于 2011-8-7 21:40:29 | 显示全部楼层
本帖最后由 storyhare 于 2011-8-7 21:51 编辑

sf....

恩,很有意思的测试/对于区分咖啡规则具体防护作用的认识,很有帮助的....

呃,两者的组合.......................
..............................................................................................唉,还是摸胸( ),给广大咖啡们一个”交代“吧(嘿嘿,谁提出来,谁就的写!!)

恩,明天,吾用病毒测试一下上述规则/
墨池
 楼主| 发表于 2011-8-7 22:05:49 | 显示全部楼层
storyhare 发表于 2011-8-7 21:40
sf....

恩,很有意思的测试/对于区分咖啡规则具体防护作用的认识,很有帮助的....

哈哈,我玩火玩儿怕了,辛苦兄弟了!
墨池
 楼主| 发表于 2011-8-7 22:13:41 | 显示全部楼层
storyhare 发表于 2011-8-7 21:40
sf....

恩,很有意思的测试/对于区分咖啡规则具体防护作用的认识,很有帮助的....

“两者的组合”:
    我想等你试验完了,听听你的意见!
storyhare 该用户已被删除
发表于 2011-8-7 22:17:32 | 显示全部楼层
墨池 发表于 2011-8-7 22:13
“两者的组合”:
    我想等你试验完了,听听你的意见!

恩,明天......(话说,唉,现在,我测试病毒什么的,唉,熟练到,自吐啊.....)

恩,测试就用,之前规则防御测试的方法?还是加些其他什么的?

评分

参与人数 1人气 +1 收起 理由
智琛 + 1 你懂得

查看全部评分

智琛
发表于 2011-8-7 22:36:51 | 显示全部楼层
来晚了。墨池兄不要介意。联通上卡饭很吃力、RQ送上
智琛
发表于 2011-8-7 22:38:24 | 显示全部楼层
storyhare 发表于 2011-8-7 22:17
恩,明天......(话说,唉,现在,我测试病毒什么的,唉,熟练到,自吐啊.....)

恩,测试就用,之前规则 ...

熟悉之后测试病毒就没啥意思,你我心知肚明。
尤其是用虚拟机。
PS:昨天你的帖子木给你RQ,今日补上
智琛
发表于 2011-8-7 22:39:31 | 显示全部楼层
storyhare 发表于 2011-8-7 21:40
sf....

恩,很有意思的测试/对于区分咖啡规则具体防护作用的认识,很有帮助的....

换个头像吧。
o(︶︿︶)o 唉。好XE
storyhare 该用户已被删除
发表于 2011-8-7 22:41:55 | 显示全部楼层
黄智琛 发表于 2011-8-7 22:38
熟悉之后测试病毒就没啥意思,你我心知肚明。
尤其是用虚拟机。
PS:昨天你的帖子木给你RQ,今日补上

那用一些新测试方法吧,唉,我的脑细胞.....明天会大量阵亡%……% ----给我买好棺材!
智琛
发表于 2011-8-7 22:46:18 | 显示全部楼层
storyhare 发表于 2011-8-7 22:41
那用一些新测试方法吧,唉,我的脑细胞.....明天会大量阵亡%……% ----给我买好棺材!

这个,没问题。
其实你们的咖啡期刊3中所说的那个中毒时候再用的规则,我想不明白,难道咖啡不能设置全局规则。如果使用毛豆则可以全局禁运设置例外提高安全性。囧
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 22:36 , Processed in 0.139543 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表