mcafee8.5i企业版之基础版规则包（07年9月1日推荐）

小邪邪

基础版规则包（07年9月1日推荐）：



基础版规则包注意事项：
1 请务必将程序安装在Program Files目录下面（不论是否在C盘中）
否则将需要您自己进行排除方能够正常地使用那些程序
（排除方法请参照规则包里的文件夹排除法，或采用下面的绝对路径排除法）

2 本规则包默认是会禁止任何未被允许的程序进行联网的，这点请特别注意
请自行进行单独的进程排除（一般来讲这项工作是不会太繁琐的）

3 下面是三个基本的排除范例（绝对路径排除法）：

2007-9-1 22:43:25
将由访问保护规则 (当前不强制执行规则) 禁止  C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE
C:\Program Files\McAfee\VirusScan Enterprise\nailite.dll
防病毒爆发控制:阻止对所有共享资源的读写访问 已阻止的操作: 执行

2007-9-1 22:43:26
将由访问保护规则 (当前不强制执行规则) 禁止  \??\C:\WINDOWS\system32\csrss.exe
C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.2982.Policy
防病毒爆发控制:阻止对所有共享资源的读写访问 已阻止的操作: 读取

2007-9-1 22:44:11 被端口阻挡规则阻挡  C:\Program Files\Internet Explorer\IEXPLORE.EXE
用户定义的规则:PD 监视程序访问网络的行为 ***.***.***.166:53

当我们要采用绝对路径排除法时：需要排除的就是红色字体部分（一般称之为父进程）

4
在不熟悉的情况下贸然启用访问保护里面的“防病毒爆发控制”中的“阻止对所有共享资源的读写访问”规则将面临着立即蓝屏死机的危险
只有当您确认该排除的进程都已经被排除了之后，才可以启用这条强力规则，切记切记
对此规则建议采用绝对路径排除法（相对能够防止伪装之进程）

其它：
此规则包为帮助MCAFEE之初级用户熟悉和MCAFEE的“访问保护”功能之用
是一个入门级的规则，相比以前的一些规则在易用性上又有进一步提高

同时此规则仍能保持相当的安全防护性能
（至少在规则全开的情况下直接去执行威金，熊猫烧香，小浩，等病毒仍可保安然无恙）

此规则包的自定义规则里面仅有一条自定规则（端口阻挡部分），具有较大的再塑造空间

（此规则包目前仅在XP系统下测试通过，这点请特别注意）

[ 本帖最后由 小邪邪 于 2007-10-27 11:15 编辑 ]

dyzx2008

还是喜欢超级版的~~

小邪邪

有时候一顿乱棍总不如一颗子弹来得更简单，直接而有效

大体上我还是希望能朝着更为简单而有效的方向前进吧

yashoo

支持，难道是传说中的全局FD

zangvip

支持支持！！请版主详细介绍一下各规则包的区别好吗？？太多了 都乱了

[ 本帖最后由 zangvip 于 2007-9-2 02:09 编辑 ]

kirk8

谢谢楼主推荐！

xlx845

支持下,斑竹把自己的超级规则说成了乱棍了

jhtl

简单有效，最关键部位防护才是规则hips的出路

ssy275

谢谢楼主

弄月

谢谢分享


不过还是喜欢用超级版的