熊猫McAfee企业版8.8规则 Ver 0.8.0520.0 RC

大猫熊

熊猫McAfee企业版8.8规则

Ver 0.8.0520.0 RC

目录

二楼    规则发布说明

三楼    文字版规则（默认规则部分）

四楼    文字版规则（自定义规则部分）

五楼    规则文件下载

六楼    更新日志

七楼    规则答疑

八楼    结语

声明：本贴的大部分内容均为原创，未经允许不得转载，不得以任何形式出版。部分规则借鉴了墨池和叶知的相关规则，在此向两位大牛表示感谢！本帖内容不属于McAfee官方资源，可能存在漏洞或者错误，任何查看此帖的人都应了解并自己承担遵照帖子内容进行操作所造成的潜在风险及可能后果。本帖及跟帖所提供的所有附件仅供测试使用，请勿用于正规商业用途。使用者须自行承担使用这些附件的一切后果！


欢迎访问我的博客：http://www.alexyang.me

大猫熊

规则发布说明

一、防御理念

当今世界，恶意软件依然横行，并且出现多种新型的攻击手段，比如rootkit，比如磁盘底层写入，比如白加黑，等等。而各大安全厂商也纷纷升级产品，加入或升级主动防御模块，抵御新型的威胁，防毒软件越做越复杂，选项越来越多，各种弹窗和提示也是纷繁复杂，让用户很多时候都不知所措，感觉电脑越来越难驾驭。有些人为避免麻烦，就干脆关掉这些模块，或者对所有提示都一律选“允许”，结果还是造成防御漏洞，功亏一篑。还有些人干脆乱选一气，结果，病毒还没拦住，先把系统折腾得半死不活，蓝屏不断，最终只得重装了事。其实，纵观这5年的恶意软件趋势，可以发现以下几点比较明显的趋势：

1. 单纯破坏性病毒减少，盗号类木马呈几何级数增加，恶意行为越来越隐蔽和多样化，往往与系统行为类似

2. “流氓软件”越来越多，并且逐渐公开化，经常和一些知名软件捆绑安装，并且有极其相似的行为

3. 现代恶意软件的入侵越来越依靠人的因素，而较少基于真正的系统漏洞，并推动了“社会工程学”的发展

如果仔细想想，可以发现，目前各大安全厂商的主动防御产品，在对付这些最新威胁的时候，很多时候也力不从心。首先，区分隐藏的恶意行为和系统行为是一件耗时耗力且有风险的活动，因为很容易出现误报，再加上用户不懂电脑，乱按一气，很容易造成系统问题。其次，“流氓软件”往往不是安全厂商关注的重点，漏防较多，于是一些用户又安装了各种“辅杀”“助手”等，给这些软件很高的权限，又无形中增加了系统运行的风险，并容易造成潜在的冲突。再次，再“智能”的主防也有不知所措的时候，这时候人的判断又起了决定性作用，而人正是整个电脑安防系统最薄弱的部分。综上所述，因为“人”的因素，目前的主防系统并不能很好的处理复杂多变的恶意软件发展环境。

那么，能否设计一套系统，将“人”的因素减少到最小，由此降低因人判断失误造成的威胁呢？早在2004年McAfee已经给出了回答，答案就在VirusScan Enterprise 8.0i的访问保护中，人们第一次领悟到，原来通过控制各个文件的访问，可以有效遏制恶意软件的入侵和传播。到了8.5i版，“访问保护”得到大幅度强化，增加了注册表和端口控制，形成了目前HIPS软件的雏形。McAfee规则在中国的发展经历了以下几个阶段，而这又与上面所提到的趋势所对应：

1. 针对当前恶意软件的显著特征制定的单独规则，比如为了防3721而写的阻止创建**\3721\**等，这个阶段规则的数目激增，很臃肿且不好管理，但对于当时防止流行的恶意软件有很好的作用

2. 随着恶意软件不断变种，规则开始关注入口，尤其是浏览器和U盘，以防止“自动运行”功能和浏览器漏洞（IE6）导致的网马下载。**\autorun.inf的规则相当流行（其实现在的很多病毒仍然在用这个古老的手段传播），入口型规则开始流行，例如本版的气流规则

3. 渐渐人们开始认识到，病毒的入侵仍然有一个重要的方式，那就是人的自主点击（安装），对于流氓软件尤其如此，因此规则开始关注系统关键区域防御，比如安全模式，映像劫持等，当时麦粉丝论坛的细水规则比较流行（我的咖啡之路也是从那时开始的）

4. 系统关键区域防御的假设和前提条件是，病毒运行后不会马上摧毁防毒软件，这样规则可以延缓病毒的进一步入侵，给手动杀毒提供帮助，但随着恶意软件破坏水平的提高，很多病毒一运行就结束杀毒软件进程，导致规则失效，防御体系崩溃。于是，“信任区”和“全盘禁运”的概念由此而生，邪版的主要规则也基于此理念而生

5. “信任区”的理念把咖啡规则的威力发挥到极致，但也造成一些问题，最突出的是对于信任区的软件限制不足，而对信任区的封锁非常严密，安装软件需要关闭规则，这样一来又把判断权交给了用户，当然这无可厚非，因为受到各大安全厂商主防产品的影响。但是，也有人意识到了这些问题，在“信任区”的框架下增加对信任区软件的限制，并探索软件安装通道，让安装软件的时候不需要完全关闭访问保护，墨池和叶版的诸多规则便在这一理念中产生。之所以开放安装通道，是因为这时候McAfee企业版开始加强自保，官方推出了禁止结束进程、禁止停止服务以及禁止挂钩咖啡进程这三条关键规则，可以让McAfee在病毒初步运行时依然屹立不倒

那么，接下来呢？

墨池和叶版的规则固然严密，这毫无疑问，不过有时候对于普通用户，会常常遇到咖啡触红，也就是触犯规则。究其原因还是病毒行为与系统行为和常用软件行为类似，无法做出一个一刀切的判断。这时用户又遇到一个判断难题，排除还是不排除？排除，则可能增加风险，不排除（比如动作王QQ），一直触红也不好看，而且也容易将真正关键的触红事件隐藏起来。一时间，似乎找不到一个平衡的方案，大家都在探索，我也不例外。

那么有没有一套规则，仅把最重要的触红信息告诉用户，在其他情况下默认执行阻止呢？这将跳出主流HIPS软件防御的怪圈，尽可能排除人的判断因素，给予普通用户安静的电脑使用环境。但风险也同样很高，它对规则本身的要求非常高，一旦出错，用户会莫名其妙收到错误信息，严重甚至导致系统错误。但没有挑战哪来进步？这就是本套规则的由来。

二、规则特性

1. 极致安静，正常使用极少触红。触红一般发生在以下三种情况：一、安装软件时范围超过规则限定，需要临时关闭规则（没办法，又出现“人”了），二、某些软件静默自动更新，需要考虑是否排除，三、任何新软件加驱，这个仅作为参考，不阻挡

2. 支持一般软件的安装和系统更新。很特殊的软件（比如辅杀、超大型软件和Service Pack）可能需要临时关闭规则，不过这个时候中毒的可能性会非常小。本套规则不支持软件卸载！如果卸载软件请禁用规则

3. CLT测试高分。信任区（AppData、Program Files和Windows目录）内CLT测试300/340分，信任区外无法运行，安装区内270/340分。当然这只能做参考，请勿实机试毒！

4. 简单，最大限度利用默认规则。一条默认规则的保护范围往往包含几条甚至十几条自定义规则，用好默认规则事半功倍

5. 较强的适应性，不需要频繁排除

6. （由5产生的），很暴力很刚猛。可能会造成某些软件出现问题，需要一段时间的适应期，具体后面讲

三、适用环境

人群：普通电脑用户，有一定系统知识，良好的软件管理和使用习惯，不希望太折腾。

系统：Windows 7 x86/x64，其中x64原生支持，x86友情支持（未测试）。完全不支持XP，可能支持Vista，暂不支持Win8。（用XP的朋友就此打住吧，抱歉，因为没有XP系统的机器无法实验，欢迎制作延伸版）

其他要求：系统安装在C盘，软件安装在C盘的Program Files或Program Files (x86)目录里。绿色软件单文件（比如各种注册机）可以放在D:\Green\目录里，不能放在子目录里，安装程序放在D:\Temporary\目录或其子目录下。我比较懒，不会为D盘的Program Files目录添加支持，如果需要请自行改动，文字版规则附在后面，举一反三即可。
本规则可能不适用于拨号上网的环境，目前有反馈称打不开宽带连接，正在调查原因，也请处于拨号上网环境的朋友反馈规则使用情况。

四、操作要点

1. 规则安装
推荐自己根据文字版规则设置和打磨，如果需要导入注册表规则，请看清楚系统版本再导入，导入前请备份现有规则。规则导入后，访问保护会自动禁用，因为在我的规则里，有些目录是不符合用户的使用环境的，需要微调才能开启（所以我才推荐自己慢慢打磨）。需要调整的目录主要有：
C:\Users\[你的用户名]
D:\Green\替换成你希望的绿色软件目录，比如E:\绿色\
D:\Temporary\替换成你希望的安装软件目录，但不推荐，如果非要的话文件夹名请一定带上Temp字样
以上替换包括规则的所有部分，可以将文字版规则拷贝到word里然后集体替换，再一条条加入到McAfee里
具体规则的说明，请参看文字版规则

2. 规则调试
依次运行电脑上已安装的软件，看看是否有触红或者软件报错。如果有触红加报错，则判断是否是自动更新再添加排除。如果无触红软件报错，则需要进行进一步的调试，如有必要可以上论坛来求助。请一定注意本规则仅支持C盘Program Files目录的软件，其他目录软件运行不了很正常。

3. 规则日常操作
在日常安装新软件或者手动更新软件时，请将安装文件放在D:\Temporary\目录内，并禁用《通用标准保护》中的“禁止公用程序从 Temp 文件夹运行文件”这条规则，即把“阻挡”栏的勾去掉，然后开始安装程序。如果安装程序报错，McAfee大多数会触红，而安装程序本身也会显示一些信息，如“无法写入***目录”，此时就需要考虑禁止相应的规则，或者暂时关闭访问保护。规则之后会逐渐酌情添加对于不同种软件安装的支持。注意，请不要轻易自行添加排除。

4. 规则修复
如果这套规则对你的电脑使用造成了严重问题（如系统无响应、蓝屏等），请立刻关闭访问保护，导入原先的规则，不要逞能，也不要上论坛求助而把电脑晾在一边。这套规则会将McAfee的暴力和刚猛发挥到极致，我无法保证能适应所有的软件环境，不过我可以给一个列表，这个列表里的程序目前在该套规则下运行无碍：
浏览器：Chrome, IE
办公：Office (Word Excel PowerPoint)、Adobe Acrobat、LogmeIn
学习：Lingoes
设计：Adobe全套
影音图：Foobar、PotPlayer、Picasa
通讯：QQ、Windows Live Messenger、飞信
开发：Eclipse
安全：Private Firewall (这是目前本套规则唯一原生支持的第三方安全软件)
游戏：FSX
工具：Snagit、Google Earth、7-Zip、Google Drive Sync、VMWare Workstation/Player、迅雷7、AIDA64、MacType、驱动精灵、DiskKeeper
至于其他程序，不用问我了，问了我也不知道，自己试试就行，绝大部分没问题的。这套规则也基本没有排除这些程序。


欢迎访问我的博客：http://www.alexyang.me

大猫熊

文字版规则（默认规则部分）

《防间谍程序标准保护》
规则名称：保护Internet Explorer收藏夹和设置
要包含的进程：*
要排除的进程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Users\Alex\AppData\Local\Google\Chrome\Application\chrome.exe, SYSTEM, C:\Windows\Explorer.EXE, C:\Windows\Installer\MSI*.tmp, C:\Windows\system32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, C:\Program Files\Google\Chrome\Application\chrome.exe
说明：请以绝对路径排除自己所用的浏览器，不添加排除，不勾选报告

《防间谍程序最大保护》
规则名称：禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程：*
要排除的进程：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\regsvr32.exe, C:\Windows\SysWOW64\regsvr32.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\regtlibv*.exe, C:\Windows\Microsoft.NET\Framework\**\regtlibv*.exe
说明：不添加排除，不勾选报告，如果安装程序运行中出错，请检查这条规则是否有触犯，并回帖报告

规则名称：禁止所有程序从 Temp 文件夹运行文件
要包含的进程：*
要排除的进程：C:\Windows\Explorer.exe, C:\Users\Alex\ ppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Program Files\McAfee\Common Framework\McScanCheck.exe, C:\Program Files (x86)\McAfee\Common Framework\McScanCheck.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Program Files (x86)\Thunder Network\Thunder\Program\Thunder.exe, C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\svchost.exe, C:\Program Files (x86)\SogouInput\**\*.exe, C:\Program Files\SogouInput\**\*.exe, C:\Program Files (x86)\Google\Update\**\*.exe, C:\Program Files\Google\Update\**\*.exe, C:\Users\Alex\AppData\Local\Google\Update\**\*.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Program Files (x86)\Google\Drive\googledrivesync.exe, C:\Program Files\Google\Drive\googledrivesync.exe, C:\Windows\SysWOW64\Macromed\Flash\FlashUtil32_*_ActiveX.exe, C:\Windows\System32\Macromed\Flash\FlashUtil32_*_ActiveX.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\MRT.exe
说明：请根据触红日志添加需要日常自动更新的软件

规则名称：禁止从 Temp 文件夹执行脚本
要包含的进程：?script.exe
要排除的进程：无
说明：不勾选报告

《防病毒标准保护》
规则名称：禁止禁用注册表编辑器和任务管理器
要包含的进程：*
要排除的进程：C:\Windows\system32\mmc.exe
说明：不添加排除，不勾选报告

规则名称：禁止更改用户权限策略
要包含的进程：*
要排除的进程：C:\Windows\system32\mmc.exe, C:\Windows\system32\services.exe, C:\Windows\system32\lsass.exe
说明：不添加排除，不勾选报告

规则名称：禁止远程创建/修改可执行文件和配置文件
要包含的进程： firefox.exe, iexplore.exe, opera.exe, QQ.exe, safari.exe, system:remote, theworld.exe, msnmsgr.exe, TM.exe, fetion.exe
要排除的进程：无
说明：请在包含的进程中添加日常联网程序，迅雷和更新程序除外，不勾选报告

规则名称：禁止远程创建自动运行文件
要包含的进程：*
要排除的进程：无
说明：不添加排除，不勾选报告

规则名称：禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程：*
要排除的进程：无
说明：不添加排除，不勾选报告

规则名称：禁止伪装 Windows 进程
要包含的进程：*
要排除的进程：无
说明：不添加排除

规则名称：禁止群发邮件蠕虫发送邮件
要包含的进程：*
要排除的进程：无
说明：此规则禁用

规则名称：禁止 IRC 通信
要包含的进程：*
要排除的进程：无
说明：此规则禁用

规则名称：禁止使用 tftp.exe
要包含的进程：*
要排除的进程：C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Diskeeper Corporation\Diskeeper\DKService.exe, C:\Windows\System32\Defrag.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\SearchIndexer.exe, C:\Windows\System32\SearchFilterHost.exe, C:\Windows\System32\SearchIndexer.exe, C:\Windows\System32\SearchFilterHost.exe
说明：不添加排除，不勾选报告

《防病毒最大保护》
规则名称：禁止 Svchost 执行非 Windows 可执行文件
要包含的进程：svchost.exe
要排除的进程：无
说明：此规则禁用

规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程：C:\Windows\system32\rasphone.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Diskeeper Corporation\Diskeeper\DKService.exe, C:\Windows\System32\Defrag.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\SearchIndexer.exe, C:\Windows\System32\SearchFilterHost.exe
说明：不添加排除，不勾选报告

规则名称：禁止更改所有文件扩展名的注册
要包含的进程：*
要排除的进程：C:\Windows\explorer.exe, C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Program Files (x86)\Microsoft Office\Office14\msohtmed.exe, C:\Program Files\Microsoft Office\Office14\msohtmed.exe
说明：不添加排除，勾选报告，在手动调整文件管理时如果触红，可以暂时禁用此规则

规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程：*
要排除的进程： C:\Users\Alex\AppData\Local\Google\Chrome\Application\chrome.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\SearchIndexer.exe, C:\Windows\System32\SearchFilterHost.exe, C:\Windows\System32\cleanmgr.exe, framepkg.exe, framepkg_upd.exe, naimserv.exe, narepl32.exe, C:\Program Files (x86)\McAfee\Common Framework\**\*.exe, C:\Program Files\McAfee\Common Framework\**\*.exe, C:\Program Files (x86)\Windows Live\Messenger\msnmsgr.exe, C:\Program Files\Windows Live\Messenger\msnmsgr.exe, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, C:\Program Files\Google\Chrome\Application\chrome.exe
说明：添加常用浏览器的绝对路径排除，不勾选报告

《防病毒爆发控制》
规则名称：将所有共享项设为只读
要包含的进程：system:remote
要排除的进程：无
说明：不添加排除，不勾选报告

规则名称：阻止对所有共享资源的读写访问
要包含的进程：system:remote
要排除的进程：无
说明：此规则禁用，请使用防火墙控制黑客行为

《通用标准保护》
规则名称：禁止修改 McAfee 文件和设置
要包含的进程：*
要排除的进程：C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files (x86)\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe, C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe, C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe, C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe, C:\Windows\system32\services.exe
说明：不添加排除，不勾选报告，如果要卸载McAfee，请直接停止访问保护

规则名称：禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程：*
要排除的进程：C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files (x86)\McAfee\Common Framework\McTray.exe, C:\Windows\system32\services.exe
说明：不添加排除，不勾选报告，如果要卸载McAfee，请直接停止访问保护

规则名称：禁止修改 McAfee 扫描引擎文件和设置
要包含的进程：*
要排除的进程：C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files (x86)\McAfee\Common Framework\McTray.exe
说明：不添加排除，不勾选报告，如果要卸载McAfee，请直接停止访问保护

规则名称：保护 Mozilla 及 FireFox 文件和设置
要包含的进程：*
要排除的进程：C:\Program Files\Mozilla\Firefox\**\*.exe, C:\Program Files (x86)\Mozilla\Firefox\**\*.exe
说明：本人未使用FireFox，故此规则禁用。请使用此浏览器的人启用此规则并自行添加排除

规则名称：保护 Internet Explorer 设置（不添加排除） 不勾报告
要包含的进程：*
要排除的进程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe
说明：不添加排除，不勾报告

规则名称：禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程：*
要排除的进程：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\RegSvr32.exe
说明：不添加排除，如果安装程序出错，请检查此规则是否触犯，并反馈到论坛
规则名称：保护网络设置
要包含的进程：*
要排除的进程： C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\system32\svchost.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\DllHost.exe
说明：不添加排除，不勾选报告。如果安装网络相关的大型软件，可能出现报错，这时需勾选报告进行调试

规则名称：禁止公用程序从 Temp 文件夹运行文件
要包含的进程：explorer.exe, 7z.exe, 7zG.exe, WinRAR.exe
要排除的进程：无
说明：不添加排除，不勾选报告。此规则为开关规则，平时开启，当安装新软件时，需关闭此规则

规则名称：在 Internet Explorer 中禁用 HCP URL
要包含的进程： chrome.exe, firefox.exe, iexplore.exe, opera.exe, QQ.exe, safari.exe, theworld.exe, wmplayer.exe, thunde*.exe, msnmsgr.exe, tm.exe, excel.exe, explorer.exe
要排除的进程：无
说明：请包含所有内置浏览器功能的软件，不添加排除，不勾选报告

规则名称：Prevent hooking of McAfee processes（不排除）
要包含的进程：*
要排除的进程：无
说明：不添加排除，不勾选报告

规则名称：防止终止 McAfee 进程（不排除）不勾报告
要包含的进程：*
要排除的进程：无
说明：不添加排除，不勾选报告

《通用最大保护》
规则名称：禁止将程序注册为自动运行
要包含的进程：*
要排除的进程：无
说明：在初次装机期间请禁用此规则，日常使用后开启规则，不添加排除，不勾选报告

规则名称：禁止将程序注册为服务
要包含的进程：*
要排除的进程：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\System32\services.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\svchost.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\SearchIndexer.exe
说明：不添加排除，不勾选报告，如果系统遇到问题请反馈

规则名称：禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\system32\DllHost.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Program Files (x86)\Google\Update\**\*.exe, C:\Program Files\Google\Update\**\*.exe, C:\Program Files (x86)\Google\Drive\googledrivesync.exe, C:\Program Files\Google\Drive\googledrivesync.exe, C:\Windows\system32\MRT.exe, C:\Windows\system32\taskhost.exe, C:\Windows\System32\poqexec.exe
说明：不随意添加排除，如果软件运行遇到问题且触犯此规则，酌情添加排除

规则名称：禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程：*
要排除的进程：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\javaw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Program Files (x86)\Google\Update\GoogleUpdate.exe, C:\Program Files (x86)\SogouInput\**\pinyinup.exe, C:\Program Files\SogouInput\**\pinyinup.exe, C:\Windows\System32\poqexec.exe, C:\Windows\Installer\MSI*.tmp, C:\Program Files (x86)\Microsoft Silverlight\**\coregen.exe, C:\Program Files\Microsoft Silverlight\**\coregen.exe
说明：不添加排除，如果安装程序出错，请检查是否触犯此规则并反馈

规则名称：禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程：*
要排除的进程：无
说明：不添加排除，不勾选报告

规则名称：禁止 FTP 通信
要包含的进程：*
要排除的进程：无
说明：此规则禁用

规则名称：禁止 HTTP 通信【禁用】
要包含的进程：*
要排除的进程：无
说明：此规则禁用

《虚拟机保护》 – 未启用

欢迎访问我的博客：http://www.alexyang.me

大猫熊

文字版规则（自定义规则部分）

规则名称：F-01 禁止非授权进入待安装目录1
包含：*
排除：C:\Windows\Explorer.exe, C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Program Files\McAfee\Common Framework\McScanCheck.exe, C:\Program Files (x86)\McAfee\Common Framework\McScanCheck.exe C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Program Files (x86)\Thunder Network\Thunder\Program\Thunder.exe, C:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\svchost.exe, C:\Program Files (x86)\SogouInput\**\*.exe, C:\Program Files\SogouInput\**\*.exe, C:\Program Files (x86)\Google\Update\**\*.exe, C:\Program Files\Google\Update\**\*.exe, C:\Users\Alex\AppData\Local\Google\Update\**\*.exe, C:\Program Files\WinRAR\winrar.exe, C:\Program Files (X86)\WinRAR\winrar.exe, C:\Program Files\7-zip\7*.exe, C:\Users\Alex\AppData\Local\Google\Chrome\Application\Chrome.exe, C:\Windows\system32\DllHost.exe, C:\program files (x86)\common files\thunder network\tp\**\thunderplatform.exe, C:\program files\common files\thunder network\tp\**\thunderplatform.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\cleanmgr.exe, C:\Program Files (x86)\Common Files\Adobe\OOBE\PDApp\UWA\Adobe Application Manager (Updater).exe, C:\Program Files\Common Files\Adobe\OOBE\PDApp\UWA\Adobe Application Manager (Updater).exe, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe, C:\Program Files (x86)\Google\Chrome\Application\chrome.exe
路径： **\Tem*\**\*.exe
行为：创建、写入
说明：根据触红情况，如果是正常软件升级则进行排除，其他情况不添加排除

规则名称：F-02 禁止未授权进入待安装目录2
包含：*
排除：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\svchost.exe, C:\Windows\servicing\TrustedInstaller.exe
路径：**\install.exe
行为：创建、写入
说明：不添加排除，如果安装软件失败，请反馈

规则名称：F-03 禁止未授权进入待安装目录3
包含：*
排除：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\svchost.exe, setu*.exe, install.exe, C:\Program Files (x86)\Google\Update\**\*.exe, C:\Program Files\Google\Update\**\*.exe, C:\Users\Alex\AppData\Local\Google\Update\**\*.exe, C:\Windows\servicing\TrustedInstaller.exe
路径：**\ setu*.exe
行为：创建、写入
说明：不添加排除，如果安装软件失败，请反馈

规则名称：F-04禁止非信任程序运行
包含：*
排除：C:\Windows\**\*.exe, SYSTEM, C:\Program Files\**\*.exe, C:\Program Files (x86)\**\*.exe, C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Users\Alex\AppData\**\*.exe, D:\Green\*.exe, SYSTEM, C:\Windows\Installer\MSI*.tmp, mrtstub.exe, C:\Windows\**\*.scr
路径：**\*\**
行为：全部
说明：不添加排除，不勾选报告

规则名称：F-05 监视全盘驱动写入  
包含：*
排除：C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\System32\svchost.exe
路径：**\*.sys
操作：创建、修改
说明：不添加排除，不勾选阻止，此为监视规则

规则名称：F-06 阻止绿色软件加驱
包含：D:\Green\**\*.exe
排除：无
路径：**\*.sys
操作：所有
说明：不添加排除，不勾选报告

规则名称：F-07 禁止未授权启动IE
包含：*
排除：C:\Program Files\Internet Explorer\*.exe, C:\Program Files (x86)\Internet Explorer\*.exe, C:\Windows\Explorer.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\Windows\system32\msfeedssync.exe, C:\Windows\System32\svchost.exe, C:\Program Files\Windows Media Player\wmpnetwk.exe
路径：C:\Program File*\Internet Explorer\**
操作：执行
说明：不添加排除，不勾选报告

规则名称：F-08防止未授权程序调用Rundll32.exe
包含：*
排除：C:\Program Files (x86)\McAfee\SiteAdvisor\mcsacore.exe, C:\Windows\**
路径：**\rundll32.exe
操作：读取、执行
说明：勾选排除和报告，如果发现触红，在确认进程安全的情况下排除

规则名称：R-01 保护安全模式
包含：*
排除：无
路径：HKEY_LOCAL_MACHINE\SYSTEM\*ontrolSe*\Control\SafeBoot\**
操作：所有、项
说明：不添加排除，不勾选报告

规则名称：R-02 免疫U盘病毒
包含：*
排除：无
路径：HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2\**
操作：所有、项
说明：不添加排除，不勾选报告

规则名称：R-03 防止映像劫持
包含：*
排除：C:\Windows\system32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe
路径：HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Image File Execution Options\**
操作：所有、项
说明：不添加排除，不勾选报告

规则名称：R-04禁止非信任程序运行
包含：*
排除：C:\Windows\**\*.exe, SYSTEM, C:\Program Files\**\*.exe, C:\Program Files (x86)\**\*.exe, C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, Install.exe, setu*.exe, C:\Users\Alex\AppData\**\*.exe, SYSTEM, C:\Windows\Installer\MSI*.tmp, mrtstub.exe
路径：HKALL\**
操作：所有、项
说明：不添加排除，不勾选报告

规则名称：R-05 保护服务项（加强）
包含：*
排除：C:\Users\Alex\AppData\Local\Temp\**\*.*, C:\Windows\TEMP\**\*.*, D:\Temporary\**\*.exe, C:\Windows\System32\msiexec.exe, C:\Windows\SysWOW64\msiexec.exe, C:\Windows\SoftwareDistribution\**\*.exe, SYSTEM, C:\Windows\System32\wusa.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\svchost.exe, setu*.exe, install.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\system32\services.exe
路径：HKLM /system/*ontrolSet*/services/*/Parameters/ServiceDll
操作：创建/写入、值
说明：不添加排除，不勾选报告

规则名称：R-06 保护Userinit
包含：*
排除：无
路径：HKLM/SOFTWARE/**/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
操作：所有、值
说明：不添加排除，不勾选报告，此规则防御利用Userinit键值来插入未授权程序，实现自启动

规则名称：R-07 保护Startup Programs（加强）
包含：*
排除：无
路径：HKLM/SYSTEM/*ontrolSe*/Control/Terminal Server/**
操作：所有、项
说明：不添加排除，不勾选报告

规则名称：P-01防止未知程序联网
包含：*.*
排除：AAM Updates Notifier.exe, Acrobat.exe, AdobeARM.exe, AliIM.exe, AlipaySafeTran.exe, AliUpdater.exe, BaiduPinyin.exe, bdupdate.exe, chrome.exe, cpuz.exe, DeviceDisplayObjectProvider.exe, dropbox.exe, evernote.exe, firefox.exe, FlashPlayerUpdateService.exe, foobar2000.exe, goagent.exe, googleearth.exe, googletalk.exe, googleupdate.exe, gup.exe, iexplore.exe, imeconfig.exe, itunes.exe, kwsing.exe, KwTE.exe, lingoes.exe, lingoes64.exe, mcsacore.exe, mcscript*, mcshield.exe, mctray.exe, mDNSResponder.exe, msfeedssync.exe, NetClient.exe, OSE.EXE, PDapp.exe, PicasaUpdater.exe, PotPlayerMini.exe, python27.exe, qq.exe, QQExternal.exe, QQProtect.exe, QQProtectUpd.exe, rundll32.exe, saUpd.exe, scan64.exe, SGDownload.exe, SGTool.exe, SoftwareUpdate.exe, SogouCloud.exe, SogouComMgr.exe, sohunews.exe, svchost.exe, thunder.exe, ThunderLiveUD.exe, thunderplatform.exe, txupd.exe, upnp.exe, userNetSchedule.exe, wermgr.exe, WINWORD.EXE, wmpnetwk.exe, XBrowser.exe, XLDoctorUI.exe, XmpTipWnd*.exe, spoolsv.exe
端口：0~65535
方向：出站
说明：本规则默认禁用。如要开启，请勾选报告。本规则防止未知进程联网。可以添加已知进程排除

规则名称：P-02阻止非信任程序联网
包含：cpuz.exe, PotPlayerMini.exe, sohunews.exe, XmpTipWnd*.exe
排除：无
端口：0~65535
方向：出站
说明：本规则默认禁用。如要开启，请不要勾选报告。本规则阻止非信任程序联网，同P-01一起作用


欢迎访问我的博客：http://www.alexyang.me

大猫熊

规则文件下载

声明：下载此规则文件，代表你已经看过并明白规则发布说明，并愿意承担使用此规则所带来的一切风险和后果。

为了防止一些咖啡新手盲目下载并导入规则，我故意设置了一些门槛。这里提供两种下载方式：

一、下载本帖的附件，要求的阅读权限是10，也就是卡饭_见习会员这一级别。也就是说，只有通过卡饭论坛的会员转正过程，才能够下载本帖附件。至于如何通过会员转正，据我所知，需要版主加分三次然后申请，或者积分达到500分，简而言之，需要能够证明你的电脑知识足够应付这个暴力刚猛的规则。

二、如果没有达到上述的会员级别，可以在我的Dropbox里下载规则，并可以下载规则的文字版（DOCX格式）。通过这种方法下载，需要有飞檐走壁的技巧，同样也可以证明你的电脑知识足够应付。


方法一


方法二
http://goo.gl/4ZWQe


欢迎访问我的博客：http://www.alexyang.me

大猫熊

更新日志

先介绍一下这套规则的版本命名方法。

版本号包含四部分，举例：

0.6.0509.2

第一个数字0代表大版本号，大版本号很少更新，如果变更说明规则的结构发生重大改变，需要重新导入规则，0代表测试阶段，只有大版本号为1时，这套规则才适用于大众（我才会考虑将附件的阅读限制取消）
第二个数字6代表小版本号，小版本号更新不频繁，如果变更说明本套规则添加或减少了规则，或者结构发生了一些调整，需要进行一些手动修改，不一定需要完全重新导入
第三个部分0509代表具体版本号，以规则产生日期为依据，比如0509代表5月9日的规则，小版本号可能频繁变更，如果变更说明至少进行了某一个或几个规则的调整，包括排除、包含等操作，如果只有这部分版本号变更，则不需要完全重新导入
第四个部分2代表第二版，只有当一天内频繁更新时，才会出现，以区分不同的版本。当第三个部分数字足以区分版本时，第四部分一般为0。



0.6.0509.0        首次发布BETA版
0.6.0509.2        小幅更新，修正关于Windows Update和Task Schedule的兼容性问题，“禁止在 Windows 文件夹中创建新的可执行文件”添加“C:\Windows\system32\taskhost.exe, C:\Windows\System32\poqexec.exe”两个排除，“禁止所有程序从 Temp 文件夹运行文件”添加“C:\Windows\system32\rundll32.exe, C:\Windows\system32\MRT.exe”两个排除
0.6.0510.0        小幅更新，支持Windows自带屏保，移除一个默认规则的过多提示。“禁止安装新的 CLSID、APPID 和 TYPELIB”去掉勾选报告，“F-04禁止非信任程序运行”添加“C:\Windows\**\*.scr”排除，这样做并不会降低安全性，因为默认规则禁止了向Windows目录写入可执行文件，其中包括scr文件
0.7.0519.0        添加新规则“R-08 保护EMET设置”，让McAfee保护微软漏洞防御工具EMET的设置，防止软件修改EMET设置进行0DAY漏洞攻击
0.7.0526.0        小幅更新，支持已安装软件进行shell integration，支持添加新的网络（待测试），“R-06 保护Userinit”添加“C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\svchost.exe”排除。“禁止安装 Browser Helper Objects 和 Shell Extensions”添加“C:\Windows\system32\RegSvr32.exe”排除
0.7.0604.0        小幅更新，修正手动无法修改网络设置的bug，“保护网络设置”添加“C:\Windows\system32\DllHost.exe”排除项。
0.8.0518.0        重大更新，将C:\Users\[用户名]\用%USERPROFILE%代替，增加通用性，之后不需要更改这一处位置。添加Google Chrome的排除项，适应Google Chrome更换安装目录。删除原有的R-08规则（EMET）。添加P-01, P-02, F-08和新的R-08规则，其中P-01和P-02默认禁用，开启可能会产生一些触红
0.8.0518.1        紧急更新，还原为C:\Users\用户名的方式，因为规则不支持%USERPROFILE%识别，导致很多规则运行异常
0.8.0519.0        小幅更新，添加spoolsv.exe到P-01规则，支持网络共享打印机。放宽R-06的限制，避免可能出现的应用程序问题
0.8.0520.0        小幅更新，修正R-06规则中的对象问题


欢迎访问我的博客：http://www.alexyang.me

大猫熊

规则答疑

占楼备用

大猫熊

结语

世界上没有完美的规则，就像没有完美的人，我不指望这个规则能适用于所有环境，也不指望它能防住所有恶意软件。没有绝对的安全，更没有绝对的安逸，就像这个世界，有了种种矛盾冲突，才能发展，才会精彩。安全源于习惯，只有提高自身的电脑知识，才能从根本上遏制恶意软件的肆虐。安全源于信赖，只有放权给值得信赖的安全软件，才能让它保驾护航。做到这些，实际上有没有规则都无所谓了。

来到卡饭快5年了，这5年，我成长了很多，由一个什么都不懂的电脑菜鸟，成为一个热爱IT的老鸟。通过卡饭，我走进了电脑安全的瑰丽殿堂，培养了对电脑知识的浓厚兴趣，也最终明确了我的人生发展方向。一路走来，我感受到卡饭浓浓的讨论氛围和大家互助分享的热情，这在其他任何我所见过的论坛都是前所未有的。我要感谢所有支持我的朋友们，没有你们，我走不到今天。

不过，天有不测风云，也许我在卡饭的路，只能走到这里，告一段落了。首先，我即将开始的工作，可能会和McAfee有利益冲突（Conflict of Interest），虽然管理版区是个人行为，但我也不愿太冒风险。至于具体是什么工作，不用问我，我也不便透露。其次，作为刚入职场的新人，我只有加倍努力才能力争上游，所以来论坛的时间会急剧减少，自然无法担任管理工作。基于以上两点考虑，我将在5月底至6月初向卡饭管理层提出辞呈。如果有热心的朋友愿意接替我的工作，和叶版一同管理版区，可以准备去申请区提交申请，如果符合条件，我很愿意推荐，提高选中几率。辞职之后，我也会抽空来论坛看看，也维护一下我的规则和问答帖，如果实在太忙无法顾及，还请各位见谅。

叶知，你的管理很出色，过一阵子版区就靠你了，我还会回来的，只怕不能共事了，抱歉。

就写到这里罢。


欢迎访问我的博客：http://www.alexyang.me

oldgun123

额    悲催了,等了半天居然没有XP版本
坐等下文

sdtzsf

强烈支持熊猫版主，在此谢过！！！！！！！！下载试用。！！！！！！！！！！！！！！！！！！！！