VSE P3在Win8下的几点实践

墨池

环境：Win8企业版64位。
1、使用安装包中的SetupVSE_Win8.Exe安装才是P3，用SetupVSE.Exe安装的是P2，需要再用P3补丁安装一下。
2、与毛豆的兼容性好了一些，不用再禁用“Prevent hooking of McAfee processes”规则，但不知是否是BUG。
3、端口规则继续不支持System进程排除，“要包含的进程”只能继续用“*.*”。
4、如果用“?:\Program Files*\”偶尔会出现排除无效的情况，所以用“*\Program Files*\”最保险。
5、“禁止所有程序从 Temp 文件夹运行文件”和“禁止公用程序从 Temp 文件夹运行文件”两条规则的日志出现“C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE”，“IEXPLORE.EXE”全部大写属于显示错误，应该是“iexplore.exe”。而且这两条规则偶尔会出现排除无效现象。日志如下：

2013/1/13        9:46:55        已由访问保护规则禁止         MochoSony\MOchi        C:\Program Files (x86)\Internet Explorer\IEXPLORE.EXE        C:\Users\MOchi\AppData\Local\Microsoft\Windows\Temporary Internet Files\counters.dat        通用标准保护:禁止公用程序从 Temp 文件夹运行文件        已阻止的操作: 执行

6、出现以下BUG：

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------
默认没有排除svchost.exe，但Win8开机、关机和打开IE连接网站都会出现多条以上日志。而P2在Win7中不存在这种现象。

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------
“防止终止 McAfee 进程”尽然管到毛豆进程头上，有点可笑。反过来看也是好事，帮毛豆防御一下。

7、以下规则必须排除\SystemRoot\System32\**.exe, \SystemRoot\SysWOW64\**.exe，否则无法关机。这在*.7i及以前版本是需要排除的，8.8在任何Windows系统下没有再出现过。不知是否是规则语法上有所调整，还是BUG。咖啡的注册表规则跟天书一样，从没有看懂过，具体无从得知。

规则名称：401 保护系统进程
要包含的进程：*
要排除的进程*\Program Files*\CCleaner\CCleaner.exe, *\Program Files*\CCleaner\CCleaner64.exe, *\Program Files*\Common Files\McAfee\**.exe, *\Program Files*\COMODO\COMODO Internet Security\cfp.exe, *\Program Files*\COMODO\COMODO Internet Security\cmdagent.exe, *\Program Files*\Intel\Intel(R) Rapid Storage Technology\IAStorDataMgrSvc.exe, *\Program Files*\McAfee\**.exe, *\Program Files*\Microsoft Office\Office??\*.exe, *\Program Files*\Mozilla Firefox\plugin-container.exe, *\SystemRoot\System32\**.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files*\Sony\VAIO Care\VCPerfService.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Defender\mpcmdrun.exe, C:\Windows\**.exe, \SystemRoot\System32\**.exe, \SystemRoot\SysWOW64\**.exe
要阻止的文件或文件夹名：**\Windows\**.exe
要禁止的文件操作：读 执行

8、虽然有些问题，但使用了几天，没有出现蓝屏、系统无法启动等不良情况。坛子里有人无法开机，描述不具体，原因不得而知。

看来P3下架可能真有BUG需要修补，而且问题应该比较严重，具体只有官方知道。
本人不打算卸载，因为规则已经设置调试完毕，等正式出来测试后再放出来共享。
时间短，没有经历做大的折腾，错误之处请大家指正！

马云波波波

      前排支持！感谢分享！
      另，在我这里安装P3后，在没有设置任何规则的情况下，出现过一次蓝屏，而且麦咖啡图标有时会突然从任务栏消失。看来P3的确存在一些BUG。

墨池

马云波波波 发表于 2013-1-13 21:08
前排支持！感谢分享！
      另，在我这里安装P3后，在没有设置任何规则的情况下，出现过一次蓝屏， ...

想起来了，麦咖啡图标在我设置规则中也消失过，以为是规则的原因呢，原来默认也有这种现象。

kis20xx

再次放出时，就转mcafee了，期待墨大的规则

小仙仙

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------
默认没有排除svchost.exe，但Win8开机、关机和打开IE连接网站都会出现多条以上日志。而P2在Win7中不存在这种现象。

2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
--------------------------------------------------------------------------


这个当初在我的WIN7上也出现过，大概在去年11月份吧，咖啡和毛豆的墙

墨池

小仙仙 发表于 2013-1-13 23:04
2013/1/13        9:44:05        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\s ...

Win7下我没遇见过。看来与环境有关？抑或是Svchost.exe被注入利用了？
看来得换个纯净系统试试。

jxfaiu

墨池 发表于 2013-1-13 23:40
Win7下我没遇见过。看来与环境有关？抑或是Svchost.exe被注入利用了？
看来得换个纯净系统试试。

官方原版系统吧。

qpzmggg999

墨池 发表于 2013-1-13 23:40
Win7下我没遇见过。看来与环境有关？抑或是Svchost.exe被注入利用了？
看来得换个纯净系统试试。

VSE从p2开始 在windows8上 只要开启禁止McAfee进程被禁止就总是报告 svchost.exe 企图结束McAfee进程 然后被规则禁止 然而关闭规则之后 等了一个小时 McAfee服务进程依然安然无恙  我倒是觉得官方写规则时候有问题  

qpzmggg999

为8楼提供论据：
规则日志如下
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Windows\system32\mfevtps.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\naPrdMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\McTray.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\VsTskMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Windows\system32\mfevtps.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\VirusScan Enterprise\mfeann.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\naPrdMgr.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
2013/1/10        0:17:01        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Windows\system32\svchost.exe        C:\Program Files (x86)\McAfee\Common Framework\McTray.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止

然后关闭咖啡规则 1个小时 咖啡进程依然没事  下载病毒依然干掉！

lhx1984

咖啡图标在我设置规则中也消失过，以为是规则的原因呢，原来默认也有这种现象。