McAfee8.5i 的一些教程和设置

显示全部楼层 · 发表于 2013-3-3 00:25:40

先说一下咯，我是比较外行的。
首先说一下FD：全称FileDefend，文件保护，个人认为是3D中最重要的一环，防止不明文件的新建，和现有系统文件不被非法修改。

AD：全称AppDefend，应用程序保护，旨在通过对每个程序运行时动作的监控，来判断是否有害。

RD：全称RegDefend，注册表保护，保护注册表相关键值不被不明程序修改。

HIPS：全称Host based Intrusion Prevention System，一般是3D的合称，3D=FD+AD+RD

FW：全称Firewall，防火墙。

NPAP:全称Network Port Access Protection，网络端口访问保护，受保护的端口只有指定的程序才能访问，屏蔽危险端口。
这个是用变量表：
ALLUSERSPROFILE=**\Documents and Settings\All Users

APPDATA=**\Documents and Settings\**\Application Data

CommonProgramFiles=**\Program Files\Common Files

ComSpec=**\WINDOWS\system32\cmd.exe

DEFLOGDIR=**\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

HOMEDRIVE=系统区

HOMEPATH=\Documents and Settings\当前用户名

ProgramFiles=**\Program Files

SystemDrive=系统区

SystemRoot=**\WINDOWS

TEMP=**\Documents and Settings\**\Local Settings\Temp

TMP==**\Documents and Settings\**\Local Settings\Temp

USERNAME=当前用户名

USERPROFILE=**\Documents and Settings\当前用户名

VSEDEFLOGDIR=**\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection

windir=**\WINDOWS

防病毒保护有许多规则，逐一讲讲，我比较喜欢防病毒标准保护！！所以就只讲标准保护
防病毒标准保护规则说明：1.通过保护注册表相关键值来防止注册表编辑器和任务管理器不被禁用。
监视所有程序
排除进程：rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
注册表值（创建，写入，删除）：
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr
2.禁止更改用户权限策略
规则说明：通过保护注册表相关键值来防止注册表编辑器和任务管理器不被禁用。

监视所有程序
排除进程：rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
注册表值（创建，写入，删除）：
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr

3.禁止更改用户权限策略
规则说明：默认情况下，XP里有以下几个用户组：
1.Administrators
2.Backup Operators
3.Guests
4.Network Configuration Operators
5.Power Users
6.Remote Desktop Users
7.Replicator
8.Users
9.HelpServicesGroup
该规则通过保护注册表相关键值来防止低权限用户提升为Administrators。

监视所有进程
排除进程：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，amgrsrvc.exe，mmc.exe
注册表项（创建，写入，删除）：
HKCCS/Control/LSA/**
HKCCS/Services/lanmanserver/parameters/**
注意：如果此处出现了“???setup.exe, ??setup.exe, ?setup.exe,”等文件，建议替换为：*setup*.exe，*setup.exe，setup.exe

4.禁止远程创建/修改可执行文件和配置文件
规则说明：通过文件保护来防止远程建立执行文件和配制文件。

监视所有远程程序：system:remote
对象文件（创建，写入，删除）:**.exe **.scr **.ocx **.dll **.pif
文件路径:windows目录以及所有子目录下文件，%systemdrive%\*.ini
排除进程:所有framepkg.exe文件

5.禁止远程创建自动运行文件
规则说明：禁止远程建立autorun.inf文件。

所有远程进程：system:remote
对象文件（创建）: autorun.inf

6.禁止拦截 .EXE 和其他可执行文件扩展名
规则说明：禁止修改EXE等可执行文件关联。

监视所有程序
排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
注册表值（写入，删除）:
HKULM/Software/Classes/.exe/**
HKULM/Software/Classes/exefile/**
HKULM/Software/Classes/.com/**
HKULM/Software/Classes/comfile/**
HKULM/Software/Classes/.bat/**
HKULM/Software/Classes/batfile/**
HKULM/Software/Classes/.cmd/**
HKULM/Software/Classes/cmdfile/**

7.禁止伪装 Windows 进程
规则说明：防止非系统进程与系统进程同名。

监视所有程序
文件路径（创建，读取，执行，写入）：所有svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe
排除文件：windows目录及其所有子目录下的svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe

特有规则，无法得到等价FD！经测试，在WIN根下可以新建svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe文件，此规则只封锁WIN文件夹以外的硬盘区域，存在缺陷。（如落雪，就是在WIN根下的SMSS.EXE）

8.禁止群发邮件蠕虫发送邮件
规则说明：禁止不明进程通过特定的端口向外发送数据。

监视所有进程
排除进程：默认邮件客户端，默认浏览器，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe，neo20.exe，nlnotes.exe，outlook.exe，pine.exe，poco.exe，thebat.exe，thunderbird.exe，winpm-32.exe，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，ntaskldr.exe，nsmtp.exe，nrouter.exe，agent.exe，ebs.exe，firesvc.exe，modulewrapper*，msksrvr.exe，mskdetct.exe，mailscan.exe，rpcserv.exe
端口（向外）：25，587

9.禁止 IRC 通信

规则说明：禁止所有进程通过特定的端口发送、接收数据。

监视所有进程
端口（向内,向外）：6666-6669

10.禁止使用 tftp.exe
规则说明：禁止任意程序运行tftp.exe

监视所有进程
排除进程：wuauclt.exe
文件路径（读取,执行）：所有的tftp.exe
防病毒标准保护部分至此结束！
就这样子吧

显示全部楼层 · 发表于 2013-3-3 11:13:35

支持！感谢分享！其实使用麦咖啡VSE，主要还是看中其FD部分，AD部分感觉太粗糙，不像一些专业hips那样细致。

显示全部楼层 · 发表于 2013-3-3 12:10:28

马云波波波发表于 2013-3-3 11:13
支持！感谢分享！其实使用麦咖啡VSE，主要还是看中其FD部分，AD部分感觉太粗糙，不像一些专业hips那样细 ...

谢谢你的评价啦！！！

显示全部楼层 · 发表于 2013-3-3 17:02:27

多谢分享，希望继续补全，能够把默认规则中的保护对象全部罗列一下就更好了，一直就想知道默认规则如何能用自定义规则表示出来。

显示全部楼层 · 发表于 2013-3-3 20:57:32

感谢楼主分享，学习中

显示全部楼层 · 发表于 2013-3-8 10:38:38

shiyuelaohu 发表于 2013-3-3 17:02
多谢分享，希望继续补全，能够把默认规则中的保护对象全部罗列一下就更好了，一直就想知道默认规则如何能用 ...

好的，我会继续分享的，我星期六没上课的时候就会分享！

显示全部楼层 · 发表于 2013-3-9 23:38:23

8.5应该已经eol了，怎么还贴他的基本规则？去研究8.8比较好

显示全部楼层 · 发表于 2013-3-10 13:45:57

agiha 发表于 2013-3-9 23:38
8.5应该已经eol了，怎么还贴他的基本规则？去研究8.8比较好

嗯，我会研究研究的。

显示全部楼层 · 发表于 2013-3-12 09:35:26

好东西，学习先

显示全部楼层 · 发表于 2013-3-22 21:47:22

支持！感谢分享！

[技术原创] McAfee8.5i 的一些教程和设置