查看: 63531|回复: 43
收起左侧

[讨论] (更新墨池见解、规则整理)McAfee企业版修改三条默认规则的含义与价值

  [复制链接]
墨池
发表于 2013-5-8 11:18:35 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2013-8-9 13:04 编辑

  个人时间、经历有限,不能分享规则供大家参考,但小折腾并没有停止。现提出这个问题供大家讨论,以加深对咖啡规则的理解,提高规则设置与应用水平。三条规则改动如下:

规则名称:阻止对所有共享资源的读写访问
要包含的进程:system:remote
要排除的进程:无
----------------------------------------------------------------
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:排除信任区

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
-----------------------------------------------------------------------
规则名称:将所有共享项设为只读
要包含的进程:*
要排除的进程:绝对路径排除

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:system:remote
要排除的进程:无
--------------------------------------------------------------------------
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:绝对路径排除

讨论:
  这样修改后,每条规则会起什么作用,意义和价值如何,可以省掉哪些或哪类规则,在此基础上需要补充哪些规则可以组成完整的防御体系,等等。

  有兴趣的朋友可以参与回帖讨论,说说您的理解与看法,以及分享您实机系统(包括32位、64位XP、Win7、Win8等)下的排除列表,这样是不是可以大家合力做一个通用规则,我可以抽时间做整理工作。

  二楼:墨池见解
  三楼:规则整理

  本人会定期拜读回帖,并适时整理,谢谢大家支持!
  先闪。。。。

评分

参与人数 2魅力 +1 人气 +2 收起 理由
心跳回忆 + 1 + 1 版区有你更精彩: )
小仙仙 + 1

查看全部评分

墨池
 楼主| 发表于 2013-5-8 11:18:51 | 显示全部楼层
本帖最后由 墨池 于 2013-8-9 15:12 编辑

墨池见解

规则名称:阻止对所有共享资源的读写访问
要包含的进程:system:remote
要排除的进程:无
----------------------------------------------------------------
规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:排除信任区
------------------------------------------------------------------------------------
全局禁运规则,信任区以外的程序无法运行,这就把绝大部分病毒窝藏地点封死了,可以省去一大堆入口、U盘规则。

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
-----------------------------------------------------------------------
规则名称:将所有共享项设为只读
要包含的进程:*
要排除的进程:绝对路径排除
--------------------------------------------------------------------------------------
全局降权规则,没有排除的进程没有任何创建、修改、删除文件的能力,包括TXT文件。

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:system:remote
要排除的进程:无
--------------------------------------------------------------------------
规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:绝对路径排除
-----------------------------------------------------------------------------------------------
全局可执行文件和配置文件降权规则。没有排除的进程没有任何创建、修改、删除文件的执行文件和配置文件能力,包括LOG文件。

    如此一来,再启用两条默认规则“禁止在 Windows 文件夹中创建新的可执行文件”、“禁止在 Program Files 文件夹中创建新的可执行文件”,加上“禁止公用程序创建exe文件”和“封锁所有端口”两条规则,从防病毒的角度看,已经足够强大了。
墨池
 楼主| 发表于 2013-5-8 11:19:11 | 显示全部楼层
本帖最后由 墨池 于 2013-8-9 15:15 编辑

规则整理

规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:排除信任区或绝对路径排除(如果安装软件较少)
------------------------------------------------------------------------------------
全局禁运规则,信任区以外的程序无法运行,这就把绝大部分病毒窝藏地点封死了,可以省去一大堆入口、U盘规则。排除安装文件不影响程序安装。

规则名称:将所有共享项设为只读
要包含的进程:*
要排除的进程:绝对路径排除(软件进程可以用文件夹排除,如C:\Program Files (x86)\McAfee\**。)
--------------------------------------------------------------------------------------
全局降权规则,没有排除的进程没有任何创建、修改、删除文件的能力,包括TXT文件。排除安装文件不影响程序安装。

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:绝对路径排除
-----------------------------------------------------------------------------------------------
全局可执行文件和配置文件降权规则。没有排除的进程没有任何创建、修改、删除文件的执行文件和配置文件能力,包括LOG文件。排除安装文件不影响程序安装。

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:绝对路径排除
-----------------------------------------------------------------------------------------------
排除安装文件不影响程序安装。

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:绝对路径排除
-----------------------------------------------------------------------------------------------
排除安装文件不影响程序安装。

规则名称:禁止公用程序创建/修改可执行文件_exe
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, QQ.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, TM.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:绝对路径排除
要阻止的文件:*.exe
-----------------------------------------------------------------------------------------------
下载exe文件时临时关闭。

规则名称:封锁所有端口
要包含的进程:*.*
要排除的进程:文件名排除
要阻止的文件:*.exe
-----------------------------------------------------------------------------------------------
防止木马联网。

    咖啡防病毒,其实就这么简单。其它规则基本上是华丽的摆设。
Respect
发表于 2013-5-8 12:54:13 | 显示全部楼层
过来支持一个…占位围观、拜读
jxfaiu
发表于 2013-5-8 13:58:14 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-5-9 09:23 编辑

墨大面前,班门弄斧:
XP正版32位系统:

规则名称:阻止对所有共享资源的读写访问
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\csrss.exe, *\C:\WINDOWS\system32\winlogon.exe,C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeePro5.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeeProInTouch2.exe, C:\Program Files\ACD Systems\ACDSee Pro\5.0\ACDSeeQVPro5.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat Elements\Acrobat Elements.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\Acrobat.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\AcroDist.exe, c:\program files\adobe\acrobat 11.0\acrobat\acrord32.exe, C:\Program Files\Adobe\Acrobat 11.0\Acrobat\AcroTray.exe, C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\Baidu\BaiduPlayer\1.19.0.32\BaiduP2PService.exe, C:\Program Files\Baidu\BaiduPlayer\1.19.0.32\BaiduPlayer.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\Common Files\ACD Systems\IDBSvr.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Autodesk Shared\Service\AdskScSrv.exe, C:\Program Files\Common Files\Autodesk Shared\WSCommCntr1.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\GameChannel\GameHall.exe, C:\Program Files\GameChannel\sndz\sndz.exe, C:\Program Files\GameChannel\sumk\sumk.exe, C:\Program Files\Google\Chrome\Application\chrome.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Jetico\Jetico Personal Firewall\jpf.exe, C:\Program Files\Jetico\Jetico Personal Firewall\jpfsrv.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\McAfee\Common Framework\McScript_InUse.exe, C:\Program Files\McAfee\Common Framework\McTray.exe, C:\Program Files\McAfee\Common Framework\naPrdMgr.exe, C:\Program Files\McAfee\Common Framework\udaterui.exe, C:\Program Files\McAfee\VirusScan Enterprise\EngineServer.exe, C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, C:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, C:\Program Files\McAfee\VirusScan Enterprise\mfeann.exe, C:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, C:\Program Files\MeteorNetTV\MeteorNetTV.exe, C:\Program Files\MeteorNetTV\regsvr32.exe, C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, C:\Program Files\Microsoft Office\Office12\EXCEL.EXE, C:\Program Files\Microsoft Office\Office12\WINWORD.EXE, C:\Program Files\MSN Gaming Zone\Windows\bckgzm.exe, C:\Program Files\MSN Gaming Zone\Windows\chkrzm.exe, C:\Program Files\MSN Gaming Zone\Windows\hrtzzm.exe, C:\Program Files\MSN Gaming Zone\Windows\Rvsezm.exe, C:\Program Files\MSN Gaming Zone\Windows\shvlzm.exe, C:\Program Files\MSN Gaming Zone\Windows\zclientm.exe, C:\Program Files\REALTEK\RTL8187 Wireless LAN Utility\RtWLan.exe, C:\Program Files\Tencent\TM2008\Bin\TM.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\Thunder Network\Thunder5\Thunder.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Program Files\WMZHE\Pure Codec\PotPlayerMini.exe, C:\Program Files\WMZHE\Pure Codec\PurePlayer.exe, C:\Program Files\Your Uninstaller\autoupdater.exe, C:\Program Files\Your Uninstaller\urmain.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\notepad.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\System32\alg.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\freecell.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mpnotify.exe, C:\WINDOWS\system32\mshearts.exe, C:\WINDOWS\system32\msiexec.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\runonce.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\shmgrate.exe, C:\WINDOWS\system32\SNDVOL32.EXE, C:\WINDOWS\system32\spider.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡、报告(绝对途径排除可以省去自定义全局禁止读取、执行规则

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
要排除的进程:*\C:\WINDOWS\system32\winlogon.exe, C:\Program Files\AutoCAD 2008\acad.exe, C:\Program Files\CCleaner\CCleaner.exe, C:\Program Files\McAfee\Common Framework\FrameworkService.exe, C:\Program Files\MeteorNetTV\MeteorNetTV.exe, C:\Program Files\Thunder Network\Thunder5\Program\Thunder5.exe, C:\Program Files\WinRAR\WinRAR.exe, C:\Program Files\Your Uninstaller\urmain.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\System32\svchost.exe, C:\WINDOWS\system32\wuauclt.exe
阻挡(感觉不是见红就排除,仅排除以上不影响使用

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
阻挡(无需更改
w99308702
发表于 2013-5-8 16:06:59 | 显示全部楼层
本帖最后由 w99308702 于 2013-5-8 16:15 编辑

尾随大神,最近不折腾咖啡,改用什么了??
实际排除了工商银行网银助手更新、迅雷、yy,采用通配符大范围的排除,减少排除的工作量
目的是排除一切见红的,感觉阻挡或者报告是会使cpu段时间飙升,故尽量排除一切的阻挡,因为实机无毒都是可信任程序

win7旗舰 32位

规则名称:阻止对所有共享资源的读写访问
包含*.*
排除*\**\Google\**, *\**\Program Files\**, *\**\Users\**, *\**\Windows\**, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\ICBCChromeExtension.exe, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\icbc_infosec_certenroll_plugins.exe, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\icbc_infosec_netsign_plugins.exe, C:\ProgramData\icbc_data\Temp\ICBCClientPlugins\icbc_mw_usbkey_plugins.exe, C:\ProgramData\icbc_data\Temp\UpdateService.exe, C:\ProgramData\icbc_data\Temp\UShieldSetups\minghua\ICBC_MW_UShield2_Install.exe
阻挡+报告

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:*
排除*\**\Google\**, *\**\Program Files\**, *\**\Windows\**, C:\Users\Public\Thunder Network\KanKan\Pusher\XmpTipWnd*.exe, C:\Users\*\AppData\Local\Temp\XLLiveUD\*\XLLiveUD.exe, C:\Users\*\AppData\Roaming\duowan\**\yylauncher.exe, System
阻挡+报告

规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
阻挡+报告
rlx
发表于 2013-5-8 16:50:31 | 显示全部楼层
win7 64   以上我都是默认规则  自定义规则对入口重点防御   配合sep的墙   因为日常生活中本人只有上网 或者U盘 才可能出问题 所以没有用“*”   以前也是像J叔一样的   后来发现自己完全忽视了安全软件的初衷   所以 不是太苛刻 但也很安全
jxfaiu
发表于 2013-5-8 17:17:04 | 显示全部楼层
rlx 发表于 2013-5-8 16:50
win7 64   以上我都是默认规则  自定义规则对入口重点防御   配合sep的墙   因为日常生活中本人只有上网 或 ...

不是太苛刻,是预防。
马云波波波
头像被屏蔽
发表于 2013-5-8 23:25:51 | 显示全部楼层
rlx 发表于 2013-5-8 16:50
win7 64   以上我都是默认规则  自定义规则对入口重点防御   配合sep的墙   因为日常生活中本人只有上网 或 ...

我也是默认规则。win8 64位操作系统。我使用麦咖啡现在一直是用他来扎好入口,以及控制程序的入站与出站。个人也认为,咖啡的规则没必要搞得太严厉,因为咖啡还有杀毒模块,而且,在咖啡企业版的防御体系中,杀毒是主要,规则是辅助。
蓝核
发表于 2013-5-9 09:20:31 | 显示全部楼层
jxfaiu 发表于 2013-5-8 17:17
不是太苛刻,是预防。

j大,你在本帖的回复可能透露了点个人信息,建议修改下
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 18:05 , Processed in 0.137562 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表