查看: 26020|回复: 54
收起左侧

[技术原创] McAfee8.8默认规则详解 by墨池

  [复制链接]
墨池
发表于 2011-4-19 16:39:53 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2011-4-19 20:38 编辑

写在前面:
           咖啡规则的确强大,本文一阅便知!本为自己学习整理,不敢专私,与朋友共享,不亦乐乎,不亦君子乎!并且希望对咖啡规则的理解、设置以及发展有些许帮助!
                                                                                   墨池顿首

《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe,
C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common iles\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmd.exe, cmdagent.exe, console.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, earthagent.exe, EngineServer.exe, explorer.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, icwconn1.exe, idsinst.exe, ie-kb*.exe, ie4uinit.exe, ieupdate.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, jucheck.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, msimn.exe, msohtmed.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, proxycfg.exe, pskmssvc.exe, regsvr32.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, rundll32.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, sidebar.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, svchost.exe, TBMon.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, unregmp2.exe, update.exe, updater.exe, updaterui.exe, userinit.exe, v3cfgu.exe, vbs56nen.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmail.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(墨池按:E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe等绝对路径为咖啡安装时根据安装路径自动生成,其它为内置排除白名单,下同。)
要阻止的注册表操作:写入 创建 删除
----------------------------------------
    意图:该规则用于防止未经信任(排除)的任何进程,对Microsoft Internet Explorer的设置以及文件进行修改。众所周知的,一般恶意程序的活动特征都会修改网页浏览器的开始页面,以及添加其网址到收藏夹中。因此,该规则旨在防止木马,广告程序以及间谍软件修改浏览器设置。
    风险:启用这条规则可谓百利而无一弊。

《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe,
fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:
HKEY_CLASSES_ROOT\CLSID\**(猜测)
HKEY_CLASSES_ROOT\AppID\**(猜测)
HKEY_CLASSES_ROOT\TypeLib\**(猜测)
要保护的注册表项或注册表值:项(猜测)
要阻止的注册表操作:写入 创建
----------------------------------
    意图:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。
    风险:如果你需要安装的软件中包含COM 加载项而又未在信任(排除)列表中,VSE将会自动拦截。某些常用的应用程序需要注册COM 加载项的,比如Macromedia Flash也可能被拦截。

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe
要阻止的文件或文件夹名:**\temp*\**(猜测)
要禁止的文件操作:执行
-----------------------------
    意图:大部分电脑在真正感染病毒之前都需要人为地运行一次病毒。这种感染的途径是多种多样的,比如打开Email附件中的可执行文件,或者是从互联网上下载一个程序等等。具体地,譬如名为W32/Netsky.b@MM的病毒。
    一个可执行文件在被Windows运行之前都要先被保存在磁盘上。最普遍的方式是保存在user或者system账号的 Temp 文件夹下,再运行。
    该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件”。而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑。比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。
    风险:对于受该规则保护的可执行文件,你可以先将其复制到磁盘的其他位置然后再执行。所以该规则的负面影响是使用户原先简单的操作变得繁琐了。
    注意:启用该规则可能阻止某些程序的部分功能。

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
要阻止的文件或文件夹名:**\temp**
要禁止的文件操作:执行
-------------------------------
    意图:该规则阻止Windows 脚本执行器运行 Temp 文件夹中VBScript以及JavaScript文件。这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。当然,某些合法的第三方应用程序的安装亦可能会被该规则所阻挡。
    风险:当邮件客户端下载脚本,然后通过合法的 Windows 程序(cscript或者wscript)来执行脚本的时候,该规则无法甄别该行为是否合法。因此某些合法的脚本也可能被阻挡。

《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:avtask.exe, cfgwiz.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe
要保护的注册表项目或注册表值:
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr
要保护的注册表项或注册表值:值
要阻止的注册表操作:创建 写入 删除
------------------------------------
    意图:该规则保护Windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器别禁用。我们知道当病毒感染电脑后,管理员可能需要通过修改注册表,或者打开任务管理器来终止某些活动进程。
    风险:该规则可能导致手动清理恶意代码的过程更加复杂。

规则名称:禁止更改用户权限策略
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrsrvc.exe, avtask.exe, cfgwiz.exe, frminst.exe, fssm32.exe, giantantispywa*, ikernel.exe, InsFireTdi.exe, kavsvc.exe, lsass.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, services.exe, setup*.exe, setup.exe, Setup_SAE.exe, uninstall.exe, update.exe, _ins*._mp
要保护的注册表项目或注册表值:HKCCS/Control/LSA/**, HKCCS/Services/lanmanserver/parameters/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建 写入 删除
------------------------------------
    意图:很多蠕虫病毒都会试图获知该账号在网络中是否拥有管理权限。开启该规则可防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows 安全信息的键值。譬如,某些病毒会借助管理员账号来移除某些重要的权限。

规则名称:禁止远程创建/修改可执行文件和配置文件
要包含的进程:system:remote
要排除的进程:无
要阻止的文件或文件夹名:*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini
要禁止的文件操作:创建 写入 删除
--------------------------------
    启用该规则将阻挡网络上的其他电脑与本机建立连接,并且修改可执行文件等行为。
    意图:该规则就像是规则“将所有共享项设为只读”的阉割版。首先,该规则将适用的范围缩窄到病毒传播最常见的文件类型,然后阻挡的行为仅仅限制了“写”,却不会影响新文件的创建。这种保护能够抑制蠕虫和病毒通过网络共享进行大规模的传播。
    风险:虽说通过 Windows 共享复制可执行文件的行为是存在的,但毕竟已经很少发生了,即便是有,大多数都是通过远程系统来修改可执行文件。更值得我们注意的是,上述行为更可能意味着是一种攻击。这四条规则相比起规则“将所有共享项设为只读”而言,误报率更低,但是安全性也较差。

规则名称:禁止远程创建自动运行文件
要包含的进程:system:remote
要排除的进程:无
要阻止的文件或文件夹名:autorun.inf
要禁止的文件操作:创建
--------------------------------
    意图:自动运行文件最常见的形式是光盘中的安装文件。其通过阻挡与其他电脑建立连接,和修改autorun.inf文件等行为防止间谍与广告程序被执行。由于大量的间谍和病毒程序通过寄生于CD中进行传播,Microsoft已经在 Windows XP Service Pack 2 中关闭了自动播放(墨池按:此说法不准确,xp的sp2、sp3没有关闭,VISTA及以后版本可以手动关闭而已)。

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ikernel.exe, InsFireTdi.exe, McAfeeHIP_Clie*, msi*.tmp, msiexec.exe,
SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, Setup_SAE.exe, uninstall.exe, update.exe, _ins*._mp
要保护的注册表项目或注册表值:HKULM/Software/Classes/.exe/**, HKULM/Software/Classes/exefile/**,
HKULM/Software/Classes/.com/**, HKULM/Software/Classes/comfile/**, HKULM/Software/Classes/.bat/**,
HKULM/Software/Classes/batfile/**, HKULM/Software/Classes/.cmd/**, HKULM/Software/Classes/cmdfile/**
要保护的注册表项或注册表值:
要阻止的注册表操作:创建 写入
--------------------------------------
    意图:某些病毒会修改注册表下的扩展名,使病毒跟随其他可执行文件的启动而启动,该规则则用于保护注册表“HKEY_CLASSES_ROOT”下的扩展名(比方说.exe)不被篡改。启用该规则后,能避免间谍和恶意程序修改操作系统的配置以及可执行文件。

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe
要禁止的文件操作:读取、执行、创建、写入、删除
---------------------------------------
    意图:很多病毒和木马文件都会以 Windows 系统进程中的名称命名,试图浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行。真正的 Windows 文件不受该规则限制。
    风险:无

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:agent.exe, amgrsrvc.exe, apache.exe, ebs.exe, eudora.exe, explorer.exe, firefox.exe, firesvc.exe, iexplore.exe, inetinfo.exe, mailscan.exe, MAPISP32.exe, mdaemon.exe, modulewrapper*, mozilla.exe, msexcimc.exe, msimn.exe, mskdetct.exe, msksrvr.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, nrouter.exe, nsmtp.exe, ntaskldr.exe, opera.exe, outlook.exe, Owstimer.exe, pine.exe, poco.exe, RESRCMON.EXE, rpcserv.exe, SPSNotific*, thebat.exe, thunde*.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, VMIMB.EXE, webproxy.exe, WinMail.exe, winpm-32.exe, worldclient.exe, wspsrv.exe
要阻止的端口:25\587
方向:出站
----------------------------
    意图:很多病毒会在系统中自动搜寻Email地址,并且通过邮件寄送病毒来实现传播的目的。病毒会直接连接搜集来的邮件服务器,而该规则的作用则是阻挡所有进程通过SMTP连接到其他的邮件服务器。通过阻挡这种通信,即便电脑感染了新的邮件蠕虫,但是也无法通过email进一步传播。除非是已添加到排除项中的邮件客户端,其他通过SMTP 端口(25和587)试图发送email的行为都会被阻挡。
    风险:由于大量第三方邮件软件的存在,该规则的排除列表必然是不完整的。因此需要用户手动将所用邮件软件的进程名添加到排除项中,否则软件将无法使用。

规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:无
要阻止的端口:6666-6669
方向:入站 出站
---------------------------
    互联网中继聊天(IRC)是首选的通讯方式由牧民和僵尸网络远程访问木马用来控制僵尸网络(一组脚本或一个独立的程序,连接到IRC)。体育馆允许攻击者控制后面的网络地址转换(NAT)坐在感染的机器,该机器人可配置为连接返回到命令和控制服务器在任何端口上侦听。
    意图:许多后门木马连接到IRC服务器并接收来自其作者的命令。例如,http://vil.nai.com/vil/content/v_98963.htm。通过阻止这种沟通,即使系统成为一个新的木马感染,将无法与人沟通或控制它的实体。
    风险:如果IRC是用在一个公司,或者如果这些端口被用于其他目的,那么该规则将阻止他们,直到进程使用的端口被添加到排除列表。

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:wuauclt.exe
要阻止的文件或文件夹名:**\tftp.exe
要禁止的文件操作:读取、执行
---------------------------------
    普通文件传输协议(TFTP)提供用户身份验证,没有基本的文件传输。许多木马使用TFTP,因为它是一个基本方法下载额外的代码。启用此规则将阻止除Windows更新使用它来下载其他恶意代码到系统任何东西。
    意图:通过利用脆弱的应用缓冲区溢出散播一些病毒。代码注入进程,然后运行。此代码下载从刚才的计算机病毒注入下载代码的其余部分。通常,下载代码使用Windows的TFTP客户端(tftp.exe)执行下载。因此,即使同一个系统成为一种新的病毒感染的一部分,它不能成为完全感染,因为它不能下载代码的其余部分。

《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要阻止的文件或文件夹名:**
要禁止的文件操作:执行
---------------------------------
    意图:Svchost.exe是一个系统进程,属于微软Windows操作系统,它处理从DLL执行的过程。这项计划是非常重要的稳定和安全的计算机上运行,而不应被终止。因为这是Windows的重要组成部分,攻击者尝试使用此过程来注册自己的。DLL中不属于Windows的一部分。这条规则使得Svchost.exe只加载Windows服务.DLL文件。

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:explorer.exe, frameworkservice.exe, logonui.exe, rasphone.exe, svchost.exe
要阻止的文件或文件夹名:**/rasphone.pbk
要禁止的文件操作:读取、创建、写入、删除
------------------------------------------
    意图:此规则无法读取该用户的联系人,这是在将Rasphone.pbk文件存储在用户的配置文件的目录清单恶意代码。

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:*
要排除的进程:explorer.exe
要保护的注册表项目或注册表值:HKULM/Software/Classes/.*/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入
------------------------------
    意图:这是一个严格的版本“反病毒标准保护:防止其他可执行的EXE和扩展劫持。”规则。而不是只保护的。EXE,。英美烟草公司等,它可以保护HKEY_CLASSES_ROOT下的所有扩展的选项。
    系统运行微软Windows操作系统的使用三或四个字母的标识符添加到文件后一个时期的名称(.)来识别文件类型。当一个文件被打开时,文件扩展名来决定应该用什么程序打开该文件,或者如果该文件是一个应该运行的程序。恶意软件可以修改成这样的文件扩展名注册,该恶意代码的执行是沉默。此规则阻止通过修改的修改。txt的外壳扩展和执行每次打开。txt文件的外壳扩展的恶意软件。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。
    风险:如果系统管理员启用此规则,他们将需要确保禁用规则的有效应用程序安装时会修改注册表中的文件扩展名注册。

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:/system32/taskhost.exe, /syswow64/taskhost.exe, cleanup.exe, cmdagent.exe, explorer.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, iexplore.exe, mcscancheck.exe, mcscript*, mctray.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, rundll32.exe, setlicense.exe, sidebar.exe, udaterui.exe, updaterui.exe
要阻止的文件或文件夹名:**\content.ie5\**
要禁止的文件操作:读取
--------------------------------------
    意图:有些病毒通过Internet Explorer查找电子邮件地址和网站密码缓存。除非这条规则可以防止访问Internet Explorer被IE浏览器缓存任何东西。
    风险:任何进程使用WinInet库或主机的Internet Explorer在一个窗口可以访问缓存控制,因此,您可能需要添加此规则的过程中,如果已启用。

《防病毒爆发控制》
规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件操作:创建、写入、删除
---------------------------------------
    意图:通过复制自己要打开网络共享或公开股份通过感染文件,例如,http://vil.nai.com/vil/content/v_99209.htm,散布了许多病毒。虽然股票可以通过访问控制列表(ACL),上(加元,ð $,$管理等)管理股ACL保护不能被编辑和读/写管理员。如果管理员的系统受到感染,即感染可通过网络迅速传播。的VSE的份额阻塞不会区别对待管理员,所有的写访问被阻止。如果有一个使股份只读政策,此规则强化了关闭管理共享这一政策。
    风险:这是一个非常强大的规则。这是一个好主意,以评估该系统将使用此规则的作用。在典型环境中,可能是这个规则将被用于工作站和服务器,适合不适合。该规则是为了阻止病毒,这将严重限制的计算机或网络的使用,这是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作,日常使用,这些规则也可以影响到他们的管理方式。如果电脑是由他们推动档案管理,此规则将阻止更新或补丁被安装。 McAfee的ePO的管理职能将不会受到影响,如果这条规则启用。

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:system:remote
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件操作:读取、执行、创建、写入、删除
------------------------------------------------
    意图:此规则是一个共享时使用的跳频蠕虫被称为是在野外,并积极推广。禁止在文件共享环境中,这些规则可以执行这一政策,因为它会阻止写访问权,或全部从远程计算机到一个受保护的访问。
    风险:这是一个非常强大的规则。制度下的角色需要被评估之前启用规则。在典型环境中,可能是这个规则将被用于工作站和服务器,适合不适合。其目的是阻止病毒,将严重限制了计算机或网络使用,而且它是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作,日常使用,这些规则也可以影响他们的管理方式。如果电脑是由他们推动档案管理,此规则将阻止更新或补丁被安装。




评分

参与人数 2技术 +1 经验 +50 魅力 +1 人气 +1 收起 理由
moreo + 1 好东西,来支持啦
大猫熊 + 1 + 50 + 1 原创内容,精品文章

查看全部评分

墨池
 楼主| 发表于 2011-4-19 16:40:11 | 显示全部楼层
本帖最后由 墨池 于 2011-4-19 21:30 编辑

《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrcnfg.exe, avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fssm32.exe, giantantispywa*, HipManage.exe, hipsvc.exe, ikernel.exe, InsFireTdi.exe, jlaunch.exe, kavsvc.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, regsvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, services.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, SiteAdv.exe, svchost.exe, TBMon.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, vscan_rfc.exe, winlogon.exe, _ins*._mp
要阻止的文件或文件夹名:
**\McAfee\desktopproctection\**
**\McAfee\antispyware\**
**\McAfee\VirusScan Enterprise\**
**\McAfee\AntiSpyware Enterprise
C:\Windows\System32\drivers\mfe*.sys
要禁止的文件操作:创建、写入、删除
------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/McAfee
HKLM/Software/McAfee/DesktopProtection
HKLM/Software/McAfee/VSCore
HKLM/Software/McAfee/VSCore/NVP
HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
要保护的注册表项或注册表值:项
要阻止的注册表操作:删除
-----------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/McAfee/vscore/**
HKCCS/Services/McShield/**
HKCCS/Services/McTaskManager/**
HKCCS/Services/Mfeapfk/**
HKCCS/Services/Mfetdik/**
HKCCS/Services/Mfeavfk/**
HKCCS/Services/Mfebopk/**
HKCCS/Services/Mfehidk/**
HKLM/Software/McAfee/DesktopProtection/**
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
-------------------------------------------
    意图:许多病毒和木马攻击的反病毒产品。这条法则,除了VSE的自我保护功能,保护VirusScan的恶意代码和程序的注册表值不被修改或删除。
    风险:这条规则,以保护未在政策的排除清单中列出的任何修改过程中,从McAfee安全产品。许多木马和病毒会试图终止甚至删除安全产品。如果使用自定义或第三方部署和更新工具来安装或更新的VSE,添加过程,改变迈克菲设置排除清单。不这样做可能导致安装或更新失败。建议您利用McAfee ePO的部署和更新的VSE。

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrcnfg.exe, avtask.exe, C:\Program Files\Common
Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, cqmghost.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fssm32.exe, giantantispywa*, HipManage.exe, hipsvc.exe, ikernel.exe, InsFireTdi.exe, kavsvc.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, services.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, _ins*._mp
要阻止的文件或文件夹名:
%ALLUSERSPROFILE%/*/Network Associates/Common Framework/**
%ALLUSERSPROFILE%/*/McAfee/Common Framework/**
%programfiles%/mcafee/Common Framework/**
%programfiles%/network associates/Common Framework/**
%CommonProgramFiles%/Cisco Systems/CiscoTrustAgent/plugins/**
要禁止的文件操作:创建、写入、删除
-------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/Network Associates/ePolicy orchestrator
HKLM/Software/Network Associates/TVD/Shared Components/Framework
HKCCS/Services/McAfeeFramework/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
------------------------------------------
    意图:此规则提供了与上述规则相同的保护,但它特别保护的McAfee代-理是由McAfee ePO的部署同样的覆盖范围。

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgwiz.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mcscript*, mcupdate.exe, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, navw32.exe, ncdaemon.exe, nmain.exe, regsvc.exe, rtvscan.exe, sdat*.exe, svchost.exe, VirusScanAdvancedServer.exe, vmscan.exe
要阻止的文件或文件夹名:%program files%/common files/mcafee/Engine/**
要禁止的文件操作:创建、写入、删除
-------------------------------------
要保护的注册表项目或注册表值:HKLM/Software/McAfee/AVEngine
要保护的注册表项或注册表值:项
要阻止的注册表操作:删除
----------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/McAfee/AVEngine:DAT
HKLM/Software/McAfee/AVEngine:szInstallDir
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
----------------------------------------
    意图:类似于上述两个规则,这是另一种自我保护规则,旨在防止篡改的扫描引擎。

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, firefox*,
fixccs.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe,
LogonUI.exe, mdac_qfe.exe, mozilla*, navw32.exe, nmain.exe, rtvscan.exe, setup*.exe, setupre.exe, siteadv.exe,
spuninst.exe, sqlredis.exe, standaloneui.exe, thunde*.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe,
winlogon.exe, wintdist.exe, wuauclt.exe
要阻止的文件或文件夹名:**\Mozilla*\**
创建、写入、删除
----------------------------
要保护的注册表项目或注册表值:
HKLM/Software/Mozilla**
HKCU/Software/Mozilla**
要保护的注册表项或注册表值:值
创建、写入、删除
-------------------------------
    意图:常见的恶意软件的策略是改变浏览器的起始页面,并安装我的最爱。此规则的目的是防止没有在规则的例外清单中列出的任何进程的Mozilla、Firefox的配置和文件的修改。该规则可以防止某些启动页的木马,广告软件和间谍而修改浏览器设置。使用这一规则有百利而无一害,因为它只是作出更改的最爱,在Mozilla Firefox浏览器的设置过程。

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, configui.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, siteadv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
---------------------------------------
要保护的注册表项目或注册表值:
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet SettingsroxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Search_URL
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入、删除
----------------------------------
    意图:类似于以前的规则,这样设计是为了防止未在规定的排除列表中列出的任何进程的Microsoft Internet Explorer设置的修改。常见的恶意软件的策略是改变浏览器的起始页。这条规则可以防止某些启动页木马,广告软件和间谍软件,它可以改变浏览器设置。使用这一规则真的有百利而无一害,因为它只是在Microsoft Internet Explorer设置的变化过程起作用。

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, earthagent.exe, EngineServer.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, regsvcs.exe, regsvr32.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, siteadv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, sysocmgr.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/**
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
-----------------------------------------
    意图:这条规则可以防止广告软件,间谍软件和一些木马程序,作为浏览器帮助对象,从安装到主机上安装计算机。这是一个广告软件和间谍软件的安装非常流行的方法。然而,此规则可以阻止这些对象合法安装。
    风险:如果你有自定义或第三方应用程序需要安装这些对象,请确保您所列出的本规则的排除列表中。安装完毕后,该规则可以被重新启用,因为这条规则并不能防止从安装浏览器助手对象工作。
    这同时适用于Internet Explorer和Firefox上述规则的规则,比在防病毒和反间谍软件部分列出了一些一般用途。他们像保护主页,搜索页,并在Internet Explorer和Mozilla Firefox浏览器的工具栏的东西,以及防止浏览器助手对象和其他外壳扩展安装。

规则名称:保护网络设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgwiz.exe, cvpnd.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, frameworkservice.exe, fssm32.exe, fwkern.exe, giantantispywa*, ikernel.exe, InsFireTdi.exe, kavsvc.exe, McAfeeHIP_Clie*, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, navw32.exe, ncdaemon.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, services.exe, setadapter.exe, setup*.exe, setup.exe, Setup_SAE.exe, sr_gui.exe, sr_service.exe, svchost.exe, sysocmgr.exe, SystemPropertiesComputerName.exe, tcpsvcs.exe, uninstall.exe, update.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmgmt.exe, wmiadap.exe, _ins*._mp
要阻止的文件或文件夹名:C:\Windows\System32\Drivers\etc\hosts
要阻止的注册表操作:创建、写入、删除
----------------------------------
要保护的注册表项目或注册表值:
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**
HKCCS/Services/netbt/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、删除
---------------------------------
要保护的注册表项目或注册表值:
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
----------------------------------------
    意图:修改网络设置是一种常见的策略用来重定向流量和网络活动或数据传输。此规则可以保护进程不被排除在清单中列出修改了系统的网络设置。它的目的是对分层服务提供者喜欢你的保护,可以发送通过捕获网络流量并把它发送到第三方网站浏览行为的数据。像广告软件程序,软件和广告软件的CommonName - NDotNet到这个层次服务提供者类别。
    风险:如果你有合法的程序,需要更改网络设置,确保它们在规则中列出的排除列表或禁用该规则,而更改。

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要阻止的文件或文件夹名:**temp**
要禁止的文件操作:执行
---------------------------
    意图:此规则禁止在网页上运行的电子邮件附件和可执行文件。它的目的是阻止安装从浏览器或电子邮件客户端软件的应用,它是在停止电子邮件蠕虫有效。它可以监视您的浏览器和电子邮件客户端,并禁止运行的软件,从他们的Temp目录。这将停止大部分广告软件,间谍软件,木马和病毒利用电子邮件或浏览器链接到可执行文件安装。乖巧安装不经常使用的系统Temp目录来存放安装,但是,自定义或第三方应用程序可能会从安装启用后,这条规则是可以避免的。
    风险:如果您需要安装一个应用程序使用的Temp文件夹,请确保安装过程是在排除列表中。

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
------------------------------
    意图:当“防止终止McAfee的过程”规则已启用,将防止任何的VSE非McAfee进程和那些专门从终止进程或服务排除在外。这保护受到了这一要求,以规避杀害了他们的病毒防护程序进程的恶意程序禁用VirusScan的进程。
    如果是这样的设置,则没有人(除了排除的过程)可以终止了McAfee进程使用任务管理器等(“终止”是指迫使进程结束现在。受害人进程在这个问题上没有发言权)。
    风险:如果这个规则被启用,手工方法来更新的VSE DAT文件将无法工作。。在与更新的ePO任务使用推荐的方法将继续使用此功能规则启用。

《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tbmon.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要阻止的文件或文件夹名:**\startup\**.exe, **\startup\**.bat, **\startup\**.scr, **\startup\**.hta, **\startup\**.pif,
**\startup\**.com
要禁止的文件操作:执行、创建、写入、删除
--------------------------------------------
要保护的注册表项目或注册表值:
HKULM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon:Shell
HKULM/Software/Microsoft/Windows NT/CurrentVersion/Windows:Load
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows:AppInit_Dlls
HKULM/Software/Microsoft/Windows/CurrentVersion/Run/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnce/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServices/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/**
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/*
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入
-------------------------------------
    意图:大多数广告软件,间谍软件,木马和病毒试图在这样一个登记,他们喝醉了每次系统启动时间的方法本身。此规则的目的是,禁止未经登记的,从每一个进程重新启动执行排除列表中的任何进程。
    风险:合法的应用程序也可能这样做,这些应该被列在列表或安装之前排除此规则已启用。

规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:HKCCS/Services/**
------------------------------------
注册表排除:
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**
---------------------------------------
    意图:此规则保护的注册表项和目录,病毒,间谍软件等,可以使用一个用户登录时加载或重新启动计算机时。它可以防止任何由进程不排除清单中列出的新服务的安装。这是应用程序,如键盘记录程序的共同做法,分层服务提供者如广告软件,SAHAgent。这也提供了一些针对新的内核模式rootkit安装有限的保护。
    风险:启用此规则也阻止自己的合法注册为服务设施。它也可能阻止新的硬件设备驱动程序的安装。 McAfee建议你要么安装该应用程序之前设置此规则来阻止或列出在安装过程中的例外清单。

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, TBMon.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要阻止的文件或文件夹名:C:\Windows\**.exe, C:\Windows\**.dll
要禁止的文件操作:创建
------------------------------
    一个广告软件,间谍软件,木马和病毒,常见的手法是把隐藏在Windows目录中的文件。你应该补充的进程有合法需要放置在Windows目录中的文件列表中的例外。此规则将阻止可执行文件到Windows文件夹增加。
    意图:病毒和木马常常自我复制到Windows目录,希望隐藏在文件列表中的名字真怪那里。这些规则防止文件被任何进程创建的,不只是来自全国各地的网络。这条规则可以防止的。EXE创​​造和。在Windows目录中的DLL文件。
    风险:这些规则将禁用许多软件的安装程序。

规则名称:禁止在 Program Files* 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
我的排除:*\Program Files*\McAfee\Common Framework\FrameworkService.exe
要阻止的文件或文件夹名:C:\Program Files\**.exe, C:\Program Files\**.dll
要禁止的文件操作:创建
-----------------------------
    意图:此规则阻止的EXE和DLL文件,广告软件和间谍软件安装在Program Files目录中创建新的可执行文件。。。它可以阻止新的软件安装,如果不是从一开始排除进程。
    风险:McAfee建议你要么安装应用程序之前,启用此规则,或放置在排除列表中的阻塞的进程。
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:iexplore.exe
要排除的进程:无
要阻止的文件或文件夹名:**\Downloaded Program Files\**(猜测)
要禁止的文件操作:执行
--------------------------------
    一种常见的广告软件和间谍软件分发方法是让用户下载一个可执行文件并运行它会自动从下载的程序文件夹。此规则是特定于Microsoft Internet Explorer和阻止通过Web浏览器软件的安装。这也可能阻止正版软件安装,因此无论是安装前启用此规则的应用程序或安装过程中添加到排除列表。
    意图:Internet Explorer中运行的Downloaded Program Files目录的代码,尤其是ActiveX控件。在Internet Explorer和病毒的一些漏洞放到这个目录中的一个。EXE文件并运行它。例如,http://vil.nai.com/vil/content/v_101031.htm。此规则关闭该攻击。
    风险:下载的程序文件是比温度更合理,所以这个规则可以禁用非恶意的应用程序。本规则禁用两个已知的方案是微软的传输管理器(transfermgr.exe)和苹果QuickTime的安装程序(QuickTimeInstaller.exe)。您可以允许他们加入的进程排除列表这些功能。

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
要阻止的端口:21/20
方向:出站
------------------------------
    此规则的目的是阻止不排除清单中列出的任何进程的FTP(端口21)流量。 FTP通信是经常使用的广告软件,间谍软件,木马和病毒的接收或传输数据。它有时也用于缓冲区溢出漏洞来获取额外的组件。然而,许多第三方应用程序有合法需要使用FTP流量,因此,他们需要在排除列表中。
    意向:病毒和木马可能会试图下载恶意代码,间谍软件可能会试图上传个人信息和广告软件可能会试图下载广告。这些规则,防止什么,但通过FTP从沟通的授权过程。
    风险:FTP是一种广泛使用的协议。如果这个规则是在FTP服务器上启用,它就会停止工作,直到服务器进程将被添加到排除列表。虽然我们投入的例外清单流行的FTP客户端,有可能是可以增加您的特定环境进行了许多方案。

规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
要阻止的端口:80/443
方向:出站
--------------------------------
    许多间谍软件,广告软件和木马程序使用端口80用于软件下载,捆绑组件或更新。此规则将阻止通过端口80通信的任何服务(使用Svchost.exe的)。这将阻止间谍软件和广告软件共同执行机制。某些服务器软件使用端口80,虽然这不是在台式机普遍。
    这条规则将阻止不排除清单中的所有HTTP通信的进程。如FTP流量,HTTP流量是被许多应用程序检索或传输数据。间谍软件,广告软件和木马也普遍使用的第三方组件或更新软件下载HTTP通信。也有许多的进程进行通信通过HTTP正当理由。许多应用程序使用登记或自我更新的过程,通过HTTP进行通信。如果没有进程被排除在名单中列出,交通将被封锁,因此,McAfee强烈建议启用此规则之前彻底测试和审查周期。
    意图:许多木马下载脚本或由木马的作者控制的其他网站木马。例如,http://vil.nai.com/vil/content/v_100487.htm。通过阻止这种沟通,即使系统成为一个新的未知木马病毒感染,将无法下载更多的恶意代码。
    风险:HTTP是一个很广泛使用的协议。虽然我们已在排除清单流行的Web浏览器,可能有很多程序,你可能需要添加根据您的特定环境。

《虚拟机保护》

规则名称:防止终止 VMWare 进程
要包含的进程:*
要排除的进程:**/system32/csrss.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe,
VMUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe
--------------------------------------
    意图:当“VMware的预防终止进程”启用规则,特别是从预防的VSE将终止进程或服务排除在外,除了VMware的进​​程和这些进程。这种不受保护的VMware寻求规避杀害了他们的病毒防护程序进程的恶意程序禁用进程。
    如果这个规则设置,没有人(除了排除的过程)可以终止进程的VMware使用任务管理器等(“终止”是指迫使进程结束现在。受害人进程在这个问题上没有发言权)。
    风险:使此规则没有缺点,因为它只是阻止从VMware的进​​程或终止服务流程。

规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, FireSvc.exe, ikernel.exe, InsFireTdi.exe, McAfeeHIP_Clie*, msi*.tmp, msiexec.exe, NdisInstall.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, Setup_SAE.exe, svchost.exe, uninstall.exe, update.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe, VMUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe, WMIADAP.EXE, _ins*._mp
----------------------------------------
    意图:此规则可以防止恶意代码修改或者删除注册表值VMware工作站和进程。
    风险:这条规则,保护针对VMware的工作站产品的未在排除清单中列出的任何修改。

规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程::???setup.exe, ??setup.exe, ?setup.exe, FireSvc.exe, ikernel.exe, InsFireTdi.exe, McAfeeHIP_Clie*, msi*.tmp, msiexec.exe, NdisInstall.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, Setup_SAE.exe, svchost.exe, uninstall.exe, update.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe, MUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe, WMIADAP.EXE, _ins*._mp
-----------------------------------
    意图:此规则可以防止恶意代码修改或者删除注册表值和VMware Server的进程。
    风险:这条规则,保护针对VMware的服务器产品的未在排除清单中列出的任何修改。

规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:FireSvc.exe, NdisInstall.exe, svchost.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe, VMUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe
---------------------------------
    意图:此规则可以防止恶意代码修改或删除VMware虚拟机文件。
    风险:这条规则,保护VMware虚拟机文件的未在排除清单中列出的所有过程不被修改。
===============================================================================
注释:
    1、排除从8.8默认规则复制粘贴而来。
    2、阻止、操作大部分引自熊猫版主规则详解,小部分自己理解。
    3、规则解释出自官方白皮书,逐条谷歌在线翻译,自己做了部分语言润色。





窗外有蓝天
发表于 2011-4-19 16:56:42 | 显示全部楼层
支持墨池,打造更加简洁、实用、安全的规则。。。。。
大猫熊
发表于 2011-4-19 17:34:13 | 显示全部楼层
强烈支持,希望继续推出精品~~[:26:]
lamour
发表于 2011-4-19 17:52:18 | 显示全部楼层
收藏了,有时间好好研读。
bighead
发表于 2011-4-19 19:46:46 | 显示全部楼层
不错,辛苦了。有时间好好研读一番
lhhluo
发表于 2011-4-19 21:22:26 | 显示全部楼层
很好的帖,谢谢!我觉得墨池也应该去申请当咖啡版的版主
墨池
 楼主| 发表于 2011-4-19 21:32:54 | 显示全部楼层
回复 3楼 窗外有蓝天 的帖子

有个规则,正在打磨中。
墨池
 楼主| 发表于 2011-4-19 21:33:59 | 显示全部楼层
回复 4楼 sandyyangjie 的帖子

谢谢版主鼓励!你的资料给我很大帮助,再一次感谢!
ssjwssf
发表于 2011-4-19 21:34:25 | 显示全部楼层
收藏了~感谢分享!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 00:11 , Processed in 0.145092 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表