本帖最后由 墨池 于 2011-4-19 21:30 编辑
《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrcnfg.exe, avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fssm32.exe, giantantispywa*, HipManage.exe, hipsvc.exe, ikernel.exe, InsFireTdi.exe, jlaunch.exe, kavsvc.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, regsvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, services.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, SiteAdv.exe, svchost.exe, TBMon.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, vscan_rfc.exe, winlogon.exe, _ins*._mp
要阻止的文件或文件夹名:
**\McAfee\desktopproctection\**
**\McAfee\antispyware\**
**\McAfee\VirusScan Enterprise\**
**\McAfee\AntiSpyware Enterprise
C:\Windows\System32\drivers\mfe*.sys
要禁止的文件操作:创建、写入、删除
------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/McAfee
HKLM/Software/McAfee/DesktopProtection
HKLM/Software/McAfee/VSCore
HKLM/Software/McAfee/VSCore/NVP
HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
要保护的注册表项或注册表值:项
要阻止的注册表操作:删除
-----------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/McAfee/vscore/**
HKCCS/Services/McShield/**
HKCCS/Services/McTaskManager/**
HKCCS/Services/Mfeapfk/**
HKCCS/Services/Mfetdik/**
HKCCS/Services/Mfeavfk/**
HKCCS/Services/Mfebopk/**
HKCCS/Services/Mfehidk/**
HKLM/Software/McAfee/DesktopProtection/**
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
-------------------------------------------
意图:许多病毒和木马攻击的反病毒产品。这条法则,除了VSE的自我保护功能,保护VirusScan的恶意代码和程序的注册表值不被修改或删除。
风险:这条规则,以保护未在政策的排除清单中列出的任何修改过程中,从McAfee安全产品。许多木马和病毒会试图终止甚至删除安全产品。如果使用自定义或第三方部署和更新工具来安装或更新的VSE,添加过程,改变迈克菲设置排除清单。不这样做可能导致安装或更新失败。建议您利用McAfee ePO的部署和更新的VSE。
规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, amgrcnfg.exe, avtask.exe, C:\Program Files\Common
Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, cqmghost.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fssm32.exe, giantantispywa*, HipManage.exe, hipsvc.exe, ikernel.exe, InsFireTdi.exe, kavsvc.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, services.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, _ins*._mp
要阻止的文件或文件夹名:
%ALLUSERSPROFILE%/*/Network Associates/Common Framework/**
%ALLUSERSPROFILE%/*/McAfee/Common Framework/**
%programfiles%/mcafee/Common Framework/**
%programfiles%/network associates/Common Framework/**
%CommonProgramFiles%/Cisco Systems/CiscoTrustAgent/plugins/**
要禁止的文件操作:创建、写入、删除
-------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/Network Associates/ePolicy orchestrator
HKLM/Software/Network Associates/TVD/Shared Components/Framework
HKCCS/Services/McAfeeFramework/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
------------------------------------------
意图:此规则提供了与上述规则相同的保护,但它特别保护的McAfee代-理是由McAfee ePO的部署同样的覆盖范围。
规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgwiz.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mcscript*, mcupdate.exe, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, navw32.exe, ncdaemon.exe, nmain.exe, regsvc.exe, rtvscan.exe, sdat*.exe, svchost.exe, VirusScanAdvancedServer.exe, vmscan.exe
要阻止的文件或文件夹名:%program files%/common files/mcafee/Engine/**
要禁止的文件操作:创建、写入、删除
-------------------------------------
要保护的注册表项目或注册表值:HKLM/Software/McAfee/AVEngine
要保护的注册表项或注册表值:项
要阻止的注册表操作:删除
----------------------------------------
要保护的注册表项目或注册表值:
HKLM/Software/McAfee/AVEngine:DAT
HKLM/Software/McAfee/AVEngine:szInstallDir
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
----------------------------------------
意图:类似于上述两个规则,这是另一种自我保护规则,旨在防止篡改的扫描引擎。
规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, firefox*,
fixccs.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe,
LogonUI.exe, mdac_qfe.exe, mozilla*, navw32.exe, nmain.exe, rtvscan.exe, setup*.exe, setupre.exe, siteadv.exe,
spuninst.exe, sqlredis.exe, standaloneui.exe, thunde*.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe,
winlogon.exe, wintdist.exe, wuauclt.exe
要阻止的文件或文件夹名:**\Mozilla*\**
创建、写入、删除
----------------------------
要保护的注册表项目或注册表值:
HKLM/Software/Mozilla**
HKCU/Software/Mozilla**
要保护的注册表项或注册表值:值
创建、写入、删除
-------------------------------
意图:常见的恶意软件的策略是改变浏览器的起始页面,并安装我的最爱。此规则的目的是防止没有在规则的例外清单中列出的任何进程的Mozilla、Firefox的配置和文件的修改。该规则可以防止某些启动页的木马,广告软件和间谍而修改浏览器设置。使用这一规则有百利而无一害,因为它只是作出更改的最爱,在Mozilla Firefox浏览器的设置过程。
规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, configui.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, siteadv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
---------------------------------------
要保护的注册表项目或注册表值:
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet SettingsroxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Search_URL
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入、删除
----------------------------------
意图:类似于以前的规则,这样设计是为了防止未在规定的排除列表中列出的任何进程的Microsoft Internet Explorer设置的修改。常见的恶意软件的策略是改变浏览器的起始页。这条规则可以防止某些启动页木马,广告软件和间谍软件,它可以改变浏览器设置。使用这一规则真的有百利而无一害,因为它只是在Microsoft Internet Explorer设置的变化过程起作用。
规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, earthagent.exe, EngineServer.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, regsvcs.exe, regsvr32.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, siteadv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, sysocmgr.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/**
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
-----------------------------------------
意图:这条规则可以防止广告软件,间谍软件和一些木马程序,作为浏览器帮助对象,从安装到主机上安装计算机。这是一个广告软件和间谍软件的安装非常流行的方法。然而,此规则可以阻止这些对象合法安装。
风险:如果你有自定义或第三方应用程序需要安装这些对象,请确保您所列出的本规则的排除列表中。安装完毕后,该规则可以被重新启用,因为这条规则并不能防止从安装浏览器助手对象工作。
这同时适用于Internet Explorer和Firefox上述规则的规则,比在防病毒和反间谍软件部分列出了一些一般用途。他们像保护主页,搜索页,并在Internet Explorer和Mozilla Firefox浏览器的工具栏的东西,以及防止浏览器助手对象和其他外壳扩展安装。
规则名称:保护网络设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, C:\Program Files\Common Files\McAfee\SystemCore\mfehidin.exe, cfgwiz.exe, cvpnd.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, frameworkservice.exe, fssm32.exe, fwkern.exe, giantantispywa*, ikernel.exe, InsFireTdi.exe, kavsvc.exe, McAfeeHIP_Clie*, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, navw32.exe, ncdaemon.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, services.exe, setadapter.exe, setup*.exe, setup.exe, Setup_SAE.exe, sr_gui.exe, sr_service.exe, svchost.exe, sysocmgr.exe, SystemPropertiesComputerName.exe, tcpsvcs.exe, uninstall.exe, update.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmgmt.exe, wmiadap.exe, _ins*._mp
要阻止的文件或文件夹名:C:\Windows\System32\Drivers\etc\hosts
要阻止的注册表操作:创建、写入、删除
----------------------------------
要保护的注册表项目或注册表值:
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**
HKCCS/Services/netbt/**
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、删除
---------------------------------
要保护的注册表项目或注册表值:
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入、删除
----------------------------------------
意图:修改网络设置是一种常见的策略用来重定向流量和网络活动或数据传输。此规则可以保护进程不被排除在清单中列出修改了系统的网络设置。它的目的是对分层服务提供者喜欢你的保护,可以发送通过捕获网络流量并把它发送到第三方网站浏览行为的数据。像广告软件程序,软件和广告软件的CommonName - NDotNet到这个层次服务提供者类别。
风险:如果你有合法的程序,需要更改网络设置,确保它们在规则中列出的排除列表或禁用该规则,而更改。
规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要阻止的文件或文件夹名:**temp**
要禁止的文件操作:执行
---------------------------
意图:此规则禁止在网页上运行的电子邮件附件和可执行文件。它的目的是阻止安装从浏览器或电子邮件客户端软件的应用,它是在停止电子邮件蠕虫有效。它可以监视您的浏览器和电子邮件客户端,并禁止运行的软件,从他们的Temp目录。这将停止大部分广告软件,间谍软件,木马和病毒利用电子邮件或浏览器链接到可执行文件安装。乖巧安装不经常使用的系统Temp目录来存放安装,但是,自定义或第三方应用程序可能会从安装启用后,这条规则是可以避免的。
风险:如果您需要安装一个应用程序使用的Temp文件夹,请确保安装过程是在排除列表中。
规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
------------------------------
意图:当“防止终止McAfee的过程”规则已启用,将防止任何的VSE非McAfee进程和那些专门从终止进程或服务排除在外。这保护受到了这一要求,以规避杀害了他们的病毒防护程序进程的恶意程序禁用VirusScan的进程。
如果是这样的设置,则没有人(除了排除的过程)可以终止了McAfee进程使用任务管理器等(“终止”是指迫使进程结束现在。受害人进程在这个问题上没有发言权)。
风险:如果这个规则被启用,手工方法来更新的VSE DAT文件将无法工作。。在与更新的ePO任务使用推荐的方法将继续使用此功能规则启用。
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tbmon.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要阻止的文件或文件夹名:**\startup\**.exe, **\startup\**.bat, **\startup\**.scr, **\startup\**.hta, **\startup\**.pif,
**\startup\**.com
要禁止的文件操作:执行、创建、写入、删除
--------------------------------------------
要保护的注册表项目或注册表值:
HKULM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon:Shell
HKULM/Software/Microsoft/Windows NT/CurrentVersion/Windows:Load
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows:AppInit_Dlls
HKULM/Software/Microsoft/Windows/CurrentVersion/Run/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnce/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServices/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/**
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/*
要保护的注册表项或注册表值:项
要阻止的注册表操作:创建、写入
-------------------------------------
意图:大多数广告软件,间谍软件,木马和病毒试图在这样一个登记,他们喝醉了每次系统启动时间的方法本身。此规则的目的是,禁止未经登记的,从每一个进程重新启动执行排除列表中的任何进程。
风险:合法的应用程序也可能这样做,这些应该被列在列表或安装之前排除此规则已启用。
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:HKCCS/Services/**
------------------------------------
注册表排除:
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**
---------------------------------------
意图:此规则保护的注册表项和目录,病毒,间谍软件等,可以使用一个用户登录时加载或重新启动计算机时。它可以防止任何由进程不排除清单中列出的新服务的安装。这是应用程序,如键盘记录程序的共同做法,分层服务提供者如广告软件,SAHAgent。这也提供了一些针对新的内核模式rootkit安装有限的保护。
风险:启用此规则也阻止自己的合法注册为服务设施。它也可能阻止新的硬件设备驱动程序的安装。 McAfee建议你要么安装该应用程序之前设置此规则来阻止或列出在安装过程中的例外清单。
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, TBMon.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要阻止的文件或文件夹名:C:\Windows\**.exe, C:\Windows\**.dll
要禁止的文件操作:创建
------------------------------
一个广告软件,间谍软件,木马和病毒,常见的手法是把隐藏在Windows目录中的文件。你应该补充的进程有合法需要放置在Windows目录中的文件列表中的例外。此规则将阻止可执行文件到Windows文件夹增加。
意图:病毒和木马常常自我复制到Windows目录,希望隐藏在文件列表中的名字真怪那里。这些规则防止文件被任何进程创建的,不只是来自全国各地的网络。这条规则可以防止的。EXE创造和。在Windows目录中的DLL文件。
风险:这些规则将禁用许多软件的安装程序。
规则名称:禁止在 Program Files* 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
我的排除:*\Program Files*\McAfee\Common Framework\FrameworkService.exe
要阻止的文件或文件夹名:C:\Program Files\**.exe, C:\Program Files\**.dll
要禁止的文件操作:创建
-----------------------------
意图:此规则阻止的EXE和DLL文件,广告软件和间谍软件安装在Program Files目录中创建新的可执行文件。。。它可以阻止新的软件安装,如果不是从一开始排除进程。
风险:McAfee建议你要么安装应用程序之前,启用此规则,或放置在排除列表中的阻塞的进程。
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:iexplore.exe
要排除的进程:无
要阻止的文件或文件夹名:**\Downloaded Program Files\**(猜测)
要禁止的文件操作:执行
--------------------------------
一种常见的广告软件和间谍软件分发方法是让用户下载一个可执行文件并运行它会自动从下载的程序文件夹。此规则是特定于Microsoft Internet Explorer和阻止通过Web浏览器软件的安装。这也可能阻止正版软件安装,因此无论是安装前启用此规则的应用程序或安装过程中添加到排除列表。
意图:Internet Explorer中运行的Downloaded Program Files目录的代码,尤其是ActiveX控件。在Internet Explorer和病毒的一些漏洞放到这个目录中的一个。EXE文件并运行它。例如,http://vil.nai.com/vil/content/v_101031.htm。此规则关闭该攻击。
风险:下载的程序文件是比温度更合理,所以这个规则可以禁用非恶意的应用程序。本规则禁用两个已知的方案是微软的传输管理器(transfermgr.exe)和苹果QuickTime的安装程序(QuickTimeInstaller.exe)。您可以允许他们加入的进程排除列表这些功能。
规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
要阻止的端口:21/20
方向:出站
------------------------------
此规则的目的是阻止不排除清单中列出的任何进程的FTP(端口21)流量。 FTP通信是经常使用的广告软件,间谍软件,木马和病毒的接收或传输数据。它有时也用于缓冲区溢出漏洞来获取额外的组件。然而,许多第三方应用程序有合法需要使用FTP流量,因此,他们需要在排除列表中。
意向:病毒和木马可能会试图下载恶意代码,间谍软件可能会试图上传个人信息和广告软件可能会试图下载广告。这些规则,防止什么,但通过FTP从沟通的授权过程。
风险:FTP是一种广泛使用的协议。如果这个规则是在FTP服务器上启用,它就会停止工作,直到服务器进程将被添加到排除列表。虽然我们投入的例外清单流行的FTP客户端,有可能是可以增加您的特定环境进行了许多方案。
规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
要阻止的端口:80/443
方向:出站
--------------------------------
许多间谍软件,广告软件和木马程序使用端口80用于软件下载,捆绑组件或更新。此规则将阻止通过端口80通信的任何服务(使用Svchost.exe的)。这将阻止间谍软件和广告软件共同执行机制。某些服务器软件使用端口80,虽然这不是在台式机普遍。
这条规则将阻止不排除清单中的所有HTTP通信的进程。如FTP流量,HTTP流量是被许多应用程序检索或传输数据。间谍软件,广告软件和木马也普遍使用的第三方组件或更新软件下载HTTP通信。也有许多的进程进行通信通过HTTP正当理由。许多应用程序使用登记或自我更新的过程,通过HTTP进行通信。如果没有进程被排除在名单中列出,交通将被封锁,因此,McAfee强烈建议启用此规则之前彻底测试和审查周期。
意图:许多木马下载脚本或由木马的作者控制的其他网站木马。例如,http://vil.nai.com/vil/content/v_100487.htm。通过阻止这种沟通,即使系统成为一个新的未知木马病毒感染,将无法下载更多的恶意代码。
风险:HTTP是一个很广泛使用的协议。虽然我们已在排除清单流行的Web浏览器,可能有很多程序,你可能需要添加根据您的特定环境。
《虚拟机保护》
规则名称:防止终止 VMWare 进程
要包含的进程:*
要排除的进程:**/system32/csrss.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe,
VMUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe
--------------------------------------
意图:当“VMware的预防终止进程”启用规则,特别是从预防的VSE将终止进程或服务排除在外,除了VMware的进程和这些进程。这种不受保护的VMware寻求规避杀害了他们的病毒防护程序进程的恶意程序禁用进程。
如果这个规则设置,没有人(除了排除的过程)可以终止进程的VMware使用任务管理器等(“终止”是指迫使进程结束现在。受害人进程在这个问题上没有发言权)。
风险:使此规则没有缺点,因为它只是阻止从VMware的进程或终止服务流程。
规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, FireSvc.exe, ikernel.exe, InsFireTdi.exe, McAfeeHIP_Clie*, msi*.tmp, msiexec.exe, NdisInstall.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, Setup_SAE.exe, svchost.exe, uninstall.exe, update.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe, VMUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe, WMIADAP.EXE, _ins*._mp
----------------------------------------
意图:此规则可以防止恶意代码修改或者删除注册表值VMware工作站和进程。
风险:这条规则,保护针对VMware的工作站产品的未在排除清单中列出的任何修改。
规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程::???setup.exe, ??setup.exe, ?setup.exe, FireSvc.exe, ikernel.exe, InsFireTdi.exe, McAfeeHIP_Clie*, msi*.tmp, msiexec.exe, NdisInstall.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, Setup_SAE.exe, svchost.exe, uninstall.exe, update.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe, MUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe, WMIADAP.EXE, _ins*._mp
-----------------------------------
意图:此规则可以防止恶意代码修改或者删除注册表值和VMware Server的进程。
风险:这条规则,保护针对VMware的服务器产品的未在排除清单中列出的任何修改。
规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:FireSvc.exe, NdisInstall.exe, svchost.exe, vmnat.exe, vmnetdhcp.exe, vmount2.exe, vmplayer.exe, vmserverdWin32.exe, VMUpgradeHelper.exe, vmware-authd.exe, vmware-tray.exe, vmware-ufad.exe, vmware-vmx.exe, vmware.exe, vmwaretray.exe, vmwareuser.exe, vnetlib64.exe
---------------------------------
意图:此规则可以防止恶意代码修改或删除VMware虚拟机文件。
风险:这条规则,保护VMware虚拟机文件的未在排除清单中列出的所有过程不被修改。
===============================================================================
注释:
1、排除从8.8默认规则复制粘贴而来。
2、阻止、操作大部分引自熊猫版主规则详解,小部分自己理解。
3、规则解释出自官方白皮书,逐条谷歌在线翻译,自己做了部分语言润色。
|