查看: 14270|回复: 28
收起左侧

[技术原创] McAfee 8.8端口规则语法实验报告

[复制链接]
墨池
发表于 2011-5-7 18:02:45 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2011-5-7 21:38 编辑

            近日,bighead会员对墨池规则语法提出一些商榷,特别是端口规则语法问题。故又对端口规则语法进行实验,报告如下:

一、实验平台:Windows Server 2008 R2。

二、网络类型:中国电信3G无线网、家庭局域网

三、实验项目:端口规则通配符语法支持、System与长文件名BUG。

四、实验程序:

C+WClient.exe(中国电信3G无线网登陆程序)、svchost.exe、iexplore.exe、McScript_InUse.exe(McAfee升级程序)

五、实验规则:

  规则名称:禁止未知程序访问端口(出站)
  要包含的进程:*.*
  要排除的进程:实验调整
  要阻止的端口:1-65535
  方向:出站

五、实验过程:

    (一)关于C+WClient.exe、svchost.exe 、iexplore.exe

          1、排除*\Program Files\**\*.*,IE联网成功。没有日志。规则失效;

          2、排除**\Program Files\**\*.*,IE联网成功。没有日志。规则失效;

          2、排除*\**\Program Files\**\*.*,IE联网成功。没有日志。规则失效;

          4、排除*Program Files\**、**\Program Files\**和*\**\Program Files\**,结果同上;

          4、排除C:\Program Files\**\*.*,IE联网失败。svchost.exe被规则阻挡。规则有效,svchost.exe没有排除;

2011/5/7 15:30:34 被端口阻挡规则阻挡  C:\Windows\system32\svchost.exe 用户定义的规则:禁止非指定程序访问端
口_出站 219.141.140.10:53
2011/5/7 15:31:36 被端口阻挡规则阻挡  C:\Windows\system32\svchost.exe 用户定义的规则:禁止非指定程序访问端

口_出站 224.0.0.252:5355

          5、排除C:\Program Files\**\*.*, C:\WINDOWS\system32\svchost.exe,IE联网失败。svchost.exe被规则阻挡。规则有效,svchost.exe的绝对路径排除无效;

2011/5/7 15:34:43 被端口阻挡规则阻挡  C:\Windows\system32\svchost.exe 用户定义的规则:禁止非指定程序访问端
口_出站 219.141.136.10:53

          6、排除C:\Program Files\**\*.*, C:\WINDOWS\**\*.*,IE联网失败。svchost.exe被规则阻挡。规则有效,svchost.exe的后通配符排除无效;

2011/5/7 15:38:25 被端口阻挡规则阻挡  C:\Windows\system32\svchost.exe 用户定义的规则:禁止非指定程序访问端
口_出站 219.141.136.10:53

          7、排除C:\Program Files\**\*.*, svchost.exe,IE联网失败。C+WClient.exe被规则阻挡。规则有效,C+WClient.exe的后通配符排除无效;

2011/5/7 15:40:50 被端口阻挡规则阻挡  C:\Program Files\Chinatelecom C+W\C+WClient.exe 用户定义的规则:禁止
非指定程序访问端口_出站 118.85.192.4:80

          8、排除C:\Program Files\Chinatelecom C+W\C+WClient.exe, svchost.exe,IE联网失败。C+WClient.exe被规则阻挡。规则有效,C+WClient.exe的绝对路径排除无效;

2011/5/7 15:45:18 被端口阻挡规则阻挡  C:\Program Files\Chinatelecom C+W\C+WClient.exe 用户定义的规则:禁止
非指定程序访问端口_出站 118.85.192.4:80

          9、排除C+WClient.exe, svchost.exe,IE联网失败。iexplore.exe被规则阻挡。规则有效,iexplore.exe没有排除。

C:\Program Files (x86)\Internet Explorer\iexplore.exe 用户定义的规则:禁止非指定程序访问端口_出站 119.75.218.45:80

          10、排除C+WClient.exe, svchost.exe,iexplore.exe,IE联网成功。FireSvc.exe被规则阻挡,证明规则有效。

2011/5/7 15:50:13 被端口阻挡规则阻挡  C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe 用户
定义的规则:禁止非指定程序访问端口_出站 161.69.169.6:443

          11、为了保险,又在局域网下做了实验,结论相同。

          12、把包含的进程改为*进行实验,结论亦同,但System还是无法排除。

2011/5/7 16:14:49 被端口阻挡规则阻挡  System 用户定义的规则:禁止非指定程序访问端口_出站
192.168.0.255:137

    小结:McAfee 8.8端口规则
          1、通配符路径排除会导致规则失效;
          2、绝对路径排除无效;
          3、只有单程序进程排除有效。
          4、包含的进程改为*时,System依然不能排除的BUG依然如故,故依然只能以*.*作为权宜之计。
   
    (二)关于McScript_InUse.exe(长文件名)

          1、排除C+WClient.exe, svchost.exe,咖啡不能手动升级;

2011/5/7 16:33:51 被端口阻挡规则阻挡  C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe
用户定义的规则:禁止非指定程序访问端口_出站 208.69.153.147:443

          2、排除C+WClient.exe, svchost.exe, McScript_InUse.exe,咖啡顺利手动升级,IE不能链接,证明规则有效;

2011/5/7 16:37:00 被端口阻挡规则阻挡  C:\Program Files (x86)\Internet Explorer\iexplore.exe 用户定义的规
则:禁止非指定程序访问端口_出站 119.75.218.45:80

          3、在局域网下试验,结果一样。

          4、包含的进程改为*结果也一样,System依然不能排除。

2011/5/7 16:58:59 被端口阻挡规则阻挡  System 用户定义的规则:禁止非指定程序访问端口_出站
192.168.0.255:137

    小结:
          McAffee 8.8已经解决不支持长文件名的BUG。为了进一步证实,在XP下试了,结论相同。回想一下,其实这个问题其实早就解决了,我的规则中有KSWebShield.exe长文件名的排除,一直没有问题,只是一直没有注意而已。
         
六、实验结论:

     1、通配符路径排除:会导致规则失效;
    2、绝对路径排除:规则有效,但排除无效;
    3、只有单程序进程排除完全有效;
    4、已经完全支持长文件名排除;
    5、包含的进程改为*时,System依然不能排除。



评分

参与人数 1经验 +50 魅力 +1 收起 理由
大猫熊 + 50 + 1 原创内容:)

查看全部评分

xyq.dell.com
发表于 2011-5-7 19:36:45 | 显示全部楼层
这个费心了。
jone_jys
头像被屏蔽
发表于 2011-5-7 20:24:52 | 显示全部楼层
顶楼主。。。
jone_jys
头像被屏蔽
发表于 2011-5-7 20:26:04 | 显示全部楼层
另外,我想知道:8.8在最初貌似不支持长文件名排除的,现在为何解决了?没有出现新的PATCH啊,而每次更新只是病毒库而已吧。。。
墨池
 楼主| 发表于 2011-5-7 20:26:48 | 显示全部楼层
xyq.dell.com 发表于 2011-5-7 19:36
这个费心了。

其实原来编规则时就明白了,可惜没有记录结果,也没有过于在意,这次重新来一遍,还真费事,不过还是有收获,确定了一些事情。感谢支持哈!
墨池
 楼主| 发表于 2011-5-7 20:46:59 | 显示全部楼层
jone_jys 发表于 2011-5-7 20:26
另外,我想知道:8.8在最初貌似不支持长文件名排除的,现在为何解决了?没有出现新的PATCH啊,而每次更新只 ...

具体时间我也不知道,最初排除很麻烦,所以就把长文件名去掉一部分用*代替。这次发现不成问题了,才回过头看自己的墨池正式版规则中就有长文件名,当时应该是疏忽,却误打误撞没出问题。努力回忆一下,应该不会晚于4月中旬。应该是在更新中修复的,不过我用超级病毒库更新过,其中含有最新引擎之类,所以无法准确知道了。不过可以全新安装一遍试试,再更新试试,应该可以试出来。我装的是P6还是P7也忘了。
xjchris
发表于 2011-5-7 23:15:18 | 显示全部楼层
很有用,一定要收藏了。
墨池
 楼主| 发表于 2011-5-9 07:20:19 | 显示全部楼层
xjchris 发表于 2011-5-7 23:15
很有用,一定要收藏了。

感谢支持!
bighead
发表于 2011-5-9 09:27:06 | 显示全部楼层
          2、排除*\**\Program Files\**\*.*,IE联网成功。没有日志。规则失效;

          4、排除*Program Files\**、**\Program Files\**和*\**\Program Files\**,结果同上;

原来*\**\Program Files*\**在端口规则下排除也会失效啊?也就是说*\**\Program Files*\**只在文件夹规则下排除才会有效是吧?
唉,现在bug真多,不知道P1什么时候才能出来啊
墨池
 楼主| 发表于 2011-5-9 20:40:20 | 显示全部楼层
回复 9楼 bighead 的帖子

是的,我反复试过。所以邪版的端口规则是无效的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 00:54 , Processed in 0.131279 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表