邪版+墨池+猫版——McAfee 8.8 墨池封笔镇版规则

显示全部楼层 · 发表于 2011-8-7 22:00:50

54953 发表于 2011-8-7 15:06
墨池兄辛苦啦我试试

感谢实践！可以参考我的“进阶教程”加以改进！

显示全部楼层 · 发表于 2011-8-7 22:43:52

墨池发表于 2011-8-7 21:59
07 规则名称：全局禁止执行_软件组
要包含的进程：*\Program Files*\**
要阻止的文件或文件夹名：**

这样的话，如果其他位置有软件或程序的话，就不受这条规则约束了，也谈不上全局了。我这样理解对吗？

显示全部楼层 · 发表于 2011-8-8 19:17:17

本帖最后由墨池于 2011-8-8 19:19 编辑

solid_van 发表于 2011-8-7 22:43
这样的话，如果其他位置有软件或程序的话，就不受这条规则约束了，也谈不上全局了。我这样理解对吗？

这个本来就不是全局规则

规则名称：全局禁止某某
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**

这样写才是真正的全局规则。

显示全部楼层 · 发表于 2011-8-13 20:56:28

哈哈，太爽了，我喜欢

显示全部楼层 · 发表于 2011-8-13 20:59:36

ghost2008 发表于 2011-8-13 20:56
哈哈，太爽了，我喜欢

邪邪支持！

显示全部楼层 · 发表于 2011-8-29 00:02:14

2011-8-28 0:17:26 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\usp10.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:26 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:27 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:27 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\WindowsShell.Manifest 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:27 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\comctl32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:27 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\wintrust.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:27 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\crypt32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:27 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\msasn1.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:36 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\msrating.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:38 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\svgasys.fon 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:38 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\Program Files\EgisTec BioExcess\EgisIEPwdBank.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:38 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\WinSxS\x86_Microsoft.VC90.CRT_1fc8b3b9a1e18e3b_9.0.30729.4148_x-ww_d495ac4e\msvcr90.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:38 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\WindowsShell.Manifest 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:41 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\system32\iepeers.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:54 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\arial.ttf 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:17:56 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\svgasys.fon 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:00 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\MSYHBD.TTF 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:00 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\segoeui.ttf 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:25 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\MSYHBD.TTF 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:34 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\arial.ttf 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:37 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\segoeui.ttf 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:37 将由访问保护规则 (当前不强制执行规则) 禁止 BAOSIGHT-SRZHWX\Zhwx C:\Program Files\Internet Explorer\iexplore.exe C:\WINDOWS\Fonts\micross.ttf 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELHelper.exe C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\setupapi.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\imm32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\lpk.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\usp10.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\WinSxS\x86_Microsoft.Windows.Common-Controls_6595b64144ccf1df_6.0.2600.6028_x-ww_61e65202\comctl32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\WindowsShell.Manifest 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\comctl32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\wintrust.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\crypt32.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行
2011-8-28 0:18:56 将由访问保护规则 (当前不强制执行规则) 禁止 NT AUTHORITY\SYSTEM C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe C:\WINDOWS\system32\msasn1.dll 用户定义的规则:全局禁止执行_软件组已阻止的操作: 执行

显示全部楼层 · 发表于 2011-8-29 00:05:46

在用户自定义全局禁止排除增加
*\**\Program Files\Lenovo\**\*.*
可以排除上楼的联想驱动吗？
新手，加上这个排除，还是一直报楼上所示日志

显示全部楼层 · 发表于 2011-8-29 00:09:23

2011-8-28 1:16:02 被端口阻挡规则阻挡 C:\WINDOWS\system32\inetsrv\inetinfo.exe 用户定义的规则:全局控制网络端口连接 127.0.0.1:3456
2011-8-28 11:35:22 被端口阻挡规则阻挡 C:\Program Files\SIEMENS\Common\ACE\bin\CCAgent.exe 用户定义的规则:全局控制网络端口连接 234.5.6.7:8910

在全局控制网络端口连接排除中增加了 inetinfo.exe 和 CCAgent.exe 还是一种报这个

这个应该怎么排除啊？

显示全部楼层 · 发表于 2011-8-29 00:12:08

还有一个问题：用户自定义规则阻止和报告都没打勾，怎么日志还会报啊？
补充：用的是封笔镇版 XP
谢谢

显示全部楼层 · 发表于 2011-8-29 00:56:03

yishe133 发表于 2011-8-29 00:05
在用户自定义全局禁止排除增加
*\**\Program Files\Lenovo\**\*.*
可以排除上楼的联想驱动吗？

你的可以，最好排除C:\Program Files\Lenovo\Data Exchange Lock\DELBlueTooth.exe

[技术原创] 邪版+墨池+猫版——McAfee 8.8 墨池封笔镇版规则