McAfee VSE 规则 注册表文件查看器

jone_jys

busihou 发表于 2011-7-10 18:07
编辑的话逆转,要考虑太多的问题,现在通配符官方都没解释清楚,错一个二进制符号的话,VSE就会罢工,不往编辑 ...

你好！想在默认规则里面手动新增一些排除，有办法吗？如何实现呢？

Description "Prevent svchost executing non-Windows executables"
防止svchost执行任何非windows可执行程序
监视进程:svchost.exe
文件类型（执行）: 所有文件
排除文件:所有exe文件，windows目录以及所有子目录下的文件

“防止svchost执行任何非windows可执行程序”这条默认规则里面，默认排除了所有EXE文件，windows目录及子目录下的文件，可以再新增一些排除么？ 因为我的CAD开启时总是触犯这条规则。。。

2011/7/29        22:47:19        将由访问保护规则 (当前不强制执行规则) 禁止         lisa-PC\lisa        C:\Windows\System32\svchost.exe        C:\Program Files\Autodesk\ACADM 2010\acad.exe.config        防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件        已阻止的操作: 执行

2011/7/29        22:12:46        将由访问保护规则 (当前不强制执行规则) 禁止         lisa-PC\lisa        C:\Windows\System32\svchost.exe        C:\Program Files\Autodesk\Inventor 2010\bin\Inventor.exe.config        防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件        已阻止的操作: 执行

我想把acad.exe.config和Inventor.exe.config排除到默认的进程里面，有办法实现么？

大猫熊

jone_jys 发表于 2011-7-29 23:02
你好！想在默认规则里面手动新增一些排除，有办法吗？如何实现呢？

这条规则没得排除。。。。只有直接禁用。。。。

jone_jys

alexyangjie 发表于 2011-7-29 23:39
这条规则没得排除。。。。只有直接禁用。。。。

恩 因为一直找不到这条规则默认排除进程的位置。
通过官方文档得知这条规则默认是排除了所有EXE文件，已经系统目录下所有的文件，而触犯规则的进程也有在软件安装目录下的软件（Program Files)...

这条默认规则比较鸡肋。。。

busihou

jone_jys 发表于 2011-7-29 23:02
你好！想在默认规则里面手动新增一些排除，有办法吗？如何实现呢？

是问我吗?
此工具不能修改.

jone_jys

busihou 发表于 2011-7-30 06:35
是问我吗?
此工具不能修改.

恩，我知道此工具只能查看，有没有办法通过修改注册表来实现呢？比如像个人版添加排除一样，，，

busihou

jone_jys 发表于 2011-7-30 07:48
恩，我知道此工具只能查看，有没有办法通过修改注册表来实现呢？比如像个人版添加排除一样，，，

我没有用过个人版的工具
估计和企业版一样通过添加 修改 册除 注册表项来实现,每个排除路径有不同的项
规则在注册表中保存的形式可不同,是以二进制数据保存的,这样保存的方式有个好处,不限制数据大小.
但是在MCAFEE规则中每条规则中都有字符限制,不知限制值多少,包涵 排除 路径字符数是不是一样
还有规则中排序,那一条在前那一个在后.详细规则中创建 删除 读 写的值放前放后(其他不例明),这些都不得而知.
不管多一个少一个错一个二进制字符都会引起错误,使规则失效.导入MCAFEE不会提示规则失效.抱着负责任的态度,程序不会往那边发展.比如修改路径 删除那一条规则,到是可以实现,因为所在的位置MACFEE以经固定好了

xinan8801

好工具啊··收藏·

墨池

继续支持！

busihou

墨池 发表于 2011-8-6 00:41
继续支持！

谢谢支持!!!!