咖啡区_企业资源综合

                                            欢迎～您来到咖啡区

        



                                                    一楼——版区条例


                                                    二楼——资源大纲


                                                    三楼——学习资源


                                                    四楼——规则语法


                                                    五楼——使用疑难（1、安装提示；2、规则导入/出；3、排除添加；4、排除常见问题：1>清空日志、2>右键扫描『月神』灵敏度调节、3>特定排除相关、4>非补丁版本规则，导入补丁版本时注意）

1、咖啡资源

   咖啡的味道  点击

   企业版历史  点击

   McAfee 8.8 User Product Guide  点击  （中文版：点击）

   Access Protection Rules（官方规则白皮书）  点击


   下载资源

   VSE（VirusScan Enterprise）

    8.8：集成P2   P2    Hotfix-793781
           集成P1   P1   Hotfix 735512
           原版   Hotfix-660014   Hotfix-625756

    8.7： P5集成

   Agent    4.6-p2    4.6-p1   4.6   4.5P3

   HIP（Host Intrusion Prevention）

    8.0：集成P2   P2
           集成P1   P1
           原版
    7.0： EN   简体


   相关工具

    MVT  点击   Remove Tool  点击   Stinger  点击   GetSusp  点击


   相关资源

    DAT（毒库离线下载）  点击   DAT Release Notes（病毒库的更新信息）  点击

    Beta .DAT（拥有更高的查杀）  点击


##注意：以上资源仅供学习交流使用，不得以任何形式传播/用于商业目的，请于下载后24小时内删除！



2、规则下载资源


  I、曾今的经典     邪版-通用加强规则经典版  点击

  II、规则始伊       墨池-和我一起品咖啡  点击

  III、最后的规则   ???

  IV、其他

      熊猫-McAfee企业版8.8规则    点击

      墨池-卧龙规则   点击
      墨池-咖啡豆搭配技巧与规则设置  点击
      墨池-咖啡+毛豆规则  点击
      墨池-(伪)封笔规则  点击
      墨池-通用规则  点击
      墨池-加强规则  点击

      jxfaiu-Mcafee8.8XP系统规则精巧控制版的编写历程  点击

      叶知-叶版规则系列（历史）


   V、过往规则

      深红的雪- 咖啡防入口通用型规则  点击
      深红的雪-咖啡8.5防病毒规则  点击
      邪版-mcafee8.5i基础版规则  点击



3、HIP—McAfee Host Intrusion Prevention 相关资源

   被忽视的防护王者  点击

   安装须知和使用初步  点击

   8.0 最新默认防护规则解析  点击

   8.0 设置工具  点击

   7.0 设置工具  点击



4、其他资源

  规则编辑查看器  点击


（附，其他问题，参看：常见问题解答  点击 ）

零、规则编辑教程

《访问保护规则原理》

《访问保护规则语法》



一、基础学习资源


  I、规则语法  点击

  II、默认规则详解  点击



二、高级学习教程


  I、规则高阶教程

     第一期：开篇语  第二期：规则大纲  第三期：组件大纲  第四期：编辑大纲   第五期：引理大纲   第六期：规则杂刊


  II、规则编辑相关

    1、咖啡规则设置技巧  点击

    2、分期防护、权组分明-进阶教程  点击

    3、权限规则与Win7纯净系统排除  点击



三、借鉴资料

    1、叶知-咖啡企业文献合辑  点击

    2、墨池文献  点击





规则实验报告


  一、规则语法报告

     I、规则语法-实验报告（内容： “**” 与 “**\B\**” 的对比） 点击

     II、8.8端口规则语法实验报告（内容：端口语法）  点击

     III、排除的路径语法-实验报告（内容：排除路径中使用 “*”对路径的影响）  点击

     IV、McAfee企业规则，注册表语法报告：点击

     V、规则语法实验报告～文件操作语法：点击

     VI、规则语法-文件操作补记：读取、执行：   点击


  二、规则病毒实验报告

     I、规则_病毒双击测试（内容：病毒双击测试）  点击

     II、病毒试样分析——纠结的咖啡（内容：病毒双击测试，反映规则的弊端）  点击

     II、一个实验引发的问题（内容：病毒双击测试，反映规则的强力）  点击


  三、其他

     I、“读写权限”与“读写保护”两类规则防护效果（内容：如题）  点击

     II、咖啡与毛豆-文件拦截速度实验（内容：如题）  点击

     III、文件规则与进程规则的比较和应用（内容：如题）  点击

     IV、咖啡规则与杀毒实验报告（内容：咖啡-规则组件对杀毒组件的影响）  点击

     V、【咖啡杀毒与规则实验报告】（第二期）（内容：杀毒模块对规则的影响及其自身）   点击

一、部分规则语法

I、要包含的进程语法：

1、*\WINDOWS\**，C:\Windows\**有效

2、文件名有效，路径有效


II、要排除的进程语法：

1、**\jdsfug等同于**

2、类似『C:\Windows\SERVIC~2\NETWOR~1\AppData\Local\Temp\mpam-eefc34b1.exe』的日志触犯进程路径，排除需用完整的路径：C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\mpam-eefc34b1.exe


III、要阻止的文件或文件夹名语法：

1、（根目录C:\为第一层）
\b.exe 第一层
\*\*\b.exe  第三层的“b.exe”文件
b.exe  为第一层及以后
C:\A\B\* 仅文件夹B内根目录下的文件（不包含文件夹）

2、路径前不能为“*”


IV、其他

1、McAfee 8.8端口规则

          1、通配符路径排除会导致规则失效；
          2、绝对路径排除无效；
          3、只有单程序进程排除有效。
          4、包含的进程改为*时，System依然不能排除的BUG依然如故，故依然只能以*.*作为权宜之计

2、通配符

    *：表示所有进程。

    **：表示所有进程。

    *.*：表示所有带后缀的进程（解决Sestem进程无法排出的问题）。

　　说明：经实践，以上语法在8.7i中同样有效。

3、程序路径

    文件名路径：svchost.exe
   
    完整路径：C:\Windows\system32\svchost.exe

    相对路径：*\Windows\system32\svchost.exe
                   C:\Windows\*\svchost.exe
                   C:\Windows\**\svchost.exe
                   C:\**\svchost.exe
                   *\**\system32\svchost.exe


V、其他语法

1、文件规则，详细语法

2、注册表规则，详细语法

##参看，【上一楼】的“一、规则语法报告”


二、BUG

I、8.7-P5 含有的BUG：

1、要阻止的文件或文件夹名，中，不能含有『*\sdgsg\**』与『*\dfgfas\sddfa.exe』的路径

即：路径的头不能仅为“*” （可以为“**”或单独为“*”）

或，以下规则无效

规则名称：0
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：*\Windows\**
要禁止的文件操作：读取 创建 写入 删除 执行


2、多个文件层含有单个“*”的路径，排除无效（该部分，不全面；更详细内容：点击）

——即：类似“C:\Users\story\Desktop\*aetef\*sagrga\kill.exe”的排除无效

3、端口规则的路径排除，无效

——即：类似“C:\Program Files\Internet Explorer\iexplore.exe”的排除无效

---

II、8.8-P2已解决8.8的BUG

1、?:\hh\*，无效

---

III、8.8-P1已解决8.8的BUG

1、文件规则，无法使用“System”

2、支持在“要包含的进程”添加具体路径（如：C:\Users\story\Desktop\**;而这8.8不支持～）

---

IV、其他

1、共同BUG

——多个文件层含有单个“*”的路径，排除无效；即：类似“C:\Users\story\Desktop\*aetef\*sagrga\kill.exe”的排除无效

2、那个防止注入的规则，不能拦截ZeroAccess病毒攻击

3、端口规则，支持模糊路径排除：如“*\Program Files\Internet Explorer\iexplore.exe”(所有版本，支持)

I、如何使用咖啡企业

  1、下载安装包

  2、双击解压后的setupvse.exe ，并按照相关提示操作



II、导入/出规则

  1、下载版区相应的规则包（注意系统版本和咖啡企业版本）

  2、关闭“访问保护”
  

  



  3、双击注册表规则

  4、导出规则

      运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置：

         XP及更高版本32位：[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
         64位：[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]




III、添加排除

  1、打开日志
  
  

  2、在日志中找到相应信息
  

  3、添加排除
  
  

   注意：两个进程间，用『,』隔开（是英文输入状态下的“,”）

---

排除常见问题

一、所有日志中拦截排除后，仍不能正常运行

    1、清空日志
  
  
  
  

    2、多次重复运行，直到日志出现相关拦截

    3、排除

    4、如果问题任不能解决，参看所有规则，是否都划上了日子“报告”，而后重复以上步骤
  

    5、如果，仍不行，关闭访问保护，而后运行软件（等10秒），确认是否正常



二、右键扫描『月神』灵敏度调节

  




三、特定排除相关


1、『防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件』的排除问题

    因为该规则是用于阻止加载非Windows文件夹外的文件，即保证系统主进程Svchost 不会发生“被越权”行为‘

   建议：如果开启该规则，不添加任何排除，且无视任何拦截日志，当然可以取消日志报告； 如果，关闭该规则，那就彻底无视吧


2、非补丁版本规则，导入补丁版本时注意：

——在

XP及更高版本32位：[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
         64位：[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]

中的“ProductID”，将“VIRUSCAN8800”，改为“VIRUSCAN8800_SANITIZE”