mcafee报-请墨池大神阅。

显示全部楼层 · 发表于 2012-4-9 21:53:37

墨池大神，请看看这个，谢谢。
那是mcafee的报告，有些东西很难排除。

显示全部楼层 · 发表于 2012-4-9 22:24:14

2012/4/6 23:05:47 已由访问保护规则禁止 liumin-PC\liumin C:\Program Files\VMware\VMware Workstation\vmware.exe \REGISTRY\MACHINE\SYSTEM\CurrentControlSet\Services\SharedAccess\Epoch 通用最大保护:禁止将程序注册为服务已阻止的操作: 创建
在通用“最大保护:禁止将程序注册为服务”中排除C:\Program Files\VMware\VMware Workstation\vmware.exe或vmware.exe

2012/4/6 23:05:47 已由访问保护规则禁止 NT AUTHORITY\LOCAL SERVICE C:\Windows\system32\svchost.exe C:\Program Files\Internet Explorer\ieproxy.dll 防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件已阻止的操作: 执行
这条规则，要么不勾选报告，要么不启用这条规则。

2012/4/9 20:34:26 已由访问保护规则禁止 liumin-PC\liumin C:\Users\liumin\AppData\Local\Temp\ThunderLiveUD\CopyFile\3.5.1.17\ThunderLiveUD.exe \REGISTRY\USER\S-1-5-21-2804938537-2995426552-1276416015-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\5.0\Cache\Content 用户定义的规则:全局注册表保护＿项已阻止的操作: 写入
这个是迅雷要升级，允许的话，排除C:\Users\liumin\AppData\Local\Temp\ThunderLiveUD\CopyFile\3.5.1.17\ThunderLiveUD.exe或ThunderLiveUD.exe（项和值两条都要排除）。我的做法是不排除，需要升级是自己手动。

2012/4/9 20:34:26 已由访问保护规则禁止 liumin-PC\liumin C:\Users\liumin\AppData\Local\Temp\ThunderLiveUD\CopyFile\3.5.1.17\ThunderLiveUD.exe C:\Users\liumin\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\index.dat 防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击已阻止的操作: 读取
同上。另：我非常不喜欢某些软件的这个动作，index.dat是上网的所有记录，属于个人隐私，普通应用软件读取这个文件基本上属于流氓行为。

2012/4/9 20:34:30 已由访问保护规则禁止 liumin-PC\liumin C:\Users\liumin\AppData\Local\Temp\ThunderLiveUD\packet\0BDBF842EC306D09CA516AA674B13C36\KB2012033101.exe C:\Windows\System32\sechost.dll 防病毒爆发控制:阻止对所有共享资源的读写访问已阻止的操作: 读取
同上。文件配置区域不在信任区，正常不应该允许exe和com文件运行，特别是读取并执行系统核心进程。当然，迅雷的这个行为是软件升级所致，可以理解。如果是病毒，那是很危险的。所以不熟悉不要轻易排除。

2012/4/9 20:34:48 已由访问保护规则禁止 liumin-PC\liumin C:\ProgramData\Thunder Network\Thunder\Addins\InMediaAddin\ThunderMinisite.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\DirectDraw\MostRecentApplication\Name 用户定义的规则:全局注册表保护＿值已阻止的操作: 创建
这个是软件正常行为，排除即可。全局文件、全局注册表的排除内容是一致的（完全相同）。

2012/4/9 21:12:14 已由访问保护规则禁止 NT AUTHORITY\SYSTEM C:\Windows\system32\Macromed\Flash\FlashPlayerUpdateService.exe C:\Windows\system32\FlashPlayerInstaller.exe 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件已阻止的操作: 创建
这个可以排除，是Flash网络播放器的升级行为，正常。

总的看，软件升级行为建议不要排除，如必要，关闭规则，自己手动更新比较好。

显示全部楼层 · 发表于 2012-4-9 22:30:16

建议还是把日志直接贴出来，这样大家都能发表意见。

显示全部楼层 · 发表于 2012-4-9 23:33:02

谢谢。

显示全部楼层 · 发表于 2012-4-10 10:02:38

黑池的QQ号多少？

显示全部楼层 · 发表于 2012-4-10 10:51:15

墨池发表于 2012-4-9 22:30
建议还是把日志直接贴出来，这样大家都能发表意见。

求助墨池大哥
我用了“叶版规则～Rule-IIX & VII（第八版规则：IIX，发布Dev版本）&2012.4.8 ”
自己添加了加了2个端口规则，一个出站一个入站的，不知道是否有必要增加
9、出站端口控制
要包含的进程：*.*
要排除的进程：DsMain.exe, iexplore.exe, McScript_InUse.exe, mscorsvw.exe, QQPYCloud.exe, rundll32.exe, ScrybeUpdater.exe, svchost.exe, WerFault.exe, wermgr.exe
要阻止的端口：0 65536
方向：出站

10、入站端口控制
要包含的进程：*.*
要排除的进程：360Safe.exe, iexplore.exe, McScript_InUse.exe, mscorsvw.exe, QQ.exe, rundll32.exe, ScrybeUpdater.exe, svchost.exe, WerFault.exe, wermgr.exe, XMP.exe要阻止的端口：0 65536
方向：入站

我想设置下，不然U盘或者移动硬盘拷贝笔记本上的数据怎么做，但是U盘可读写，可编辑u盘的数据，笔记本一共有C、D、E、F硬盘分区，G光驱，这个规则怎么设置

11、H盘（禁止本地文件外流）ps：u盘内数据要能读写和修改，新建
包含进程：E:\**
排除：无
阻止:H:\*
阻止：读写，删除

这样是否可行？

显示全部楼层 · 发表于 2012-4-10 21:12:51

本帖最后由墨池于 2012-4-10 21:18 编辑

w99308702 发表于 2012-4-10 10:51
求助墨池大哥
我用了“叶版规则～Rule-IIX & VII（第八版规则：IIX，发布Dev版本）&2012.4.8 ”
自己 ...

自己添加了加了2个端口规则，一个出站一个入站的，不知道是否有必要增加
－－－－－－－－－－－－－－－－－－－－－－－－－－－－
咖啡的端口规则主要是防止木马病毒偷偷上传数据，只允许已知的安全的进程打开端口，以达到位置程序联网的目的，不是完全的防火墙功能，所以可以增加。

我想设置下，不然U盘或者移动硬盘拷贝笔记本上的数据怎么做，但是U盘可读写，可编辑u盘的数据，笔记本一共有C、D、E、F硬盘分区，G光驱，这个规则怎么设置

11、H盘（禁止本地文件外流）ps：u盘内数据要能读写和修改，新建
包含进程：E:\**
排除：无
阻止:H:\*
阻止：读写，删除
－－－－－－－－－－－－－－－－－－－－
针对数据的所有操作是通过系统（如资源管理器、记事本等）和软件（如office、Photoshop等）进程实现的，从规则看，你的意思是禁止从E盘拷贝文件到H盘，其它操作不受影响吧！这实际上需要禁止资源管理器从E盘读取文件创建到H盘。这个咖啡实现不了。因为咖啡规则只支持两个环节的直接行为，即只是禁止A操作B，不支持三个环节，即禁止A操作B到C。所以你的规则无效，操作E盘文件到H盘要通过系统或软件进程来完成。
间接方式：把不想别人复制的文件放到一个文件夹（如123），设置规则：

包含进程：*
排除：无
阻止:**\123\**
阻止：读，写，执行，创建，删除

任何人都操作不了，自己操作时关闭规则即可。

不知我说清楚没有。

显示全部楼层 · 发表于 2012-4-10 21:20:01

sdtzsf 发表于 2012-4-10 10:02
黑池的QQ号多少？

对不起，没用QQ！

[求助] mcafee报-请墨池大神阅。

本帖子中包含更多资源

评分

评分