楼主: jxfaiu
收起左侧

[讨论] mcafee企业版自定义的控制规则

[复制链接]
jxfaiu
 楼主| 发表于 2012-9-16 12:38:19 | 显示全部楼层
本帖最后由 jxfaiu 于 2012-9-16 13:06 编辑
叶知 发表于 2012-9-16 11:53
不少地方有着错误:部分可执行文件,仅能够使用【读取】控制


XP系统不一样,读取需排除的,执行不触红.同样的禁止文件名在读取与执行的排除不一样.再我也参阅了http://bbs.kafan.cn/forum.php?mo ... page=1#pid24286415.
jxfaiu
 楼主| 发表于 2012-9-16 12:42:59 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 10:19
禁止执行DEF盘文件,在什么情况下开启呢?
我自己这里也有一个规则,拿出来分享下,
12 防U盘病毒

我的防U盘规则:
规则名称: U盘入口控制1
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:H:\**.exe,I:\**.exe
要禁止的文件操作:读取 执行
阻挡

规则名称: U盘入口控制2
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:\autorun.inf
要禁止的文件操作:读取 创建 写入 创建 删除
阻挡

规则名称: 封锁U盘病毒_R项
要包含的进程:*
要排除的进程:无
要保护的注册表项或注册表值:HKCU
\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
要保护的注册表项或注册表值:项
要阻止的注册表操作:写入 创建 删除

规则名称: 封锁U盘病毒_R值
要包含的进程:*
要排除的进程:无
要保护的注册表项或注册表值:HKCU
\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
要保护的注册表项或注册表值:值
要阻止的注册表操作:写入 创建 删除
叶知
发表于 2012-9-16 13:24:54 | 显示全部楼层
jxfaiu 发表于 2012-9-16 12:38
XP系统不一样,读取需排除的,执行不触红.同样的禁止文件名在读取与执行的排除不一样.再我也参阅了http:/ ...

恩,但也要看完该贴的所有回复(我已对这个现象,进行了较为详细的说明....)

另,那贴仅对【.dll】【.exe】进行了实验,其他的可执行文件并没有进行试验(这才是真正的重点!),对【.js】等脚本文件而言,“执行”这个操作很复杂的

---

恩,最关键的问题:Xp下讨论规则,现在而言意义不大了........

jxfaiu
 楼主| 发表于 2012-9-16 14:16:27 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 10:30
可否考虑过来个全局禁运vxd文件,这个个人感觉经常被病毒利用。

已添加,规则有效
规则名称:禁止执行-vxd
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:**.vxd
要禁止的文件操作:读取 执行
墨池
发表于 2012-9-16 21:22:05 | 显示全部楼层
jxfaiu 发表于 2012-9-16 12:42
我的防U盘规则:
规则名称: U盘入口控制1
要包含的进程:*

规则名称: U盘入口控制1
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:H:\**.exe,I:\**.exe
要禁止的文件操作:读取 执行
阻挡

这条规则无效。问题出在“要阻止的文件或文件夹名:H:\**.exe,I:\**.exe”,咖啡这里不支持多进程。可以分为两条规则,改成:

规则名称: U盘入口控制1
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:H:\**.exe
要禁止的文件操作:读取 执行
阻挡

规则名称: U盘入口控制1
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:I:\**.exe
要禁止的文件操作:读取 执行
阻挡

或者改成这样足矣:

规则名称: U盘入口控制
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:\*.exe
要禁止的文件操作:读取 执行
阻挡
墨池
发表于 2012-9-16 21:26:35 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 10:19
禁止执行DEF盘文件,在什么情况下开启呢?
我自己这里也有一个规则,拿出来分享下,
12 防U盘病毒

其实这一条规则已经完全包含防U盘病毒:

规则名称:102 封锁非信任区_文件
要包含的进程:*
要排除的进程:*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Application\chrome.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Update\**\GoogleCrashHandler.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Update\**\GoogleCrashHandler64.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Update\**\GoogleUpdate.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Update\GoogleUpdate.exe, C:\Program Files (x86)\**, C:\Program Files\**, C:\Users\**\AppData\Local\Google\Chrome\Application\chrome.exe, C:\Users\**\AppData\Local\Google\Update\**\GoogleCrashHandler.exe, C:\Users\**\AppData\Local\Google\Update\**\GoogleCrashHandler64.exe, C:\Users\**\AppData\Local\Google\Update\**\GoogleUpdate.exe, C:\Windows\**, D:\Program Files (x86)\**, D:\Program Files\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files (x86)\**, E:\Program Files\**, E:\工具\**, System(列表1:信任区。删除本机没有的)
要阻止的文件或文件夹名:*
要禁止的文件操作:读取 写入 执行 创建 删除
jxfaiu
 楼主| 发表于 2012-9-16 21:40:27 | 显示全部楼层
墨池 发表于 2012-9-16 21:26
其实这一条规则已经完全包含防U盘病毒:

规则名称:102 封锁非信任区_文件

谢谢墨大指正。
shiyuelaohu
发表于 2012-9-16 21:45:12 | 显示全部楼层
墨池 发表于 2012-9-16 21:26
其实这一条规则已经完全包含防U盘病毒:

规则名称:102 封锁非信任区_文件


确实,我已经有墨大这条规则了,却没注意到这一点。
墨池
发表于 2012-9-16 21:46:19 | 显示全部楼层
jxfaiu 发表于 2012-9-16 21:40
谢谢墨大指正。

不客气!
墨池
发表于 2012-9-16 21:46:52 | 显示全部楼层
shiyuelaohu 发表于 2012-9-16 21:45
确实,我已经有墨大这条规则了,却没注意到这一点。

哈哈,规则太多,不容易发现!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 03:07 , Processed in 0.094224 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表