mcafee企业版自定义的控制规则

jxfaiu

叶知 发表于 2012-9-16 11:53
不少地方有着错误：部分可执行文件，仅能够使用【读取】控制

XP系统不一样,读取需排除的,执行不触红.同样的禁止文件名在读取与执行的排除不一样.再我也参阅了http://bbs.kafan.cn/forum.php?mo ... page=1#pid24286415.

jxfaiu

shiyuelaohu 发表于 2012-9-16 10:19
禁止执行DEF盘文件，在什么情况下开启呢？
我自己这里也有一个规则，拿出来分享下，
12 防U盘病毒

我的防U盘规则:
规则名称： U盘入口控制1
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：H:\**.exe,I:\**.exe
要禁止的文件操作：读取 执行
阻挡

规则名称： U盘入口控制2
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：\autorun.inf
要禁止的文件操作：读取 创建 写入 创建 删除
阻挡

规则名称： 封锁U盘病毒_R项
要包含的进程：*
要排除的进程：无
要保护的注册表项或注册表值：HKCU
\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
要保护的注册表项或注册表值：项
要阻止的注册表操作：写入 创建 删除

规则名称： 封锁U盘病毒_R值
要包含的进程：*
要排除的进程：无
要保护的注册表项或注册表值：HKCU
\Software\Microsoft\Windows\CurrentVersion\Explorer\MountPoints2
要保护的注册表项或注册表值：值
要阻止的注册表操作：写入 创建 删除

叶知

jxfaiu 发表于 2012-9-16 12:38
XP系统不一样,读取需排除的,执行不触红.同样的禁止文件名在读取与执行的排除不一样.再我也参阅了http:/ ...

恩，但也要看完该贴的所有回复（我已对这个现象，进行了较为详细的说明....）

另，那贴仅对【.dll】【.exe】进行了实验，其他的可执行文件并没有进行试验（这才是真正的重点！），对【.js】等脚本文件而言，“执行”这个操作很复杂的

---

恩，最关键的问题：Xp下讨论规则，现在而言意义不大了........

jxfaiu

shiyuelaohu 发表于 2012-9-16 10:30
可否考虑过来个全局禁运vxd文件，这个个人感觉经常被病毒利用。

已添加,规则有效
规则名称：禁止执行-vxd
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：**.vxd
要禁止的文件操作：读取 执行

墨池

jxfaiu 发表于 2012-9-16 12:42
我的防U盘规则:
规则名称： U盘入口控制1
要包含的进程：*

规则名称： U盘入口控制1
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：H:\**.exe,I:\**.exe
要禁止的文件操作：读取 执行
阻挡

这条规则无效。问题出在“要阻止的文件或文件夹名：H:\**.exe,I:\**.exe”，咖啡这里不支持多进程。可以分为两条规则，改成：

规则名称： U盘入口控制1
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：H:\**.exe
要禁止的文件操作：读取 执行
阻挡

规则名称： U盘入口控制1
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：I:\**.exe
要禁止的文件操作：读取 执行
阻挡

或者改成这样足矣：

规则名称： U盘入口控制
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：\*.exe
要禁止的文件操作：读取 执行
阻挡

墨池

shiyuelaohu 发表于 2012-9-16 10:19
禁止执行DEF盘文件，在什么情况下开启呢？
我自己这里也有一个规则，拿出来分享下，
12 防U盘病毒

其实这一条规则已经完全包含防U盘病毒：

规则名称：102 封锁非信任区_文件
要包含的进程：*
要排除的进程：*\*光盘\**, *\C:\Windows\system32\csrss.exe, *\C:\Windows\system32\WBEM\WMIADAP.EXE, *\C:\Windows\system32\winlogon.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Application\chrome.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Update\**\GoogleCrashHandler.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Update\**\GoogleCrashHandler64.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Chrome\Update\**\GoogleUpdate.exe, C:\Documents and Settings\**\Local Settings\Application Data\Google\Update\GoogleUpdate.exe, C:\Program Files (x86)\**, C:\Program Files\**, C:\Users\**\AppData\Local\Google\Chrome\Application\chrome.exe, C:\Users\**\AppData\Local\Google\Update\**\GoogleCrashHandler.exe, C:\Users\**\AppData\Local\Google\Update\**\GoogleCrashHandler64.exe, C:\Users\**\AppData\Local\Google\Update\**\GoogleUpdate.exe, C:\Windows\**, D:\Program Files (x86)\**, D:\Program Files\**, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files (x86)\**, E:\Program Files\**, E:\工具\**, System（列表1：信任区。删除本机没有的）
要阻止的文件或文件夹名：*
要禁止的文件操作：读取 写入 执行 创建 删除

jxfaiu

墨池 发表于 2012-9-16 21:26
其实这一条规则已经完全包含防U盘病毒：

规则名称：102 封锁非信任区_文件

谢谢墨大指正。

shiyuelaohu

墨池 发表于 2012-9-16 21:26
其实这一条规则已经完全包含防U盘病毒：

规则名称：102 封锁非信任区_文件

确实，我已经有墨大这条规则了，却没注意到这一点。

墨池

jxfaiu 发表于 2012-9-16 21:40
谢谢墨大指正。

不客气！

墨池

shiyuelaohu 发表于 2012-9-16 21:45
确实，我已经有墨大这条规则了，却没注意到这一点。

哈哈，规则太多，不容易发现！