McAfee企业版自定义规则绝对路径

aihi413

     请问McAfee企业版8.8里面用户自定义规则里面的网络端口访问保护规则的要排除的进程可不可以添加绝对路径？

     我是路由上网，昨天晚上添加了绝对路径之后一直报告，几乎每条规则都最后都附带127.0.0.1:12348，如：

           2012-10-21        8:49:50        将被端口阻挡规则（当前不强制执行此规则）阻挡         D:\Program Files\FirefoxPortable\App\firefox\firefox.exe        用户定义的规则:001禁止未知程序的任何网络行为        127.0.0.1:12348

      然后我把排除的进程（D:\Program Files\FirefoxPortable\App\firefox\firefox.exe）修改为（firefox.exe）就不会有报告了，今天刚学习了墨池规则，发现里面的网络端口规则排除的也是只有进程名称。

     请问：
  
     1.设置绝对路径的时候为什么会有127.0.0.1:12348的报告，如果这样能设置绝对路径，怎么才不会有127.0.0.1:12348的报告？

     2.如果只能设置排除进程名称，那么会不会出现一种可能：我没有启动qq，然后木马以qq.exe的进程名活动，从而不被McAfee拦截（qq.exe是排除的进程，假定这个木马不会被McAfee发现）？

     （当然了，把报告勾掉的建议就谢了）

     请高手指点。

ldkvfeng

新版本网络端口只能设置进程名 不能用路径管理，且同名就不被拦截
不行开个系统墙吧

Savoor

1.关于端口规则中要排除的进程：仅文件名排除有效（路径、通配无效）,这与咖啡的识别语法有关.

2.这种可能性微乎其微,咖啡规则是一个全面的防护体系.除非病毒"qq.exe"的绝对路径在其他所有限制规则中有明确的排除,否则病毒"qq.exe"无法启动.

shiyuelaohu

楼上正解，端口规则排除时，不能使用通配符，只能使用文件名。楼主担心的情况是可能有的，但这种概率实在是很小的，咖啡规则是个多层防御体系，可不必担心这一点。用咖啡最危险的时候是关闭规则，安装新的软件的时候，至于这种情况是不必要忧虑的。

jxfaiu

你要有这种担心，安装防火墙吧。

x-天秤座

      如果只能设置排除进程名称，那么会不会出现一种可能：我没有启动qq，然后木马以qq.exe的进程名活动，从而不被McAfee拦截（qq.exe是排除的进程，假定这个木马不会被McAfee发现）？
      ---3楼说得对。你这种情况呢，只是网络访问，如果就整个规则来看呢，在其他防护规则下排除了，mcafee不拦截。但是只要你其他的规则没有排除qq.exe，其他规则不会被影响。病毒通常是把文件释放到temp目录下并运行，mcafee避免你一个不小心，所以在规则里面“防间谍程序最大保护”、“通用标准保护”两个规则大栏目里面都有对“从temp文件夹运行文件”进行规则限制，除非你这两个规则都排除了qq.exe，那么这两个规则有效。但是同时规则还有对program files目录和windows目录都有防护----假如你所有规则都排除qq.exe，那表示你对安全意识淡薄哈，因为windows目录除了默认的文件外，貌似没什么文件允许生成执行文件，所以这个规则你一般不要添加不知名程序名字，如果某程序被该规则记录并阻止了，果断放弃这个程序或者把该程序传到virustotal这些网站鉴定。
      有这个规则保护，就算病毒被你放过了，它也不能破坏windows目录，那就不担心什么了。
      对于program files目录一样的，但是因为你安装软件在这个目录，以后运行什么的要排除，所以我建议在安装好基本的驱动和安全的软件后不要再把文件安装在此目录，要么你某些程序用绿色软件，要么你安装在非c:\program files目录里面（绝大部分程序都可以选择安装目录的）从而让mcafee的默认规则很好的保护这个目录。
      你只要把这两个目录保护好了，就没什么好担心的了，当然“我的文档”等你重要资料目录你另外建立规则保护，不在这个话题讨论了。
      另外，mcafee也检测病毒的，而且病毒检测比规则防护有优先权，这里也是一个对病毒、木马的屏障。

aihi413

明白了，辛苦大家了，谢谢了