查看: 4248|回复: 11
收起左侧

[技术原创] McAfee8.5i 的一些教程和设置

[复制链接]
Kyo.BA
发表于 2013-3-3 00:25:40 | 显示全部楼层 |阅读模式
   先说一下咯,我是比较外行的。
   首先说一下FD:全称FileDefend,文件保护,个人认为是3D中最重要的一环,防止不明文件的新建,和现有系统文件不被非法修改。

AD:全称AppDefend,应用程序保护,旨在通过对每个程序运行时动作的监控,来判断是否有害。

RD:全称RegDefend,注册表保护,保护注册表相关键值不被不明程序修改。

HIPS:全称Host based Intrusion Prevention System,一般是3D的合称,3D=FD+AD+RD

FW:全称Firewall,防火墙。

NPAP:全称Network Port Access Protection,网络端口访问保护,受保护的端口只有指定的程序才能访问,屏蔽危险端口。
     这个是用变量表:
ALLUSERSPROFILE=**\Documents and Settings\All Users


APPDATA=**\Documents and Settings\**\Application Data


CommonProgramFiles=**\Program Files\Common Files


ComSpec=**\WINDOWS\system32\cmd.exe


DEFLOGDIR=**\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection


HOMEDRIVE=系统区

HOMEPATH=\Documents and Settings\当前用户名


ProgramFiles=**\Program Files


SystemDrive=系统区


SystemRoot=**\WINDOWS


TEMP=**\Documents and Settings\**\Local Settings\Temp


TMP==**\Documents and Settings\**\Local Settings\Temp


USERNAME=当前用户名


USERPROFILE=**\Documents and Settings\当前用户名


VSEDEFLOGDIR=**\Documents and Settings\All Users\Application Data\McAfee\DesktopProtection


windir=**\WINDOWS



防病毒保护有许多规则,逐一讲讲,我比较喜欢防病毒标准保护!!所以就只讲标准保护
防病毒标准保护规则说明:1.通过保护注册表相关键值来防止注册表编辑器和任务管理器不被禁用。
监视所有程序
排除进程:rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
注册表值(创建,写入,删除):
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr
  2.禁止更改用户权限策略
规则说明:通过保护注册表相关键值来防止注册表编辑器和任务管理器不被禁用。

监视所有程序
排除进程:rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
注册表值(创建,写入,删除):
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr

3.禁止更改用户权限策略
规则说明:默认情况下,XP里有以下几个用户组:
1.Administrators
2.Backup Operators
3.Guests
4.Network Configuration Operators
5.Power Users
6.Remote Desktop Users
7.Replicator
8.Users
9.HelpServicesGroup
该规则通过保护注册表相关键值来防止低权限用户提升为Administrators。

监视所有进程
排除进程:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,amgrsrvc.exe,mmc.exe
注册表项(创建,写入,删除):
HKCCS/Control/LSA/**
HKCCS/Services/lanmanserver/parameters/**
注意:如果此处出现了“???setup.exe, ??setup.exe, ?setup.exe,”等文件,建议替换为:*setup*.exe,*setup.exe,setup.exe

4.禁止远程创建/修改可执行文件和配置文件
规则说明:通过文件保护来防止远程建立执行文件和配制文件。

监视所有远程程序:system:remote
对象文件(创建,写入,删除):**.exe **.scr **.ocx **.dll **.pif
文件路径:windows目录以及所有子目录下文件,%systemdrive%\*.ini
排除进程:所有framepkg.exe文件

5.禁止远程创建自动运行文件
规则说明:禁止远程建立autorun.inf文件。

所有远程进程:system:remote
对象文件(创建): autorun.inf


6.禁止拦截 .EXE 和其他可执行文件扩展名
规则说明:禁止修改EXE等可执行文件关联。

监视所有程序
排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
注册表值(写入,删除):
HKULM/Software/Classes/.exe/**
HKULM/Software/Classes/exefile/**
HKULM/Software/Classes/.com/**
HKULM/Software/Classes/comfile/**
HKULM/Software/Classes/.bat/**
HKULM/Software/Classes/batfile/**
HKULM/Software/Classes/.cmd/**
HKULM/Software/Classes/cmdfile/**

7.禁止伪装 Windows 进程
规则说明:防止非系统进程与系统进程同名。

监视所有程序
文件路径(创建,读取,执行,写入):所有svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
排除文件:windows目录及其所有子目录下的svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe


特有规则,无法得到等价FD!经测试,在WIN根下可以新建svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe文件,此规则只封锁WIN文件夹以外的硬盘区域,存在缺陷。(如落雪,就是在WIN根下的SMSS.EXE)

8.禁止群发邮件蠕虫发送邮件
规则说明:禁止不明进程通过特定的端口向外发送数据。

监视所有进程
排除进程:默认邮件客户端,默认浏览器,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,nlnotes.exe,outlook.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,winpm-32.exe,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,ntaskldr.exe,nsmtp.exe,nrouter.exe,agent.exe,ebs.exe,firesvc.exe,modulewrapper*,msksrvr.exe,mskdetct.exe,mailscan.exe,rpcserv.exe
端口(向外):25,587

9.禁止 IRC 通信

规则说明:禁止所有进程通过特定的端口发送、接收数据。

监视所有进程
端口(向内,向外):6666-6669

10.禁止使用 tftp.exe
规则说明:禁止任意程序运行tftp.exe

监视所有进程
排除进程:wuauclt.exe
文件路径(读取,执行):所有的tftp.exe
防病毒标准保护部分至此结束!
就这样子吧
马云波波波
头像被屏蔽
发表于 2013-3-3 11:13:35 | 显示全部楼层
支持!感谢分享!    其实使用麦咖啡VSE,主要还是看中其FD部分,AD部分感觉太粗糙,不像一些专业hips那样细致。
Kyo.BA
 楼主| 发表于 2013-3-3 12:10:28 | 显示全部楼层
马云波波波 发表于 2013-3-3 11:13
支持!感谢分享!    其实使用麦咖啡VSE,主要还是看中其FD部分,AD部分感觉太粗糙,不像一些专业hips那样细 ...

谢谢你的评价啦!!!
shiyuelaohu
发表于 2013-3-3 17:02:27 | 显示全部楼层
多谢分享,希望继续补全,能够把默认规则中的保护对象全部罗列一下就更好了,一直就想知道默认规则如何能用自定义规则表示出来。
z_r_charger
发表于 2013-3-3 20:57:32 | 显示全部楼层
感谢楼主分享,学习中
Kyo.BA
 楼主| 发表于 2013-3-8 10:38:38 | 显示全部楼层
shiyuelaohu 发表于 2013-3-3 17:02
多谢分享,希望继续补全,能够把默认规则中的保护对象全部罗列一下就更好了,一直就想知道默认规则如何能用 ...

好的,我会继续分享的,我星期六没上课的时候就会分享!
agiha
发表于 2013-3-9 23:38:23 | 显示全部楼层
8.5应该已经eol了,怎么还贴他的基本规则?去研究8.8比较好
Kyo.BA
 楼主| 发表于 2013-3-10 13:45:57 | 显示全部楼层
agiha 发表于 2013-3-9 23:38
8.5应该已经eol了,怎么还贴他的基本规则?去研究8.8比较好

嗯,我会研究研究的。
navyao
发表于 2013-3-12 09:35:26 | 显示全部楼层
好东西,学习先
nydxx 该用户已被删除
发表于 2013-3-22 21:47:22 | 显示全部楼层
支持!感谢分享!
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-26 09:25 , Processed in 0.132349 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表