查看: 2852|回复: 15
收起左侧

[讨论] (更新)McAfee企业版修改三条默认规则的含义与价值

[复制链接]
墨池
发表于 2013-8-9 13:03:41 | 显示全部楼层 |阅读模式
更新了《McAfee企业版修改三条默认规则的含义与价值 》,请版主考虑开放该帖:
http://bbs.kafan.cn/thread-1564902-1-1.html

评分

参与人数 2人气 +2 收起 理由
jml521m + 1 版区有你更精彩: )
蓝核 + 1 路过摸一下~~

查看全部评分

462588842
发表于 2013-8-9 14:11:28 | 显示全部楼层
唉,人太少了
墨池
 楼主| 发表于 2013-8-9 14:34:52 | 显示全部楼层
462588842 发表于 2013-8-9 14:11
唉,人太少了

哈哈,没关系,一上来就看见你,很高兴!

评分

参与人数 1人气 +1 收起 理由
小仙仙 + 1

查看全部评分

jxfaiu
发表于 2013-8-9 14:48:23 | 显示全部楼层
本帖最后由 jxfaiu 于 2013-8-9 14:56 编辑

将默认规则:
规则名称:将所有共享项设为只读
要包含的进程:system:remote
要排除的进程:无
修改为全局规则
规则名称:将所有共享项设为只读
要包含的进程:*
要排除的进程:绝对路径排除

我想有些文件的控制规则还是必要的吧,(因为排除的进程可以写入、创建、删除任意文件)如控制创建:DLL文件

墨大是神龙呀!
462588842
发表于 2013-8-9 14:56:35 | 显示全部楼层
墨池 发表于 2013-8-9 14:34
哈哈,没关系,一上来就看见你,很高兴!

没事就用手机上,一天上来十几回吧,上班有时太闲了!你你联系方式没有换吧?
墨池
 楼主| 发表于 2013-8-9 15:10:32 | 显示全部楼层
jxfaiu 发表于 2013-8-9 14:48
将默认规则:
规则名称:将所有共享项设为只读
要包含的进程:system:remote

绝大多数病毒都是exe文件,只要控制好exe文件的入口就好了,而默认这几条规则配合起来,只要不要隐藏文件扩展名,咖啡足以保护系统和软件exe和dll文件,控制常见病毒窝点exe无法运行,从而起到防病毒爆发的作用。至于小浩是cpl,白加黑是黑dll,咖啡防不了,硬盘炸弹XP防不了,VISTA以上系统用户控制即可以防。所以,加上

规则名称:禁止公用程序创建/修改可执行文件_exe
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, QQ.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, TM.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:绝对路径排除
要阻止的文件:*.exe

这条规则,日常绝对够用。至于测试样本,非信任区下无法运行,没有意义,信任区下测试,只要写、创、删没有排除,无法破坏文件,可以无忧。唯有木马病毒,一旦进入信任区,因为没有防读,可能会泄露个人隐私,加上端口规则控制,不能出站入站都不行,读了也白费。对了,还应该加上端口规则。

你在原帖的绝对路径排除“阻止对所有共享资源的读写访问”,理论上解决了信任区病毒爆发的问题,旦实际运用很难,有的人安装软件比较多,咖啡排除容量有限。我的办法是通过“管制系统”和“管制程序”来实现的。

评分

参与人数 1人气 +1 收起 理由
shiyuelaohu + 1 感谢解答: )

查看全部评分

墨池
 楼主| 发表于 2013-8-9 15:14:35 | 显示全部楼层
462588842 发表于 2013-8-9 14:56
没事就用手机上,一天上来十几回吧,上班有时太闲了!你你联系方式没有换吧?

没有换。
rlx
发表于 2013-8-9 16:58:07 | 显示全部楼层
又见墨大~~
心跳回忆
发表于 2013-8-9 22:17:58 | 显示全部楼层
http://bbs.kafan.cn/thread-1564902-1-1.html
应该解锁了
感谢更新
依班娜
发表于 2013-8-9 22:18:22 | 显示全部楼层
墨大,终于等到本人了,system:remote是什么?怎么理解
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 20:54 , Processed in 0.131251 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表