查看: 8493|回复: 31
收起左侧

[求助] 高手请看这个规则为何不起作用?

[复制链接]
chenglidian
发表于 2015-9-10 10:38:37 | 显示全部楼层 |阅读模式
McAfee企业版的 “通用最大保护”里面的“禁止在 Program Files 文件夹中创建新的可执行文件”这个规则为何不起作用呢?

问题:
在C盘(系统盘)的Program Files 文件夹中创建新的可执行文件是被阻止的,并且触红提示,但是在其他逻辑盘为何不行呢?没有阻止也没有触红的提示。
(包含的进程是默认的 *)

(排除进程是默认的如下:)
???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mrtstub.exe, msi*.tmp, msiexec.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp

综合症初期患者
发表于 2015-9-10 10:55:15 | 显示全部楼层
墨池的默认规则详解里有提到过这条默认规则是只保护C盘下的Program Files的...
话说...这不是显然的吗...默认规则肯定不会考虑非系统盘下的Program Files的...
chenglidian
 楼主| 发表于 2015-9-10 11:10:21 | 显示全部楼层
综合症初期患者 发表于 2015-9-10 10:55
墨池的默认规则详解里有提到过这条默认规则是只保护C盘下的Program Files的...
话说...这不是显然的吗... ...

原来这样,我看看去。谢谢了
chenglidian
 楼主| 发表于 2015-9-10 11:13:44 | 显示全部楼层
综合症初期患者 发表于 2015-9-10 10:55
墨池的默认规则详解里有提到过这条默认规则是只保护C盘下的Program Files的...
话说...这不是显然的吗... ...

抱歉,找了半天没找到,有地址没有?可以直接给我,谢谢了
柯林
发表于 2015-9-10 11:30:53 | 显示全部楼层
麦咖啡自带规则,只保护系统盘上的系统文件和麦咖啡自身的文件。

其它盘上的文件,由杀毒模块监控,是病毒就杀掉,不是病毒无视,不用担心。如果非要追求掌控感以追求洁癖,只能自定义规则。
chenglidian
 楼主| 发表于 2015-9-10 12:00:57 | 显示全部楼层
柯林 发表于 2015-9-10 11:30
麦咖啡自带规则,只保护系统盘上的系统文件和麦咖啡自身的文件。

其它盘上的文件,由杀毒模块监控,是病 ...

感谢你的回答,你在论坛的许多帖子我也看了很久,逼近我是接触McAfee不久,很多规则不是很明白,现在处于学习中,那么如果我要定义如上所描述的规则,保护所以盘“禁止在 Program Files 文件夹中创建新的可执行文件”的自定义规则改怎么写呢? 我用自己想法写了个,你给看看是否正确?

规则名称:禁止在 所有Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:(根据自己排除的,如果不填,会不会排除McAfee里面默认的?)
要阻止的:?:\Program Files\**\*.exe
要阻止的操作:打勾创建、读写、删除、等

综合症初期患者
发表于 2015-9-10 14:13:43 | 显示全部楼层
chenglidian 发表于 2015-9-10 12:00
感谢你的回答,你在论坛的许多帖子我也看了很久,逼近我是接触McAfee不久,很多规则不是很明白,现在处于 ...

首先,这是墨池的默认规则详解:
http://bbs.kafan.cn/thread-964518-1-1.html
很重要的文献
不过墨池在那一贴里的猜测也不全对
比方说那条比较有名的“禁止远程创建/修改可执行文件和配置文件”...

另外,如果你要包含*的话
排除是必须的
访问保护规则并没有你所想象的“智能性”
如果你不排除,不仅McAfee自己的进程被拦截,就连系统的各种进程也会被拦截
gzmaybe
发表于 2015-9-10 14:28:44 | 显示全部楼层
如果LZ是要求任何程序都不能在Program Files 里面生成EXE文件话

1.先取消Mcafee原有的 “禁止在 Program Files 文件夹中创建新的可执行文件”这个规则
2.自定义规则,要排除的进程:把Mcafee原有规则中排除的项全部添加进去


如果是Win7的话,路径再加一个?:\Program Files(x86)\
chenglidian
 楼主| 发表于 2015-9-10 14:45:10 | 显示全部楼层
综合症初期患者 发表于 2015-9-10 14:13
首先,这是墨池的默认规则详解:
http://bbs.kafan.cn/thread-964518-1-1.html
很重要的文献

谢谢你提供的资料
chenglidian
 楼主| 发表于 2015-9-10 14:45:31 | 显示全部楼层
gzmaybe 发表于 2015-9-10 14:28
如果LZ是要求任何程序都不能在Program Files 里面生成EXE文件话

1.先取消Mcafee原有的 “禁止在 Program ...

好的,我看看,谢谢了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:32 , Processed in 0.125333 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表