高手请看这个规则为何不起作用？

综合症初期患者

chenglidian 发表于 2015-9-10 14:45
好的，我看看，谢谢了

其实用?:\Program Files*\**\*.exe也行啊
这样就只需要一条规则，不用分开了
不过需要你注意的是
默认规则里的阻挡“可执行文件”不只是“,exe”
而是指各种PE文件（可移植执行文件）
包括exe，但不只是exe
墨池的默认规则详解里提到有dll，但是也不只是dll
还包括像ocx文件，sys文件，com文件.....
dll这部分，我已经通过我自己的实验确认了......
所以，你要用你自己的规则来实现默认规则的效果的话
你真的要写很多很多条规则才能实现...

所以很多高手都提到...默认规则最强大
因为一条默认规则可以做很多条自定义规则才能做到的事情...
不过很多人都望文生义得把“默认规则最强大”这句话强行曲解为“规则不需要改动，保持默认状态最强大”
这根本就是是不了解规则才会这样讲......

为了避免这种曲解
我呼吁大家以后用“内置规则”来称呼“默认规则”

chenglidian

综合症初期患者 发表于 2015-9-10 14:55
其实用?:\Program Files*\**\*.exe也行啊
这样就只需要一条规则，不用分开了
不过需要你注意的是

说的不错，不过如果用自定义规则?:\Program Files*\**\*.exe不排除默认的，那么会不会和默认的规则冲突？或者是McAfee会自动在自定义规则里面默认排除呢？还是干脆就不排除，完全按照自定义的?:\Program Files*\**\*.exe执行？ 我估计应该是最后那个。我还没测试

综合症初期患者

chenglidian 发表于 2015-9-10 16:20
说的不错，不过如果用自定义规则?:\Program Files*\**\*.exe不排除默认的，那么会不会和默认的规则冲突？ ...

规则彼此之间不会冲突
你可以看一下柯林之前的文献
规则是各自拦截各自的
一个进程的某一个权限在一条规则里被拦截的话，就...被拦截了
和其他规则无关

然后...再强调一遍，McAfee的访问保护没有任何智能性
不会自动帮你做排除！
不会自动帮你做排除！
不会自动帮你做排除！

因此如果你阻止创建?:\Program Files*\**\*.exe的话，必须要你自己仔细的排除才行
storyhare（叶知）和墨池的文献里有类似的写法
建议你先认真读一下再测试

chenglidian

综合症初期患者 发表于 2015-9-10 16:29
规则彼此之间不会冲突
你可以看一下柯林之前的文献
规则是各自拦截各自的

好的，看来要好好先从底层开始了解了。最后非常感谢你这么多的技术分享和指导

chenglidian

综合症初期患者 发表于 2015-9-10 16:29
规则彼此之间不会冲突
你可以看一下柯林之前的文献
规则是各自拦截各自的

不过话又说回来了，我遇到一个很棘手的也很简单的问题，就是如何排除一个程序，比如我安装的防火墙吧，防火墙安装的文件目录为"C:\Program Files\myfirewall\" 那么该如何排除呢？因为默认规则里面很多规则拦截防火墙，总不能默认规则里面一个一个的规则进行排除吧？ 如果这样，那么好繁琐，并且好不人性话

柯林

chenglidian 发表于 2015-9-10 12:00
感谢你的回答，你在论坛的许多帖子我也看了很久，逼近我是接触McAfee不久，很多规则不是很明白，现在处于 ...

?:\这种路径写法是否支持，你自己测试下
如果支持，你要这样写是没问题的，只不过与默认自带的保护系统盘里的PF路径的规则重复了，需要再次放行相关进程
另外，请测试新版的FD操作与AD操作（执行进程）是否联动可行的问题再做处理

柯林

chenglidian 发表于 2015-9-10 16:38
不过话又说回来了，我遇到一个很棘手的也很简单的问题，就是如何排除一个程序，比如我安装的防火墙吧，防 ...

一般情况下，排除进程名称即可，你要执着于安全，就按绝对路径排除（其实没必要，病毒要仿冒进程过关，需要两步，第一成功仿冒你排除的进程名称，第二能够过掉咖啡的杀毒检测）。

实际上对于一般用户，麦咖啡的杀毒检测已经足以应对日常威胁，规则只要保护系统和麦咖啡在极个别的非常情况下不被干掉就OK（目的也是等待咖啡升级病毒库后回头收拾病毒）。很多单位使用VSE基本上就是缺省设置，原因就如此。

chenglidian

柯林 发表于 2015-9-10 19:30
一般情况下，排除进程名称即可，你要执着于安全，就按绝对路径排除（其实没必要，病毒要仿冒进程过关，需 ...

你说的是，但问题是不知道怎么排除，McAfee不是这个规则拦截它就是那个规则拦截它，所以总不能在所有规则里面一个个的排除吗？难道这就是McAfee的排除吗？如果这样排除，恐怕手要残了！

柯林

chenglidian 发表于 2015-9-11 09:34
你说的是，但问题是不知道怎么排除，McAfee不是这个规则拦截它就是那个规则拦截它，所以总不能在所有规则 ...

看来你还不怎么熟悉咖啡
每一条日志记载的很清楚：某某程序对目标某某的操作，被某某规则所拦截
按部就班，找到对应规则就解决，除非你自定义规则乱写一气，自己都分不清名字

WEI.ER

一个？号即可解决。