楼主: chenglidian
收起左侧

[求助] 高手请看这个规则为何不起作用?

[复制链接]
综合症初期患者
发表于 2015-9-10 14:55:28 | 显示全部楼层
chenglidian 发表于 2015-9-10 14:45
好的,我看看,谢谢了

其实用?:\Program Files*\**\*.exe也行啊
这样就只需要一条规则,不用分开了
不过需要你注意的是
默认规则里的阻挡“可执行文件”不只是“,exe”
而是指各种PE文件(可移植执行文件)
包括exe,但不只是exe
墨池的默认规则详解里提到有dll,但是也不只是dll
还包括像ocx文件,sys文件,com文件.....

dll这部分,我已经通过我自己的实验确认了......
所以,你要用你自己的规则来实现默认规则的效果的话
你真的要写很多很多条规则才能实现...

所以很多高手都提到...默认规则最强大
因为一条默认规则可以做很多条自定义规则才能做到的事情...
不过很多人都望文生义得把“默认规则最强大”这句话强行曲解为“规则不需要改动,保持默认状态最强大”
这根本就是是不了解规则才会这样讲......

为了避免这种曲解
我呼吁大家以后用“内置规则”来称呼“默认规则”
chenglidian
 楼主| 发表于 2015-9-10 16:20:32 | 显示全部楼层
综合症初期患者 发表于 2015-9-10 14:55
其实用?:\Program Files*\**\*.exe也行啊
这样就只需要一条规则,不用分开了
不过需要你注意的是

说的不错,不过如果用自定义规则?:\Program Files*\**\*.exe不排除默认的,那么会不会和默认的规则冲突?或者是McAfee会自动在自定义规则里面默认排除呢?还是干脆就不排除,完全按照自定义的?:\Program Files*\**\*.exe执行? 我估计应该是最后那个。我还没测试
综合症初期患者
发表于 2015-9-10 16:29:47 | 显示全部楼层
chenglidian 发表于 2015-9-10 16:20
说的不错,不过如果用自定义规则?:\Program Files*\**\*.exe不排除默认的,那么会不会和默认的规则冲突? ...

规则彼此之间不会冲突
你可以看一下柯林之前的文献
规则是各自拦截各自的
一个进程的某一个权限在一条规则里被拦截的话,就...被拦截了
和其他规则无关

然后...再强调一遍,McAfee的访问保护没有任何智能性
不会自动帮你做排除!
不会自动帮你做排除!
不会自动帮你做排除!

因此如果你阻止创建?:\Program Files*\**\*.exe的话,必须要你自己仔细的排除才行
storyhare(叶知)和墨池的文献里有类似的写法
建议你先认真读一下再测试
chenglidian
 楼主| 发表于 2015-9-10 16:32:22 | 显示全部楼层
综合症初期患者 发表于 2015-9-10 16:29
规则彼此之间不会冲突
你可以看一下柯林之前的文献
规则是各自拦截各自的

好的,看来要好好先从底层开始了解了。最后非常感谢你这么多的技术分享和指导
chenglidian
 楼主| 发表于 2015-9-10 16:38:14 | 显示全部楼层
综合症初期患者 发表于 2015-9-10 16:29
规则彼此之间不会冲突
你可以看一下柯林之前的文献
规则是各自拦截各自的

不过话又说回来了,我遇到一个很棘手的也很简单的问题,就是如何排除一个程序,比如我安装的防火墙吧,防火墙安装的文件目录为"C:\Program Files\myfirewall\" 那么该如何排除呢?因为默认规则里面很多规则拦截防火墙,总不能默认规则里面一个一个的规则进行排除吧? 如果这样,那么好繁琐,并且好不人性话
柯林
发表于 2015-9-10 19:23:27 | 显示全部楼层
chenglidian 发表于 2015-9-10 12:00
感谢你的回答,你在论坛的许多帖子我也看了很久,逼近我是接触McAfee不久,很多规则不是很明白,现在处于 ...

?:\这种路径写法是否支持,你自己测试下
如果支持,你要这样写是没问题的,只不过与默认自带的保护系统盘里的PF路径的规则重复了,需要再次放行相关进程
另外,请测试新版的FD操作与AD操作(执行进程)是否联动可行的问题再做处理
柯林
发表于 2015-9-10 19:30:10 | 显示全部楼层
chenglidian 发表于 2015-9-10 16:38
不过话又说回来了,我遇到一个很棘手的也很简单的问题,就是如何排除一个程序,比如我安装的防火墙吧,防 ...

一般情况下,排除进程名称即可,你要执着于安全,就按绝对路径排除(其实没必要,病毒要仿冒进程过关,需要两步,第一成功仿冒你排除的进程名称,第二能够过掉咖啡的杀毒检测)。

实际上对于一般用户,麦咖啡的杀毒检测已经足以应对日常威胁,规则只要保护系统和麦咖啡在极个别的非常情况下不被干掉就OK(目的也是等待咖啡升级病毒库后回头收拾病毒)。很多单位使用VSE基本上就是缺省设置,原因就如此。
chenglidian
 楼主| 发表于 2015-9-11 09:34:44 | 显示全部楼层
柯林 发表于 2015-9-10 19:30
一般情况下,排除进程名称即可,你要执着于安全,就按绝对路径排除(其实没必要,病毒要仿冒进程过关,需 ...

你说的是,但问题是不知道怎么排除,McAfee不是这个规则拦截它就是那个规则拦截它,所以总不能在所有规则里面一个个的排除吗?难道这就是McAfee的排除吗?如果这样排除,恐怕手要残了!
柯林
发表于 2015-9-11 09:54:02 | 显示全部楼层
chenglidian 发表于 2015-9-11 09:34
你说的是,但问题是不知道怎么排除,McAfee不是这个规则拦截它就是那个规则拦截它,所以总不能在所有规则 ...

看来你还不怎么熟悉咖啡
每一条日志记载的很清楚:某某程序对目标某某的操作,被某某规则所拦截
按部就班,找到对应规则就解决,除非你自定义规则乱写一气,自己都分不清名字
WEI.ER
发表于 2015-9-11 12:25:38 | 显示全部楼层
一个?号即可解决。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 20:26 , Processed in 0.096243 second(s), 13 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表