查看: 2444|回复: 9
收起左侧

[讨论] 关于rappar写的Mcafee防病毒入侵规则包的疑问

[复制链接]
freesoft00
发表于 2008-1-10 15:36:02 | 显示全部楼层 |阅读模式
Mcafee防病毒入侵规则(综合加强版)
为什么mcafee内置的一些规则没有选中,比如
保护 Internet Explorer 收藏夹和设置
禁止伪装 Windows 进程
禁止 Svchost 执行非 Windows 可执行文件
等等,这些规则选中似乎能增强系统的安全性,不知道为什么默认都没有选中,rappar 说说你这样设置规则的用意。

通用标准保护中 的 保护 Internet Explorer 设置 排除路径加入 **\Temp\** ,起什么作用?
禁止将程序注册为自动运行 也有此路径的排除。

还有个规则排除的路径中有system,不知道这个是什么

还有,缓冲区保护 排除项目中有好几个重复的 比如 wmplayer.exe POWERPNT.EXE 等。
dikaios
发表于 2008-1-10 17:17:13 | 显示全部楼层
所以我不用他的规则,只是借鉴了一些
深红的雪
发表于 2008-1-10 17:39:00 | 显示全部楼层
保护 Internet Explorer 收藏夹和设置
禁止伪装 Windows 进程
禁止 Svchost 执行非 Windows 可执行文件

这些规则比较鸡肋,尤其是第三条,限制svchost.exe可以防止部分病毒利用,但很遗憾很多正常的软件和游戏都需要它。
第一条自行决定是否开启,由于很多修复工具和软件都会触犯此规则,所以我没有打开,要打开的话需要根据自己的情况进行排除。
至于禁止伪装系统进程这条,由于默认规则里已经有“禁止往WINDOWS目录新建可执行文件”,所以不开也没有什么问题,开此规则的话,进行打系统补丁操作会阻止,甚至安装一个OFFICE也会出问题。虽然可以进行排除,但由于意义不大,所以直接不开了。

保护 Internet Explorer 设置 排除路径加入 **\Temp\**

这是为了顺利安装软件而设置的,虽然一定程度上降低了安全性,但只要防止病毒进入Temp文件夹就没有问题了

还有个规则排除的路径中有system

关于这个,你打开任务管理器就明白了

缓冲区保护设置保留默认,没有进行改动。
深红的雪
发表于 2008-1-10 18:01:43 | 显示全部楼层
例外,由于个人水平有限,规则有不严谨甚至存在漏洞是在所难免,因此此规则也是不断完善中。
如果各位发现什么问题欢迎提出并指正,谢谢
yager 该用户已被删除
发表于 2008-1-10 18:13:37 | 显示全部楼层
http://bbs.kafan.cn/viewthread.php?tid=184599&extra=page%3D3

请在把文件解压缩到桌面运行一下。。。

两个规则。。
深红的雪
发表于 2008-1-10 18:50:26 | 显示全部楼层

回复 5楼 yager 的帖子

这个有什么问题么?
要防住这种脚本再简单不过了,限制wscript.exe就够了
其实这个也可以不需要。
因为vbe、vbs等文件用户自己不会去下载,如果是浏览器自己下载的话,规则会阻止脚本的执行。如果是U盘带来的,防止autorun.inf文件的读取或者防改写mountpoint2键值就可以阻止了,所以特别写规则限制脚本宿主没有必要(除非你自己下载并执行它),有些情况下,我们还是需要用到脚本宿主的(不过一般用户极少)。
yager 该用户已被删除
发表于 2008-1-10 20:53:46 | 显示全部楼层
不知道我的什么问题

但是至少
在win目录下生成了.vbs那个文件
深红的雪
发表于 2008-1-10 21:19:21 | 显示全部楼层
那个脚本运行过了,除了在WIN目录和system32目录下生成.vbe以外,没有什么可疑的动作。

如果想彻底防住这些脚本的话,可以禁用wscript.exe和cscript.exe这两个程序即可。一般用户不会用到

[ 本帖最后由 rappar 于 2008-1-10 21:20 编辑 ]
l_hs
发表于 2008-1-11 12:40:26 | 显示全部楼层
我在用rappar的规则~~~·
浪淘沙
发表于 2008-1-11 12:44:25 | 显示全部楼层
我也有楼主这样的疑问,谢谢rappar了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-28 18:51 , Processed in 0.279757 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表