关于rappar写的Mcafee防病毒入侵规则包的疑问

freesoft00

Mcafee防病毒入侵规则（综合加强版）
为什么mcafee内置的一些规则没有选中，比如
保护 Internet Explorer 收藏夹和设置
禁止伪装 Windows 进程
禁止 Svchost 执行非 Windows 可执行文件
等等，这些规则选中似乎能增强系统的安全性，不知道为什么默认都没有选中，rappar 说说你这样设置规则的用意。

通用标准保护中 的 保护 Internet Explorer 设置 排除路径加入 **\Temp\** ，起什么作用？
禁止将程序注册为自动运行 也有此路径的排除。

还有个规则排除的路径中有system，不知道这个是什么

还有，缓冲区保护 排除项目中有好几个重复的 比如 wmplayer.exe POWERPNT.EXE 等。

dikaios

所以我不用他的规则，只是借鉴了一些

深红的雪

保护 Internet Explorer 收藏夹和设置
禁止伪装 Windows 进程
禁止 Svchost 执行非 Windows 可执行文件

这些规则比较鸡肋，尤其是第三条，限制svchost.exe可以防止部分病毒利用，但很遗憾很多正常的软件和游戏都需要它。
第一条自行决定是否开启，由于很多修复工具和软件都会触犯此规则，所以我没有打开，要打开的话需要根据自己的情况进行排除。
至于禁止伪装系统进程这条，由于默认规则里已经有“禁止往WINDOWS目录新建可执行文件”，所以不开也没有什么问题，开此规则的话，进行打系统补丁操作会阻止，甚至安装一个OFFICE也会出问题。虽然可以进行排除，但由于意义不大，所以直接不开了。

保护 Internet Explorer 设置 排除路径加入 **\Temp\**

这是为了顺利安装软件而设置的，虽然一定程度上降低了安全性，但只要防止病毒进入Temp文件夹就没有问题了

还有个规则排除的路径中有system

关于这个，你打开任务管理器就明白了

缓冲区保护设置保留默认，没有进行改动。

深红的雪

例外，由于个人水平有限，规则有不严谨甚至存在漏洞是在所难免，因此此规则也是不断完善中。
如果各位发现什么问题欢迎提出并指正，谢谢

http://bbs.kafan.cn/viewthread.php?tid=184599&extra=page%3D3

请在把文件解压缩到桌面运行一下。。。

两个规则。。

深红的雪

这个有什么问题么？
要防住这种脚本再简单不过了，限制wscript.exe就够了
其实这个也可以不需要。
因为vbe、vbs等文件用户自己不会去下载，如果是浏览器自己下载的话，规则会阻止脚本的执行。如果是U盘带来的，防止autorun.inf文件的读取或者防改写mountpoint2键值就可以阻止了，所以特别写规则限制脚本宿主没有必要（除非你自己下载并执行它），有些情况下，我们还是需要用到脚本宿主的（不过一般用户极少）。

不知道我的什么问题

但是至少
在win目录下生成了.vbs那个文件

深红的雪

那个脚本运行过了，除了在WIN目录和system32目录下生成.vbe以外，没有什么可疑的动作。

如果想彻底防住这些脚本的话，可以禁用wscript.exe和cscript.exe这两个程序即可。一般用户不会用到

[ 本帖最后由 rappar 于 2008-1-10 21:20 编辑 ]

l_hs

我在用rappar的规则～～～·

浪淘沙

我也有楼主这样的疑问，谢谢rappar了