WIN2003下，导入"综合性防护规则(较强保护)"，可有些规则看不到呢？

显示全部楼层 · 发表于 2008-1-26 10:17:14

OS： win2003 SP2 R2
AV：mcafee 8.5 sp4
今天导入了小邪邪最新的 “综合性防护规则(较强保护)”，
从这个reg中看到这些的内容，比如：
"FileBlockRuleName_31"="防止威金规则"
"FileBlockProcess_31"="*"
"FileBlockWildcard_31"="%windir%\\logo*_*.exe"
"FileBlockWhat_31"=dword:000f0000
"FileBlockReport_31"=dword:00000001
"FileBlockRuleName_32"="禁止安装3721，并阻止运行"
"FileBlockProcess_32"="*"
"FileBlockWildcard_32"="**\\3721\\**"
"FileBlockWhat_32"=dword:000f0000
"FileBlockReport_32"=dword:00000001
"FileBlockRuleName_33"="禁止安装YAHOO助手"
"FileBlockProcess_33"="*"
"FileBlockWildcard_33"="**\\Assistant\\**"
"FileBlockWhat_33"=dword:000f0000
"FileBlockReport_33"=dword:00000001

我把规则导入后，但在访问保护中，用户自定义规则中，怎么看不到这些呢？
刚开始用8.5，原来一直用8.0，谢谢大家帮忙解决一下。多谢！

显示全部楼层 · 发表于 2008-1-26 22:24:04

1、这些是咖啡自带的规则库，可以作为参考用，不算入自定义规则的。

2、真正的自定义规则用记事本查看只是一堆16进制的数据，要导入或者用其它工具才能看到。

显示全部楼层 · 发表于 2008-1-27 11:51:58

我也明白这个意思，但为什么综合包里有这些内容呢？我从哪里可以看到这些啊？？如：
"FileBlockRuleName_31"="防止威金规则"
"FileBlockProcess_31"="*"
"FileBlockWildcard_31"="%windir%\\logo*_*.exe"
"FileBlockWhat_31"=dword:000f0000
"FileBlockReport_31"=dword:00000001
"FileBlockRuleName_32"="禁止安装3721，并阻止运行"
"FileBlockProcess_32"="*"
"FileBlockWildcard_32"="**\\3721\\**"
"FileBlockWhat_32"=dword:000f0000
"FileBlockReport_32"=dword:00000001
"FileBlockRuleName_33"="禁止安装YAHOO助手"
"FileBlockProcess_33"="*"
"FileBlockWildcard_33"="**\\Assistant\\**"
"FileBlockWhat_33"=dword:000f0000
"FileBlockReport_33"=dword:00000001

既然放入了注册表，那就应该可以看到啊，为何看不到？
楼上的兄弟用过8.0吗？如果规则里有，则导入后这些都可以看到的啊。。

[ 本帖最后由 enhanwei 于 2008-1-27 11:54 编辑 ]

显示全部楼层 · 发表于 2008-1-27 14:43:26

看来楼主还没有搞清楚。
自定义规则是在这里：  "AccessProtectionUserRules"=hex:

另外那些规则只能这样看，即使导入了注册表，那些也不是规则的有效值，所以看不到。咖啡8.5能支持变量路径吗？显然是不可以的。

"FileBlockRuleName_28"="禁止在 System32 文件夹中创建新文件 (任何文件)"    —— 规则名称
"FileBlockProcess_28"="*"                                                                                              ——要包含的进程
"FileBlockWildcard_28"="%windir%\\system32\\*.*"                                                 ——要阻止的文件或文件夹
"FileBlockWhat_28"=dword:00010000                                                                      ——要阻止的操作
"FileBlockReport_28"=dword:00000001                                                                   ——阻止、报告

[求助] WIN2003下，导入"综合性防护规则(较强保护)"，可有些规则看不到呢？

回复 3楼 enhanwei 的帖子