搜索
楼主: 柯林
收起左侧

[其他相关] 分享个最终的规则

  [复制链接]
柯林
 楼主| 发表于 2019-5-7 20:19:58 | 显示全部楼层
wujiangyi 发表于 2019-5-7 08:41
怎么导出自定义的规则呢?~

单条规则应该是很难的,毕竟保存在注册表里,直接修改注册表数据,一般人搞不了

导出的都是整个的设置——访问保护 (64位系统是HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking)
wujiangyi
发表于 2019-5-7 22:23:29 | 显示全部楼层
柯林 发表于 2019-5-7 20:19
单条规则应该是很难的,毕竟保存在注册表里,直接修改注册表数据,一般人搞不了

导出的都是整个的设置 ...

原来如此,多谢啊,学习了
wujiangyi
发表于 2019-5-7 22:25:34 | 显示全部楼层
柯林 发表于 2019-5-7 20:19
单条规则应该是很难的,毕竟保存在注册表里,直接修改注册表数据,一般人搞不了

导出的都是整个的设置 ...

多问一句,是不是我导出后,重装mcafee的话,导入导出的这个注册表项就行了呢?
柯林
 楼主| 发表于 2019-5-9 09:03:31 | 显示全部楼层
wujiangyi 发表于 2019-5-7 22:25
多问一句,是不是我导出后,重装mcafee的话,导入导出的这个注册表项就行了呢?

是的,规则就是这一个
你用别人的规则,应该先备份自己的规则或者安装时默认的规则
tiger699
发表于 2019-5-10 07:42:33 | 显示全部楼层
谢谢分享!
马云波波波
发表于 2019-5-20 18:02:39 | 显示全部楼层
柯林 发表于 2019-2-17 15:52
好像关系不大,规则只是限制exe之类的文件创建,其它没什么影响。如果说杀破解,那是咖啡云的功能,与规 ...

柯大,向你请教一个规则的问题(昨天我一个朋友问我的,她自己编写的规则,我也好长时间都没有研究咖啡了)这个朋友跟我一样,系统和应用程序都装在C盘,E盘上存放着一些病毒样本(均为exe病毒)

问题一:
规则名称:exe文件禁读-E盘
要包含的进程:explorer.exe
要排除的进程:
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件操作:读取



规则名称:exe文件禁读-E盘
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件操作:读取



以上两条规则在使用当中区别在哪?差别大吗?


问题二:
规则名称:exe文件禁运-E盘
要包含的进程:explorer.exe
要排除的进程:
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件操作:执行



规则名称:exe文件禁运-E盘
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:E:\**\*.exe
要禁止的文件操作:执行



以上两条规则在使用当中区别在哪?差别大吗?



柯林
 楼主| 发表于 2019-5-21 11:55:25 | 显示全部楼层
马云波波波 发表于 2019-5-20 18:02
柯大,向你请教一个规则的问题(昨天我一个朋友问我的,她自己编写的规则,我也好长时间都没有研究咖啡了 ...

做到禁读,基本上已经属于拦截了---第一步都读取不到文件,后面的执行之类都是没用的。
第一种设置,禁止是禁止了explorer去读取、执行,别的程序还可以去读取操作;第二种设置,就是禁止所有程序去读取执行了,安全性当然第二种更好。

既然是病毒样本,防止误操作比较重要,还是推荐第二种设置,可以考虑设置两条
1、禁止任何程序读取、写入、删除该目录,排除explorer
2、禁止任何程序执行该目录,谁也不排除
zgj_lz
发表于 2019-5-21 13:34:49 | 显示全部楼层
本帖最后由 zgj_lz 于 2019-5-21 17:09 编辑

学无止境,化入毛豆。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛|卡饭乐购| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 苏ICP备07004770号 ) GMT+8, 2019-9-16 12:48 , Processed in 0.045422 second(s), 5 queries , MemCache On.

快速回复 返回顶部 返回列表