mcafee 规则关于c盘的进程

显示全部楼层 · 发表于 2008-3-15 14:35:54

建mcafee规则的时候
要排除或包含c盘的进程的时候该怎么写
是写成 c:\**
还是\??\C:\**
还是其他的写法
还有能不能说下为什么不能写成c:\**
查看日志的时候发现，明明有些程序就是在C:下，为什么日志上要写为\??\C:\。。。
可能这涉及到系统问题，不过我想弄明白！

显示全部楼层 · 发表于 2008-3-15 22:24:13

不懂，也想知道。帮你顶

显示全部楼层 · 发表于 2008-3-18 22:59:22

应该写成**\C:\**，原因不明

显示全部楼层 · 发表于 2008-3-22 10:02:25

唉！

显示全部楼层 · 发表于 2008-3-22 14:16:16

c:\**指c盘所有文件，\??\c:\**一般没有这样的写法，后边的**多指特定的进程，是在内存驻留的，所以开始名为\??\

显示全部楼层 · 发表于 2008-3-22 21:19:27

内存驻留？你确定？vista下面从来没有显示过\??\这个东西。。。

显示全部楼层 · 发表于 2008-3-22 21:33:09

\??\C:\是咖啡的一个BUG^_^ 保护C的话 C:\**是正确的

显示全部楼层 · 发表于 2008-3-24 23:44:58

谢谢大家的帮忙，虽然还是不明白
日志上写的就是这样的
2008-3-15 13:42:53 已由访问保护规则禁止 ZZU-L\lu \??\C:\WINDOWS\system32\csrss.exe C:\WINDOWS\WinSxS\Policies\x86_Policy.6.0.Microsoft.Windows.Common-Controls_6595b64144ccf1df_x-ww_5ddad775\6.0.2600.2180.Policy 用户定义的规则:禁止u盘病毒已阻止的操作: 读取

不知道\??代表的是什么意思

还有一个问题，就是：
我的禁止u盘病毒规则是这样的
要包含的进程：F:\**
要排除的进程：无
要阻止的文件或文件夹名：*
下面要禁止的操作全勾
老是有些程序会触犯这条规则，但是不明白为什么会触犯，比如我打开日志的时候就会触犯，日志如下：
2008-3-24 23:50:33 已由访问保护规则禁止 ZZU-L\lu **\NOTEPAD.EXE C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf 用户定义的规则:禁止u盘病毒已阻止的操作: 读取
NOTEPAD.EXE 不是c盘的文件么，不在包含的进程之列啊，为什么会触犯呢，想不明白，望高人指教！

[ 本帖最后由 cd1711 于 2008-3-25 09:12 编辑 ]

显示全部楼层 · 发表于 2008-3-26 15:46:34

帮帮忙吧

[求助] mcafee 规则关于c盘的进程