谈谈关于McAfee8.5排除项的注意事项

ukey

McAfee8.5的文件与注册表规则的填写比之8.0多了“要排除的进程”项，这给我们带来方便的同时，也给病毒的渗入创造契机。所以科学的填写排除项是很有必要的，在此我谈谈我对排除项如何科学的填写以及如何才能便于排除项得以科学的填写的一些看法。当然，这些看法既是对前辈们经验的总结，也是对他们经验的升华，希望能对新手朋友们有所帮助，不正确的地方也请各位朋友指正。
一、排除项最好以绝对路径进行排除
这个不用我多说了吧，水哥强调这一点也不是一次两次了。

二、在安装程序时，最好集中安装在一个文件夹（后文均以ABC代表这种功能文件夹）下，以便于以绝对路径进行整体排除。
说明：
大家不要把绝对路径狭义的理解为路径的最后非要以某个确切的进程结尾，如：D:A\B\ABC\abc.exe（方式一） ，思维应该放开一点，D:A\B\ABC\**（方式二）同样可以理解为绝对路径。大家知道排除项的填写空间是有限的，如果你在排除时采用方式一来对每个需要排除的进程进行排除，那么会占用大量的排除项空间，这样会导致要排除的系统进程没有足够的空间来以绝对路径排除。但是如果你采用方式二来进行排除，那么就可以避免这个问题的发生，并且还可以省却对众进程一一排除之苦。

三、合理选择ABC文件夹，好充分的利用咖啡的默认规则来保护你的排除项，避免不信任程序的渗透。
说明：
采用方式二的填写有个弊端，就是如果不信任程序悄然在ABC文件夹中创建了可执行文件，那么就会造成安全按隐患。针对于这一点，我们可以充分的利用咖啡的默认规则来保护好你的排除项。这样在ABC文件夹下，就不能创建可执行文件，除非你允许和信任的。那么问题的关键就在于ABC文件夹的选择了。
例子：
迎冬版规则中，水哥好几条规则中的排除项中都采用的**\Program Files\**方式排除，所以此时的ABC文件夹就选择成的是Program Files文件夹，那么这样就充分利用好了咖啡默认规则中的“禁止在 Program Files 文件夹中创建新的可执行文件”，所以这个排除项不会产生被不信任程序渗透的可能。所以只要你将程序安装在Program Files文件夹下，就充分的利用好了这条默认规则来保护好了排除项。如果你要另外创建集中安装的文件夹，那么你还要创建规则来保护这个文件夹，没有必要嘛。

四、将程序集中安装在一个文件夹时，也要在该文件下进行分类，以便在不同规则中进行分类整体排除。
说明：
在某些规则中，有些一些进程可以排除，一些进程不需要排除，如果你将不需要排除的也排除了，无疑会带来安全隐患，所以不能笼统的采用D:A\B\ABC\**方式排除。而是需要在ABC文件夹下按程序的用途进行分类，比如说一类程序安装在D:A\B\ABC\D路径下，而另一类程序安装在D:A\B\ABC\E路径下······这样在针对不同的规则时，就可以按照类分别进行整体排除。
例子：
“禁止 HTTP 通信”的排除项中，只是要排除你信任的程序中有必要访问80和443端口的进程，而其它的则不需要排除，如果你笼统的以**\Program Files\**排除，那么没有必要访问80和443端口的进程也被你排除了，这样造成安全隐患，比如说你的暴风安装在了Program Files文件夹中，但是暴风没有必要访问网络，如果让其访问网络可能还会被别有居心者利用。
所以将程序安装在Program Files文件夹中时，在里面要进行分类。比如说有必要访问网络的你安装在**\Program Files\文件夹名1（这个文件夹名最好以非汉字命名，因为如果采用汉字命名可能会造成其下某些软件无法正常使用）\路径下。没有必要访问网络的就安装在Program Files文件夹的另一个文件夹下。这样你在填写“禁止 HTTP 通信”的排除项时，就可以填写成：**\Program Files\文件夹名1\**，这样排除起来就比较严谨了。

注：
大家不仅要考虑到排除项如何填写才科学，还要考虑到如何才能创造科学填写的条件，两者都是同等重要的。


忘记出自那里了，也不知道是不是这里，感觉很有帮助，收益匪浅，所以分享。

[ 本帖最后由 ukey 于 2008-6-22 10:55 编辑 ]

伊莉莎黑

麦粉丝社区的

livv8

顶置帖子里面就有，比这个好多了
难道 LZ 在灌水