{转贴}Mcafee VirusScan v8.0i规则包合并教程（文件防护部分）

ericz

多种规则包的存在导致了很多咖啡新手可能会陷入进退两难的境地，一方面规则包一旦导入将覆盖原先设置，造成不能同时使用两个规则包；另一方面又想把几个规则包融合起来更加安全和全面。。。。或者想在自己的规则基础上补充一些自己认为合适的其他规则。但手动添加规则比较麻烦。。特别是当想要添加的规则为数较多的时候。。

　　于此风云因而变色草木为之含悲之时，这个教程诞生了～～HOHO～～

　　申明：本教程是体力活，没什么技术价值，仅仅为那些希望知道如何合并规则的朋友提供方便，如有不妥之处欢迎指出，谢绝辱骂。

　　


　　1.我先导出自己的规则包。（如果想合并现成的2个规则包就不必导出自己的了,直接跳到第2步）

　　如图，运行regedit之后找到[HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking]，右键导出注册表。


   
                          比如我导出后保存为“我现在的规则.reg”文件。




    2.右键点击“我现在的规则.reg”（或其他现成规则包），选择“编辑”，则记事本将打开这个reg文件。






3.同样右键记事本打开其他你想要合并的规则包，比如爱虫的防流氓软件规则包。

　　经过观察你可以发现，文件保护的规则内容都由5行组成，是这样的格式：

　　QUOTE:

　　"FileBlockRuleName_81"="禁止多多表情2"

　　"FileBlockProcess_81"="*"

　　"FileBlockWildcard_81"="**\\Common Files\\*sand*\\**"

　　"FileBlockWhat_81"=dword:00050000

　　"FileBlockReport_81"=dword:00000001其中

　　“81”为该规则的号数。有几条规则，则有几个号数。

　　FileBlockRuleName表示规则的名称

　　FileBlockProcess表示规则阻挡的进程，*表示所有进程

　　FileBlockWildcard表示规则阻挡路径

　　FileBlockWhat表示规则阻挡的内容（参见下表）

　　QUOTE:

　　FileBlockWhat

　　r=Read access to files  读取文件

　　w＝Write access to files  写入文件

　　e=Files being excuted  执行文件

　　c＝New files being created  创建文件

　　d=Files being deleted  删除文件

　　1:dword:00020000 r

　　dword:00040000 w

　　dword:00080000 e

　　dword:00010000 c

　　dword:00100000 d

　　2:dword:00060000 r+w

　　dword:000a0000 r+e

　　dword:00030000 r+c

　　dword:00120000 r+d

　　dword:000c0000 w+e

　　dword:00050000 w+c

　　dword:00140000 w+d

　　dword:00090000 e+c

　　dword:00180000 e+d

　　dword:00110000 c+d

　　3:dword:000e0000 r+w+e

　　dword:00070000 r+w+c

　　dword:00160000 r+w+d

　　dword:000d0000 w+e+c

　　dword:001c0000 w+e+d

　　dword:00190000 e+c+d

　　dword:000b0000 r+e+c

　　dword:001a0000 r+e+d

　　dword:00130000 r+c+d

　　dword:00150000 w+c+d

　　4:dword:000f0000 r+w+e+c

　　dword:001e0000 r+w+e+d

　　dword:001b0000 r+e+c+d

　　dword:001d0000 w+e+c+d

　　dword:00170000 r+w+c+d

　　5:dword:001f0000 r+w+e+c+dFileBlockReport代表响应方式（参见下表）

　　QUOTE:

　　FileBlockReport

　　dword:00000002  warning mode  警告模式，报告访问尝试，但不阻挡

　　dword:00000000 block access  but do not report  阻挡，但不报告

　　dword:00000001  block and report access attempts  阻挡，并且报告了解了注册表里面规则的定义之后，我们要做的就是将自己需要的规则从别的规则包里面复制粘贴到自己的规则里。

　　比如，我想添加爱虫的“禁止鸡毛信”规则，则我从爱虫的规则里面复制

　　"FileBlockRuleName_81"="禁止鸡毛信安装"

　　"FileBlockProcess_81"="*"

　　"FileBlockWildcard_81"="**\\temp\\IXP*.tmp\\**"

　　"FileBlockWhat_81"=dword:000f0000

　　"FileBlockReport_81"=dword:00000001

　　粘贴到“我现在的规则.reg”的末尾。






并修改一下规则编号，使其不产生重复：



OK，改完了保存一下。这时候你导入修改保存好的注册表，会发现咖啡的规则确实是多了你添加的“禁止鸡毛信”规则，但并未启用。当然如果是你自己用的话，大可以添加完注册表之后自己手动启用未启动的新加规则，但如果你想制作的reg导入规则更完美的话，可以自己添加控制规则启动与否的注册表文件。具体内容如图所示的地方：







一般而言，这里的控制规则是否打开的注册表文件的数量是与你制定的规则的数量相当的。但也可能你发现这里的数量比你制定的规则的数量多，那是因为你曾经制定了更多的规则，但后来删掉了。而这些控制规则开启与否的注册表文件并没有因为规则删掉了而消失。

　　总之，看看是否有与你添加规则号数相一致的“FileBlockEnabled_n"(n代表号数)。如果没有的话就自己添加一行“"FileBlockEnabled_n"=dword:00000001”

　　dword:00000001表示规则开启

　　dword:00000000表示规则不开启。



4.全部添加修改完了之后，保存下该文件。之后双击导入“我现在的规则.reg”



5.查看一下咖啡的规则，看是不是如你所愿增加了你添加的规则。。

zxc789

可能以后用得着～～

小邪邪

看起来是蛮不错的方法

tomjohnjoan

谢谢楼主的分享！

尽管这个年代 不提倡搞个人崇拜，
但是
我还是
有些情不自禁啦！

佩服佩服！