使用Mcafee检查病毒工作原理

sanjian

在互联网发展比较普及的情况下，难免感染病毒，或测试病毒工作原理一边手动清除病毒。

本人从事IT多年，一直都是用或依赖Mcafee这个杀毒软件，下面如果写得不好或不对的地方还请各位高手多多指点，谢谢！
以下方法主要用于IT管理员，或安全管理员检查新病毒。
首先看一下我的规则，我的规则比较严格，从系统默认规则到自定义规则我都根据工作情况增加和筛检过，并且不断更新，注意我的Mcafee是脱离EPO的，否则EPO会自动同步，将删除自己的规则。
如下图一

现在主要介绍一下如何利用mcafee检查病毒工作原理：
其实很简单，在介绍定义规则检查病毒原理前，我们仔细分析一下我上面的规则，为了防止USB病毒我增加了autorun规则禁止读，写，访问和执行，一旦符合这条规则时mcafee马上提示，并记录备案，mcafee检查病毒工作原理也是适用此规则，此原理。
病毒运行包含以下几个方面：文件的创建，端口访问或连接外部资源，以及注册表键值的创建，程序运行，其实从大类来分，就这些，我们将根据这几项创建mcafee的自定义规则来分析病毒的整个工作过程，以便我们轻松删除病毒。
1.
文件和文件夹创建阻止规则
新建一个文件/文件加阻止规则：

如下图二

禁止从本地执行任何文件，一旦执行将提示有病毒，记录备案。


如下图三



2、端口访问规则保护和记录
创建一个端口阻止规则


将所有端口全部阻止，注意出产和入站分开创建，这样检查记录时比较容易分析：




1.
注册表保护规则
  建立一个新的注册表阻止规则




1.
程序运行
  程序运行规则，我们上面创建规则时已经设置，即操作项中所选中的规则。
现在我们已经全部建立完成，应用我们刚才创建的规则，你就可以等待病毒发作了，并且你也可以看到mcafee不断的告警，观察几分钟后你将上面所有规则删除，并且检查mcafee的访问保护日志，你就发现并且是从那里执行，做了哪些工作，然后你就可以根据这些日志手动清除病毒。

切忌：上面规则将导致mcafee不断有病毒提示等，该规则用于病毒检查和病毒测试，切勿用于正常工作，谢谢！

下

[ 本帖最后由 sanjian 于 2008-7-7 15:31 编辑 ]

sanjian

写得不好，还请各位多多指点，转载请著名版权，谢谢！

末日逐沙

好严厉的规则 对于普通用户几乎没有实用意义 不过还是学习了点东西 嘿嘿

sanjian

切忌：上面规则将导致mcafee不断有病毒提示等，该规则用于病毒检查和病毒测试，切勿用于正常工作，谢谢！

只选上报告不就好了

harrytien

呵呵，我是没那个心，测试病毒，然后手动清除，太麻烦了

psychopath

强,适合学习电脑知识的规则

毒枭

好严厉~想起了邪版的超级A86~呵呵

sanshui-1

太严厉了吧，对于日常工作来说没有任何意义，会折磨死人的

末日逐沙

那不是给人用的  是给实验病毒的用的