再发一个规则包，有兴趣的试下

小邪邪

有意思的是，自己在试验其中的一条规则的时候，发现怎么排除都不行，还是日志不断

最后在排除表里添上了“SYSTEM”，世界从此清净了。。

firboy

版主能否对此规则做些介绍也好让我们决定用不用?

小邪邪

就是通过研究了一些病毒和木马的常见入侵方式，以及用一个从没打过补丁的漏洞百出的IE浏览器来频频进入一些毒网，超毒网，从而出总结这些恶意网页的常见和非常见入侵方式之后，在“超级版”的基础上在增补了一些完善规则
“主动式蜜罐技术”。。。。。

比如曾遇见某个恶意网站会试图在非系统盘的Program Files目录下的任意一个子目录下生成一个VBS脚本（属于非常见）
同时也发现其实自带的规则对于篡改IE行为（改首页，菜单等）已经是有很好的防御能力了

wweir

支持了，下了学习一下！

renjiescut2001

哈哈，小邪邪同志，真实mcafeefans呀。
想问一下，您是干什么的？（职业）

zwhnn

这个是在你的超级版基础上改的吗？

acpi

是够ZL的，这个规则大家还是尽量要小心着用，彻底锁死系统，是把病毒基本上绝了，但是也不好用了，再者拿杀毒当防火墙，只能更多产生日志，系统更慢

小邪邪

是有能够锁定系统的规则，但默认是不会打开的
呵呵，对于只用一个mcafee做监控的人来讲，我当然要尽量发掘出它的潜质，注册表监视，文件监视，应用程序启动监视，所有的事都要它一个人做
曾经也定制过许多监视注册表的每一处地方的超BT规则，后来全都删掉了，安全是没得讲，但自己也受不了那种设置繁琐，呵呵，默认的已经足够

Loneliness

晕..这规则壳太厚了.......

小邪邪

呵呵，因为我要让它不需要再搭配其它的软件，这样监控只需一个，资源应该不会很大的

我这里虽然内存256，速度还是暴快的

[ 本帖最后由 小邪邪 于 2007-1-15 00:51 编辑 ]