[原创]Mcafee应用的见解、思路和分析！（希望看后有启迪）

小红魔

卡饭论坛非首发，但确实是我的原创作品。希望大家喜欢。祝春节愉快。

[原创]Mcafee应用的见解、思路和分析。俺是新人不太熟悉环境写了点自己的看法，欢迎大家拍砖，谈不上什么见解、思路、分析都是自己使用的经验感觉可以这样包含而已。希望对大家有启迪。
mcafee和其他的软件一样，只是大家的侧重点不一样。诺顿相对来说对国际新暴发的病毒具有前瞻性，而国产的江民、瑞星等等对国内的病毒

查杀好一些（国际的病毒国内还没发作，也就没国外先接触到杀软更新查杀快了）。这点大家应该没有什么意见，所以根据这个理论选择一款

合适自己的杀毒软件来使用才是最科学的。
有一个理论大家是应该承认的：“杀毒软件总是跟着病毒屁股后面跑。”这个意思就是总是先有病毒发作才有杀毒软件更新查杀，所以我认为

对现有系统的保护应该是首要的。而mcafee的侧重点正是系统的防护，这样大家也就是觉得mcafee杀毒能力一般的原因了。而系统保护是多道进行的。
系统破坏的整个流程应该是这样的，1。通过介质感染此计算机系统 2。病毒侵蚀破坏系统，有很多病毒会使自己变成系统的一部分从而更加的难清除 3。感染所有通过此计算机的介质，然后再次感染其他机器。
整体思路应该是这样。所以要对系统进行保护必须要阻止上述流程的运作。
举例子说流程中3条路线对应的实际问题。

A通过介质感染计算机系统：最简单的就是U盘感染，windows自身设计的特点去自动执行盘符下的autorun.inf文件，现在有很多病毒都在利用

这个文件作怪，u盘插上了双击就感染了，这个U盘感染病毒的还是需要人为操作的，咱们说不用人为干预的。就是联网的计算机，默认会打开局域网共享访问，对应的就是那些135－139还有445端口了，这可以定义为抽象的介质来访问到你的计算机系统。如果没有错误这个135－139可是冲击波，震荡波的最爱。你系统安装好不打补丁联网就中标。我的2003五分钟挂掉。当时微软可是称他发布最安全，乃至世界最安全的系统，悲哀啊，好多人还在追捧windows下的服务怎么安全稳定怎么好。。汗了

B接着说病毒侵蚀破坏系统的事情：我没有记错应该是冰河木马查杀后出现记事本无法关联，exe文件无法执行的问题，这就是病毒把自己和计

算机系统结合成一体的例子，不过刚才说的是看得见的，用户看不到的不是更危险。

C感染所有通过此计算机的介质，然后再次感染其他机器的例子：这个好像不用具什么例子了，你的U盘中毒交叉感染到其他哥们的机器，然后

互相传染，这个不用细说了。不传染就不是病毒了。

下面说mcafee对应的东西
mcafee的访问保护功能中有对应的保护措施，里面的‘端口阻挡’是可以定义阻止比如135－139这些端口的服务。比如说我要封锁局域网共享，我就封锁135－139，445端口，规则的方向是入站。这样添加完就是不容许别人从局域网里通过\\ip的方式访问我，事情都是两面的。别人不能这样的访问我，如果我在局域网里面共享了打印机，那么共享的打印机也完蛋了。刚才我们添加的是别人不能局域网里面访问我，也许别人中毒了来攻击我，这条规则就起了作用。但是如果我的计算机中毒了，我可以去攻击别人，我不杀伯人，但伯人却因我而死，这样多不好意思。那我们再来添加一条规则，端口同样是135－139，445这几个，刚才的方向由‘入站’改变为‘出站’。他的意思就是你不能去访问其他计算机的135-139，445端口。看似简单的规则其实有很大的作用。如果在冲击波暴发之前能写上禁止他人访问我的规则，那么我的机器就很可能不中毒，如果中毒的机器上有禁止访问其他计算机的135－139，445端口的规则，那么这台计算机的感染性也大大下降。单机看不到效果。如果是在500台计算机的网络中，病毒暴发是多么可怕的一件事情。

接着说那个‘文件、共享资源和文件保护’的例子：典型的应用就是两个，第一是那种autorun.inf的病毒，会反反复复的中毒，它的整体流程是没有autorun.inf则创建，有autorun.inf就执行了。所以它对应的操作是创建，读取，写入，和执行，这个规则应该是所有进程都参加的。这个规则书写的时候就应该这样。包含进程那里用*号它代表所有，阻挡的文件名称：**\autorun.inf这里的**代表所有极其下属所有目录的文件。具体操作我们选择：读取、写入、执行、创建。这样弄完后，就没有办法在任何地方写入读取创建autorun.inf文件了。已经有autorun.inf的磁盘，双击也不会去执行autorun.inf里面的定义的东西了。第二个应用就是最近搞的很厉害的熊猫烧香病毒，它是会自动删除.gho备份文件的。大家可以利用刚才的办法去创建一个阻止删除.gho的规则。熊猫烧香病毒明显特征有两个传播通过135－139，445端口，删除gho文件。我负责的网络有2000台左右的计算机，目前为止熊猫烧香不敢说网络里面没有，但敢说没有暴发是真的，因为所有的135－139两年前均封锁了。要是暴发了可有的玩。

这几条增加完成后还有mcafee自身带的那些，相对系统就有些保障了。以后在出现新病毒或者恶意软件的话，相信没正式被查杀前大家能从容的被动阻止感染病毒了。我曾经修过这样的机器，中毒特征是autorun.inf文件和病毒宿主文件，但是宿主mcafee查不到。记得开始用的瑞星也没报。为不让系统遭破坏还不能让病毒发作，我填写的阻止执行和读取autorun.inf的规则。写上后病毒不发作了，机器变成病毒携带体了。系统不是很慢了。
网络上还有些朋友作出了阻止流氓软件的规则，我个人认为比较繁琐还一个最大的问题是流氓软件太多了，人为手动增加不起，有些没完没了的意思了。
现在好多人对杀毒软件的好坏完全是能否杀毒多少而定位出高低，感觉很误人子弟。杀毒多的就一点是优质的，其实有些错误。编写一个见到exe文件就说是病毒的软件，那这个软件一点第一了。而趋势，咔吧斯基，mcafee和诺顿这些厂家能被定义为世界知名杀软的理由并不单单是杀毒多少决定的，首先是对病毒的反映能力，在最短的时间内作出反映，还一个最重要的就是全局的安全性部署。这些公司都有全系列的产品线，比如说网络中部署了web，exchange邮件，sqlserver数据库，还有gateway和普通pc这5种类型的机器，这些品牌都有对应的产品无论你的服务器是什么系统都有产品对应。而且她们的服务器端或者叫中心管理端都很好的完美统一的控制整个网络，让你感觉到安全。这才是大厂的风范。所以东西用着比较放心。


说一下我选择mcafee的理由，mcafee杀毒以前很一般，最近才开始有所好转，所以杀毒的功能还算过的去。另外他拥有端口阻挡防火墙和文件保护规则，这2个功能模块让我省去安装两种软件。这样比较那些几个软件匹配出的问题相对少些，不过功能也少了，我个人认为mcafee就够用了。我实际的经验告诉我，咔吧杀毒真的很好，za的防火墙也是国际驰名，要是咔吧za一起来，效果不是杀毒好网络又安全，结果是安上就死系统就崩，不知道最近这两个还范相不了，最大的问题是我比较懒，一个mcafee就可以解决，我需要的东西，没必要安装那么多软件，计算机配置还不高，安装完软件，不懂行的哥们看完就得说系统太慢了，该从做了。^_^


如果大家有应用mcafee好的办法希望大家一起交流，我的qq：30482670

wweir

好像看到过，若真是楼主原创，那就支持了！

小红魔

只3个论坛发过，绅博GDATA AntiVirenKit，比特，和卡饭。不过大家转发我更喜欢。因为证明了我的看法有一定的正确性。

呆子

果然在比特见过.不过还是支持一下啦.

capf

正解,用CAFEE就是这种感觉,好比现在的警察与坏人,只要你不犯罪,警察就不管你

wooyard

好的东西，我都支持，在哪里发过没有关系！

jpzy

楼主的例子少了点～！不过提供的思路是正确的～！
但是咖啡的保护不深入底层，进程没有保护！我想配合一个HIPS软件会更好！！

xinlang0423

不错，学习中～！

yndlyb

谢谢分享,学习了,同意你对咖啡的评价.不过,这段时间用咖啡一直没有中毒,心理觉得哪里不对,一直在论坛上找杀软,渴望发现比咖啡更好的杀毒软件.

竹风

正解！！正解！！说咖啡是杀毒软件不如说是防毒软件，单是我看防毒比杀毒要高明的多呀