原创：mcafee8.5i企业版全功能简析

小邪邪

反病毒实时监控部分：
一般杀软所具备的反病毒监控功能，灵敏度高，对于已知威胁反应迅速准确，与系统结合度高，稳定性较好，
但是，特征码识别数量仍有待加强，对于提交的样本反应较慢，启发能力不算出色.

访问保护部分：

FD（文件保护）：
通过建立规则对本地文件读取，执行，修改，创建，删除等行为进行监控
也可以通过设置规则对某一类型文件的操作进行单独的控制

通过精密的设置可以达到极佳的保护效果，但是要达到好的防护效果设置起来会比较复杂
要求具备一定的电脑知识.

AD（程序启动控制）：
可以通过建立规则性的“AD规则”来管制对本地整个硬盘，或一个分区，或一个文件夹里的任何可执行程序的执行
也可以对本地任何一份单独文件的调用进行控制，能够在恶意程序被激活之前将其阻止.

但是设置起来比较复杂，属于规则性防御，安静但不够直观

一般来讲如果前面的FD部分能够成功将有害行为拦截，AD规则部分不需要起作用.

RD（注册表写入监控）：
一般来讲如果前面的FD和AD能够成功将恶意行为拦截，RD部分不需要起作用
但也有例外，有时RD部分可以用来阻止某些正常程序对注册表中的特定区域的写入行为

要设置注册表规则需要较高的电脑应用水平.

PD(网络端口控制）：
通过设置端口规则对访问互联网进行控制，有一定防程序外联功能
只是一个简单易用的网络防火墙，比不上专业级的防火墙.

有害策略部分：
针对某些不是病毒，但是可能对系统产生不好影响的程序进行预防和查杀
可以自己制定一些策略将某些特定的程序列为“病毒”加入到附加的病毒库中去
这个功能属于反间谍程序部分.

缓冲区溢出保护：
mcafee对所有进程截获了loadlibrarya、loadlibraryw、getprocaddress等api函数，方法类似api截获：将这些函数的开始几个字节改为call detectapiret，即调用entapi.dll中的某个检测函数(detectapiret)，该函数检查调用getprocaddress等函数的父函数是否处于堆或栈内，如果是，报警并退出当前进程；否则回到getprocaddress等函数。

对于系统中和一些应用程序中存在的安全漏洞起一定保护作用.

邮件监控：
顾名思义，就是对邮件的传递进行安全扫描，该功能从属于按访问扫描部分.

按需要扫描部分：
对内存中正在运行的进程，存在于硬盘上的，和可移动的存储设备上的文件进行更为深入的反病毒扫描.
如果是安装了反间谍模块的话，还增加了对注册表和cookies文件的扫描.



综上所述：mcafee8.5i是一款以防为主的防病毒软件.






[ 本帖最后由 小邪邪 于 2007-3-1 00:16 编辑 ]

mcsf

多谢分享！

苗条的猪

呵呵~~~谢谢邪主啊~~

hongtaow

小邪邪版主，你真是一个地地道道的高人啊，跟着你我学到了许多知识。现在在单位里我已经成为MACFEE使用者的专家了，深受大家爱戴，这都是你的功劳呀！衷心祝你新年快乐！

zea10t

学习一下。

zzybwdb_2007

进来看看~~~~学习新知识~~~~

下一个永远

不错,支持一下

jlennon

进来冲冲电！~！~

jshzdh

长知识……

zhengwei

楼主真是品咖啡的高手啊。