小邪邪以前发过的规则包，大伙儿来唠唠

紫夜篝火

记得以前小邪邪发过这个规则包，下来后一直用到现在。包括8.5和现在的8.7版都用的是这个规则包，不晓得8.5和8.7是否通用这个了？
看了最新发布优秀的规则包貌似都有规定任何程序请安装在任意盘根目录下的名字为"Program Files"的文件夹下面。软件基本上也都没装那里，我也懒得再换再排除了。
可以的话不知以前这套规则还行不行？




下面的就是小邪邪以前编写的关于这个规则包的，似乎没这帖子了。不过我电脑还存着TXT


McAfee VirusScan Enterprise8.5i增强版→超级版规则包


警告!：
使用此规则包不当将会严重阻碍您的系统和应用程序的正常运行
可能会造成无法关机，死机，甚至出现蓝屏等情况!
使用要点：
1强烈建议您在安装完所有需要的程序之后再使用此规则包

2此规则包将会覆盖掉您的所有访问保护规则，使用前最好请将您自己的规则导出备份

3默认排除了一些常用的正常进程，这对于系统和mcafee8.5i的正常使用和升级是很重要的

4您至少应该能够在阻挡日志中分辨出哪些属于程序的正常行为（可以添加到排除项中）
哪些被阻挡的行为是病毒的恶意行为（不能将其添加到信任表中）

5使用此规则包之前最好先将您的用户名目录下TEMP文件夹和IE的临时文件夹移动到C盘以外的其它盘中去
（并且不要在那些有关系统的重要规则中随便将IE加为排除进程）

6在启用此规则的情况下会造成无法安装，卸载程序（包括流氓软件），并且极可能会造成windows无法更新
在进行此类操作时请暂时停用访问保护，只保留mcafee8.5i的反病毒监控部分

7此规则包将系统的安装位置默认为定为是装在C分区（C盘中），请特别注意

此规则包在导入后默认为增强版（适用于中级用户）
在开启全部自定义规则的情况下为超级版（非高级用户请勿尝试）

规则包的新亮点：
独创了为每一条规则编号的新方法
分别为：A1-A100，B1-B32，C1-C100（合共232条自定义规则）
这样更利于快速排查的掉那些可被信任的进程
（看日志的时候请注意认准并记住相关规则前面的序号）

注意：规则包仅供参考，本人也从未试过开启全部的规则
因为规则全开起来会是异常严厉的，如果实在要试的，建议逐步开启，逐渐排除
（最后导出保存，以后都可以用的）

关于使用A86号超级防护规则的特别说明（设置技巧）：
A86号规则是一条威力十分强大的保护规则，防护力巨大但同时又十分强悍而霸道
在打开这条规则并且未添加任何“信任程序”的情况下会将你的整个“机器”锁定成为“无敌”状态
这样任何“未知”的程序（未被许可）都无法运行（包括系统程序）
建议您在使用一段时间后一定要用上这条规则
但是在使用的初期则千万不能开启这条规则，胡乱开启这条规则将会是一件令您很“痛苦”的事

要启用这条规则有两种方法：
方法一：
在使用了一段时间后，将默认规则的“防病毒爆发控制”里面的“将所有共享项设为只读”里面的排除进程全部复制
然后添加到这条规则的排除项里来，这条规则其实就是默认规则的防病毒爆发控制里面的“将所有共享项设为只读”的加强版
（推荐使用此方法）
方法二：
在初期只打开此规则的日志记录功能，但不打开阻挡功能，这样当有程序触动到这条规则时，只会被记录但不会受阻挡
以后可以通过查看日志逐一将该排除的排除掉，然后再开启这条规则
（要求您必须是有一定使用经验的用户）

这样，您机器上的那些未被信任的陌生程序绝对是无法私自运行的
即使真的有恶意程序进入到你硬盘中，也是无法启动的
但是当恶意程序试图启动时将会触动此规则并且被记录在日志
这时您可以通过查看日志，找到恶意程序然后用鼠标直接将其删除掉就可以了
（在这一方面似乎是比某些HIPS软件来得更绝了）

释疑：
为何我的规则里面没有设置防范已知流氓软件的规则？
须知流氓软件也是在不断的发展，不断的改名，不断的出新，防是防不过来的
网上流传的规则包虽然针对某些已知的流氓软件做了策略
但是这种“特征库”式的规则对于新的，或者“变种”的流氓软件没效果
（“有针对性的抗体系统”）
我的规则是不指定要防什么，但是绝对能防住任何未知的“流氓软件”
在开着防护的情况下即使自己想去装都装不上的（已试过）
甚至于自己亲手去执行一个新型的病毒都是中不了毒的
（已试过多次，运行“维金”和“熊猫烧香病毒”等病毒的最新变种，病毒体被完全抑制）
（“全防型的免疫系统”）

对一些系统里自带的工具程序实行控管政策有必要吗？
现在许多恶意脚本，病毒，木马都会调用系统自带的一些工具程序来为其“服务”
（比如windows的脚本宿主工具）
所以这是非常有必要的。

这些规则会与默认的规则重复吗？
不会，其中的某些规则其实就是默认规则的“加强版”

如果我有了更专业的防火墙，还需要打开端口阻挡规则吗？
端口阻挡规则会硬性屏蔽掉被阻挡端口的一切来路信息，属于“加强防护”
如果您使用的是更专业的防火墙，则可能不需要这些端口防护规则
（建议您使用更专业的防火墙）

为什么这个规则包里没有自定义的注册表规则？
曾在这个规则下直接运行过很多挺厉害的未知病毒，木马和流氓软件（打开了A86号超级防护规则）
由于都是一些新型的变种病毒（比如“维金”的变种），所以mcafee8.5i的反病毒监控无法识别出这些东西来
但是所有的这些恶意程序都被mcafee8.5i的“访问保护”完全抑制住了，丝毫都无法发作（只留下了一点日志）

换句话说：即使它能发作，未必就能进入C盘，即使进入了C盘，未必就能够进入到windows目录下，即使能够进入到windows目录下，未必就能够写注册表，即使能写注册表了，未必就能够实现自启动和添加服务
（这个规则包体现的正是我的一种“多层次防御”的理念）

所以在这个规则包里，mcafee8.5i自带的注册表防护其实已经很够用了
不需要再另外制定另外的注册表规则，以产生为不熟悉的人带来不必要的麻烦

最后：
壁垒往往是从内部被攻破的：
很多带有“主动防御”式功能的软件都会给程序的安装带来很大的麻烦
在安装程序的时候一般都应该将这些HIPS软件暂时停用一部分功能或者全部关掉（mcafee8.5i也不例外）
而现在很多的程序安装包都附带着一些其它的“杂七杂八”的东西，所以您应该对您所下载的东西有足够的认识
要下载程序最好去官网或比较正规的网站下载，下载后安装前最好再用一些查恶意程序工具进行一下全面的检查
当您确保已经打好了所有的补丁并且做好了所有的网络防御工作，而您的机器里又再次出现木马或病毒的时候
那么您应该想一想是否是您所下载过的软件带来的问题

在使用的初期您必须要频繁的排除掉一些程序，但是后期就会很“安逸”了，现在的小邪邪平时几乎是已经“忘记了它的存在”了
（如果我不是为了编这个规则包出来的话）

Esolo

8.5,8.7通用
按 楼主的 安装方式 ，估计要添加排除项

tetris

只要还在用XP，就可以使用那规则包

不过最好自己根据需要改一改

大猫熊

你要是不装program files里，估计啥程序都运行不起来。。。

woodm

拿来的在说是别人的,并不一定合适自己,比如说有人vista下也用,但是v下很多程序都安装在Program Files(x86)下面其中包括咖啡,所以需要自己修改和添加排除项,要是嫌麻烦个人体会还是不推荐用咖啡

bach

8.7可以用，这个算是比较好的规则了

wlgljmwym

应该会房住病毒