各位高手们来讨论写规则的思路呀

qiumu

这两天有点时间就在玩玩规则，可是我发现我的自己思路不清楚了，
之前的思路是：
1、默认规则基本上有选择的开启，规则里的排除项都删除，全改成排除C:/windows/**/*.exe，？:/PROGRAM FILES/**/.exe文件夹，给这两个文件夹无限的权限
2、用户规则都通过添加规则对这两个文件夹进行多多关照，参考了小邪邪的，
3、用户日常操作要是受到限制就排除，这里会不会出现问题呀，我安装软件有时候不要关规则，汗，要是病毒岂不是……
4、我是喜欢玩玩而已，也想和各位爱好者多多讨论，没有兴趣的请绕过哈~~
思路是什么？思路是什么？
如何才能不影响用户使用，但是外来的（不是用户下载的）莫名文件（比如病毒、木马）不能运行，运行了也发作不了，留不下任何垃圾。

我爱小洁

1、McAfee的杀毒凌驾于一切规则之上！即设置规则禁止对染毒文件做任何操作，在McAfee杀毒时，该规则失效。所以不要介意将规则中的“删除”选项选中，因为即使禁止删除该文件，若该文件染毒，McAfee一样照杀不误。 2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。 3、双星号(**)表示在反斜线(\)字符前后任意多个层级的目录，即文件夹可以新建，但任何文件夹中的文件均被保护。一个星号(*)表示任意一个或部分目录名称，（*.*）表示任何文件，不包括文件夹，即只有一层文件夹内的文件被保护。（\**）与（\**\*）均表示在当前目录下任意多个层级目录里的任何文件和文件夹。 4、在“要禁止的文件操作”里，除了“创建”外，其余四项都是对已有的文件进行操作，一般情况下，“写入”、“创建”和“删除”可以一同禁止，而且禁止“写入”有时需要禁止“创建”，否则系统会在此文件夹中创建TMP*.tmp的临时文件（垃圾文件）。 5、读取：对已有的文件进行读取操作，但不执行文件的内容； 写入：对已有的文件进行写入操作，即对文件的内容进行修改，删除等； 执行：对已有的文件进行执行操作，即执行文件的内容； 创建：在文件夹中创建一个新的文件；删除：对已有的文件进行删除操作，包括修改文件名。 6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明：空白项：默认状态，无任何意义。 HKLM：表示HKEY_LOCAL_MACHINE主键。 HKCU：表示HKEY_CURRENT_USER主键。 HKCR：表示HKEY_CLASSES_ROOT主键。 HKCCS：表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。 HKULM：表示HKCU+HKLM+HKEY_USER三大主键。 HKALL：表示所有主键。可以近似地当作自定义项来使用。 7、将“访问保护”中所有的“报告”取消，则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止，且用户尚未查看报告。 8、“阻止”与“报告”若同时选中，则既阻止又报告；若只选中“阻止”，则只阻止不报告；若只选中“报告”，则只报告不阻止。 9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。 10、“访问保护”不支持环境变量。环境变量的出现，是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法，比如windows2000的系统文件夹是WINNT，而windows XP的系统文件夹是WINDOWS，如果在2000下使用绝对路径编写的规则，在XP下就会失效，为了解决这一问题，McAfee在8.0i版时允许使用环境变量，比如%windir%无论在任何系统内都表示系统文件夹，这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了，原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少，随着windows vista以及电脑高端配置的出现，使用XP以上系统的用户会越来越多，而XP系统已成为了最基本的操作系统，因此从8.5i版开始，McAfee将只认可XP以上的系统，规则的通用性自然就会以XP系统为底线来编写，所以环境变量的存在已失去意义，当然就会退出舞台咯。 11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名，该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件，而非监控软件，“访问保护”只是辅助杀毒的一种手段，通过McAfee的内置规则不难看出，McAfee只提供对系统文件夹的保护，而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的，所以对McAfee来说，他的内置规则是不受文件夹更名威胁的。前面也说了，McAfee不是做监控或者保密软件的，他不支持保护个人的隐私文件和文件夹，那是否McAfee就因此也不保护一些重要的文件呢，不是，McAfee会保护全盘下的某一类文件，如**\*.exe，但是这样又会给使用带来诸多不便，从而影响实用性，可操作性也大大降低，在此种情况下，排除进程应运而生，所以编写规则时应尽量避免非系统文件夹的出现，使用通配符*，再配合排除进程才是最完美的规则。 12、规则越多，监控的负担越大。规则的编写应该具有总结性，应该是某一类行为的概括，应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据，将所有的规则分为“层”，例如，当“访问保护”开启时，用户“执行”的任何操作，McAfee都会将之与所有包含“执行”的规则一一比对，如果此时规则很多，可想而知，监控的负担会变大，使用会变的迟缓，当然，对于高配置计算机，这个变化也许不是很明显，但系统资源仍会被消耗。 13、HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统： FD：File Defend，文件防御体系 AD：Application Defend，应用程序防御体系 RD：Registry Defend，注册表防御体系三、访问保护中需要排除的进程 1、说明： 1.1以下未提及者排除项均为“空”！因为McAfee的内置规则中排除进程太多，安全性降低，绝大多数进程可删除。 1.2红字部分为应用软件，用户可根据不同的使用环境与自身需要情况而调整，为方便用户阅读，故显示为红色。 1.3排除进程中不赞成使用通配符*，因为病毒会伪装成任何进程，风险度提高，建议使用绝对路径。 1.4“用户自定义的规则”里的“2、禁止在计算机中创建新文件”，在“要排除的进程”中不必加入McScript.exe。原因如下：当McAfee升级病毒库时，需调用FrameworkService.exe和McScript_InUse.exe两个进程，这两个进程中任何一个被阻止，升级都将失败。当FrameworkService.exe被阻止时，McAfee会调用McScript.exe进程来做一些升级失败的善后事情，而当McScript_InUse.exe被阻止时，McAfee却不会再调用其他程序了，升级会直接失败。当升级成功，也就是说FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了，McScript.exe进程也不会被调用，因为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。 1.5对于部分应用软件进程排除的说明： 1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”，必要时需暂时停用“访问保护”。 1.5.2部分应用软件需开机运行的，如迅雷、鱼鱼桌面秀等，要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。 1.5.3如果将应用软件一一排除的话，不仅工作量大，且排除进程多了，安全性降低了，另外应用软件的设置一般都是一次性的工作，排除进程的话没有任何意义，因此，需要排除的进程，必然不是一次性的工作，比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时，就需要排除该进程了。 1.5.4应用软件的进程名有时会随着该软件版本的升级而改变，需要实时关注，比如迅雷，现在是Thunder5.exe，等版本升级到迅雷6时，可能进程会改名为Thunder6.exe。 1.6排除路径中有一种以“\??\”或“\\?\”打头的路径，编写规则时若将“\??\”或“\\?\”去掉的话便无法排除该进程，这是因为该进程已注入内存，所以在排除时已不是原路径，而是内存中的路径，所以需要以“\??\”或“\\?\”打头。“\??\”表示内存中的单个进程，多为系统进程，如??\C:\WINDOWS\system32\csrss.exe；“\\?\”表示在内存中除自身进程外，还注入在内存其他进程中，多为应用程序进程。 2、进程排除： 2.1“防间谍程序标准保护”： “保护 Internet Explorer 收藏夹和设置”，排除C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\rundll32.exe,C:\WINDOWS\Explorer.exe,C:\Program Files\Maxthon\Maxthon.exe 说明：排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹；排除Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏；当rundll32.exe与Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置；排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。 2.2“防间谍程序最大保护”： “禁止所有程序从 Temp 文件夹运行文件”，排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。说明：排除McScript_InUse.exe是允许McAfee升级病毒库。 2.3“防病毒最大保护”： 2.3.1“禁止更改所有文件扩展名的注册”，排除C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe。说明：排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。 2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”，排除C:\Program Files\Maxthon\Maxthon.exe。说明：排除Maxthon.exe是允许遨游浏览器可以进行网页（论坛）下载。 2.4“通用标准保护”： 2.4.1“禁止修改 McAfee 文件和设置”，排除C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe。说明：排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。 2.4.2“禁止修改 McAfee Common Management Agent 文件和设置”，排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。说明：排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。 2.4.3“禁止修改 McAfee 扫描引擎文件和设置”，排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。说明：排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中，以便回滚DAT之用。 2.5“通用最大保护”： 2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”，排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。说明：排除McScript_InUse.exe是允许McAfee升级病毒库。 2.5.2“禁止在 Program Files 文件夹中创建新的可执行文件”，排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。说明：排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。 2.5.3“禁止 FTP 通信”，排除C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\Program Files\Maxthon\Maxthon.exe。说明：排除Thunder5.exe是允许迅雷可以进行FTP下载；排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。 2.5.4“禁止 HTTP 通信”，排除C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe。说明：排除FrameworkService.exe是允许McAfee升级病毒库；排除Thunder5.exe是允许迅雷可以进行HTTP下载；排除Maxthon.exe是允许遨游可以上网且不会无故中断；排除QQGame.exe是允许QQ游戏能够运行；排除TTPlayer.exe是允许千千静听可以下载歌词。四、用户自定义的规则 1、对未知程序的行为控制说明：该系列规则防护相当强大，使用时需根据使用环境随时调整，但因为排除进程太多，故安全性降低，以“1.1禁止未知程序的任何操作”为例，为了不影响日常使用，排除了浏览器和下载工具，所以并不能阻挡病毒从外部创建到计算机中，虽然可以禁止其执行，但病毒源已存在于计算机中，威胁依然存在，因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。 1.1禁止未知程序的任何操作要包含的进程：* 要排除的进程：C:\WINDOWS\System32\alg.exe,C:\WINDOWS\system32\ctfmon.exe,\??\C:\WINDOWS\system32\winlogon.exe,\??\C:\WINDOWS\system32\csrss.exe,C:\WINDOWS\system32\lsass.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\System32\svchost.exe,C:\WINDOWS\system32\logonui.exe,C:\WINDOWS\system32\RUNDLL32.EXE,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\services.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE,C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE,C:\WINDOWS\system32\taskmgr.exe,C:\WINDOWS\system32\NOTEPAD.EXE,C:\Program Files\McAfee\Common Framework\McTray.exe,C:\Program Files\McAfee\Common Framework\UdaterUI.exe,C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe,C:\Program Files\McAfee\Common Framework\naPrdMgr.exe,C:\Program Files\Thunder\Thunder.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbconfig.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\IconPackager\IconPackager.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE,C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE,C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\TTPlayer\TTPlayer.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe,C:\Program Files\鱼鱼软件\鱼鱼桌面秀\XDeskShow.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Tencent\QQ\CoralQQ.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\PROGRA~1\KMplayer\KMPlayer.exe,C:\PROGRA~1\NFSU2\speed2.exe要阻止的文件或文件夹名：**\* 要禁止的文件操作：读取、写入、执行、创建、删除说明：该规则属于FD的极致规则，类似于AD，利用FD模仿AD的行为控制，但并不如真正的AD完美与强大，若McAfee与具备AD的HIPS相配合，该规则就没有存在的意义了。排除进程中黑字为系统进程，蓝字为McAfee进程，这两种进程如无必要，无需调整，红字为应用软件，需根据用户使用环境调整。 1.2禁止未知程序的任何网络行为要包含的进程：* 要排除的进程：C:\WINDOWS\system32\svchost.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe要阻止端口：1～65535 方向：入站、出站说明：该规则类似于防火墙，阻止了不信任程序对网络的访问。排除进程中黑字为系统进程，蓝字为McAfee进程，这两种进程如无必要，无需调整，红字为应用软件，需根据用户使用环境调整。 1.3禁止未知程序的任何注册表行为说明：该系列规则属于RD的极致规则。需要注意的是，若“1.1禁止未知程序的任何操作”开启，则该系列规则毫无意义，因为排除进程是一样的，所以不被“1.1禁止未知程序的任何操作”阻挡的进程，也必然不会被该系列规则阻挡，反之，已经被“1.1禁止未知程序的任何操作”阻挡的进程，也没有能力再碰触到该系列规则了。因为“1.1禁止未知程序的任何操作”是FD模仿了AD的行为控制，反之AD却无法模仿FD，总体来说FD应该是HIPS中最强大的防御系统，如果FD与AD相配合达到对计算机的完全保护，那么即使是RD中属于极致的规则都变得多余了，因此可以得出FD强于AD，AD强于RD，但三者其实各有所长，对于不同的用户群，FD、AD和RD都发挥着各自的能力。 1.3.1禁止未知程序的任何注册表行为(项) 要包含的进程：* 要排除的进程：同“1.1禁止未知程序的任何操作” 要保护的注册表项或注册表值：HKALL/** 规则类型：项要阻止的注册表操作：写入、创建、删除

我爱小洁

1.3.2禁止未知程序的任何注册表行为(值) 要包含的进程：* 要排除的进程：同“1.1禁止未知程序的任何操作” 要保护的注册表项或注册表值：HKALL/** 规则类型：值要阻止的注册表操作：写入、创建、删除 2、禁止在计算机中创建新文件说明：该系列规则对部分格式文件禁止写入、创建和删除，以主要操作“创建”而命名这一系列规则，同时也为了与内置规则“禁止在 Windows 文件夹中创建新的可执行文件”相对应，该系列规则在“要禁止的文件操作”中不可选中“执行”，因为“执行”的操作在排除进程上要比“写入、创建、删除”的操作多的多，故从安全性考虑，该系列规则与“1、对未知程序的行为控制”系列规则相配合，才能使“访问保护”趋于完善。 2.01禁止在计算机中创建新的.exe文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Thunder\Program\Thunder5.exe要阻止的文件或文件夹名：**\*.exe 要禁止的文件操作：写入、创建、删除说明：排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库；排除Explorer.exe是为了日常使用时不受该规则限制，例如复制、粘贴、移动、删除等等的操作；排除WinRAR.exe是允许压缩软件释放压缩包，尤其是绿色软件；排除Thunder5.exe是允许迅雷下载软件。 2.02禁止在计算机中创建新的.dll文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe要阻止的文件或文件夹名：**\*.dll 要禁止的文件操作：写入、创建、删除说明：该规则的排除进程基本与2.01规则一样，仅仅去除了对Thunder5.exe的排除，因为日常使用中，一般不会用迅雷下载DLL文件，以下的规则中不排除Thunder5.exe皆是此理。 2.03禁止在计算机中创建新的.bat文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.bat 要禁止的文件操作：写入、创建、删除说明：排除WinRAR.exe是允许绿色软件可以直接解压使用；排除Explorer.exe也是允许绿色软件可以复制、粘贴、移动、删除等等的日常操作。 2.04禁止在计算机中创建新的.chm文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.chm 要禁止的文件操作：写入、创建、删除 2.05禁止在计算机中创建新的.com文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.com 要禁止的文件操作：写入、创建、删除 2.06禁止在计算机中创建新的.cpl文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.cpl 要禁止的文件操作：写入、创建、删除 2.07禁止在计算机中创建新的.ini文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe要阻止的文件或文件夹名：**\*.ini 要禁止的文件操作：写入、创建、删除说明：该规则有些特殊，需要排除FrameworkService.exe与McScript_InUse.exe进程，目的是允许McAfee升级病毒库；除此，还需要排除一些常用的应用软件，许多应用软件在使用中都需要写入ini文件，为方便日常使用，因此加以排除。 2.08禁止在计算机中创建新的.msc文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.msc 要禁止的文件操作：写入、创建、删除 2.09禁止在计算机中创建新的.msi文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.msi 要禁止的文件操作：写入、创建、删除 2.10禁止在计算机中创建新的.ocx文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.ocx 要禁止的文件操作：写入、创建、删除 2.11禁止在计算机中创建新的.pif文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.pif 要禁止的文件操作：写入、创建、删除 2.12禁止在计算机中创建新的.scr文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.scr 要禁止的文件操作：写入、创建、删除 2.13禁止在计算机中创建新的.sys文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.sys 要禁止的文件操作：写入、创建、删除 2.14禁止在计算机中创建新的.vbs文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.vbs 要禁止的文件操作：写入、创建、删除 2.15禁止在计算机中创建新的.vxd文件要包含的进程：* 要排除的进程：C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe 要阻止的文件或文件夹名：**\*.vxd 要禁止的文件操作：写入、创建、删除 2.16禁止在计算机中创建新的autorun.inf文件要包含的进程：* 要阻止的文件或文件夹名：**\autorun.inf 要禁止的文件操作：读取、写入、执行、创建、删除说明：该规则不同于该系列规则中的其他规则，目的是禁止某些病毒的自动运行 3、禁止部分系统工具的操作 3.1禁止通过注册表编辑器与.reg文件对注册表进行任何操作要包含的进程：* 要阻止的文件或文件夹名：**\regedit.exe 要禁止的文件操作：读取、写入、执行、创建、删除说明：只此一条，就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作，需要注意的是，该规则不属于RD，只通过FD对注册表外部进行保护，RD是对注册表内部进行的保护。 3.2禁止管理工具的操作要包含的进程：* 要阻止的文件或文件夹名：**\mmc.exe 要禁止的文件操作：读取、写入、执行、创建、删除说明：管理工具里都是重要的系统工具 3.3禁止格式化命令format的运行要包含的进程：* 要阻止的文件或文件夹名：**\format.* 要禁止的文件操作：读取、写入、执行、创建、删除说明：针对一些格式化病毒的防护措施 3.4禁止net命令的运行要包含的进程：* 要阻止的文件或文件夹名：**\net*.exe 要禁止的文件操作：读取、写入、执行、创建、删除说明：对远程攻击的防护措施 3.5禁止at命令的运行要包含的进程：* 要阻止的文件或文件夹名：**\at.exe 要禁止的文件操作：读取、写入、执行、创建、删除说明：对远程攻击的防护措施 4、保护部分重要的系统文件 4.1保护系统盘根目录下的文件要包含的进程：* 要阻止的文件或文件夹名：C:\*.* 要禁止的文件操作：写入、创建、删除说明：系统盘根目录下都是重要的系统文件 4.2保护ghost文件要包含的进程：* 要阻止的文件或文件夹名：**\*.GHO 要禁止的文件操作：读取、写入、执行、创建、删除说明：对系统备份进行防护 5、禁止任何远程操作要包含的进程：System:Remote 要阻止的文件或文件夹名：**\* 要禁止的文件操作：读取、写入、执行、创建、删除说明：通过文件保护禁止了远程的一切行为四．保存设置和规则说明：将HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection两个注册表项全部导出，包含子项目，即保存了所有设置和规则，再将导出的两个注册表文件合并到一个文件中，若使用时只须导入即可。一、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore中包含的规则设置 1.1访问保护：（这个值只有在访问保护关闭时才能访问，一旦导入也将覆盖所有以前的访问保护设置！） HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\AccessProtectionUserRules 1.2缓冲区溢出保护：（其中*表示数字0、1、2、3、4、5……） HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\BOPExclusionProcess_* 1.3电子邮件传递扫描程序：HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\Email Scanner 1.4有害程序策略：（其中*表示数字0、1、2、3、4、5……） HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\NVP\UserDefinedDetection_* 1.5按访问扫描程序：HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration以及Default（默认设置）、High（高风险进程）、Low（低风险进程）二、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection中包含的规则设置 2.1隔离管理器策略：HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection 2.2按需扫描（完全扫描、目标扫描）： HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks\{21221C11-A06D-4558-B833-98E8C7F6C4D2}和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\DefaultTask（默认） 2.3AutoUpdate：HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks\{A14CD6FC-3BA8-4703-87BF-E3247CE382F5}（默认）

我爱小洁

有点复杂，楼主慢慢研究吧！

qiumu

原帖由 我爱小洁 于 2009-11-9 17:02 发表
有点复杂，楼主慢慢研究吧！

哈哈，多谢，我把你发的复制下来了，慢慢研究咯

yongjiao

hehe,真的是好文章，慢慢学习，慢慢消化。

yc513847

原帖由 我爱小洁 于 2009-11-9 16:47 发表
1、McAfee的杀毒凌驾于一切规则之上！即设置规则禁止对染毒文件做任何操作，在McAfee杀毒时，该规则失效。所以不要介意将规则中的“删除”选项选中，因为即使禁止删除该文件，若该文件染毒，McAfee一样照杀不误。 2、 ...

太强悍了 复制下来慢慢学习消化

大猫熊

你的思路是正确的，能运行的地方(program files, windows 之类的)不给予写入，能写入的地方(临时文件夹, 默认下载文件夹)不给予运行，安装软件前自己对软件要有了解，如果不确定的可以google baidu，文件小的直接上传virustotal先查查，信任软件，就可以关闭访问保护，安装软件。安装完毕后开启，仍是铜墙铁壁。

arthur1zmd1

好长的总结啊……………………慢慢学习……

主将从现

说说我的，对于官方规则，我基本全开，只有虚拟机保护和两三条条其它规则没开，并且基本没有修改，但是添加了不少排除。基本上是自己安装软件，然后被阻挡，排除相应路径。默认规则的时候安装软件碰到的阻挡很少，可是开多了官方规则后自然就多了，就加一些路径排除，比如**\windows\**、**\program files\*\**\*.exe，之所以pro文件夹后多加一个*，无非是想路径更详细些，更安全些，当然估计作用不大。

默认规则基本是邪版的盗版。然后排除一些路径


感觉这么做之后，安装软件基本不需要关闭规则了。好处并非是图安装软件方便，因为我这么做，卸载的时候依然会被没有路径排除的规则所卡，方便有限。最大的作用是增加安装软件时的安全性。众所周知，全面的规则，装软件时需要关闭规则，而此时却恰恰防护最薄弱。但我这么做之后，可以保证安装时也受部分规则保护，就是那些保护系统的最基本规则，让被安装软件只能在指定的范围内安装工作，不能跑到别的文件夹作怪。当然了，排除了一些路径肯定会降低平时的安全性，不过这就是我能做到最大的平衡点了