McAfee Host Intrusion Prevention 7.0 已清除内置规则

显示全部楼层 · 发表于 2010-8-6 19:55:30

本帖最后由叶生于 2010.8.6 19:56 编辑

回复 29楼 busihou 的帖子

谢谢lz的好心！
不过就我个人而言，主要程序几乎都是安装在系统盘，即C盘。因此，采用“C:\Program files\*”和“C:\windows\*"这两个Create规则就行了。

不过LZ或许可以把"?:\Program files\*”这样的规则，提供给一些hips新手——如果他们确定自己的电脑干净。这样，也会省却很多烦恼。

另外，请保留IPS规则，再次感谢！

显示全部楼层 · 发表于 2010-8-6 20:24:33

回复 31楼叶生的帖子
是不是你所需求的

如是请到一楼下载你所要的文件

显示全部楼层 · 发表于 2010-8-6 21:05:24

本帖最后由叶生于 2010.8.6 21:17 编辑

回复 32楼 busihou 的帖子

鼓掌谢谢LZ！

显示全部楼层 · 发表于 2010-8-6 21:20:40

本帖最后由叶生于 2010.8.6 21:24 编辑

回复 32楼 busihou 的帖子

在下愚见认为，认为HOOK，也即是应用程序挂钩危险等级比较高...

不过，既然是信任区域的编写方法，那么这些程序的hook也应该是安全的。

但是，不排除天朝某些软件比较流氓，要注入进程。

从遏制流氓软件的角度来说，出现挂钩时由用户选择比较好些，默认选择“创建下面的”即可！

不知LZ以为如何？

P.S.:我还没搞清楚咖啡hips的优先级规则，如果是个别程序规则优先于区域规则的话，那么LZ的这样编辑也没什么问题。只要例外地限制流氓软件也能达到效果。

显示全部楼层 · 发表于 2010-8-7 07:33:51

回复 34楼叶生的帖子

具我所了解,问题就在这里,如去掉HOOK的话,你就别想创建信任区以下的HOOK,HIP会直接给你禁掉,比如HIP自家程序也在禁止之列.
用了通配符,是没法用手动修改,所以我的初衷是全都取消,认大家自动学习各条规则

显示全部楼层 · 发表于 2010-8-7 07:36:51

回复 30楼 lifetime16 的帖子
是在原版的基础上改的

其实FireNetPrefs.txt文件只是一张表,供HIP程序比对

显示全部楼层 · 发表于 2010-8-7 16:30:53

本帖最后由叶生于 2010.8.7 16:36 编辑

回复 35楼 busihou 的帖子

原来如此...多谢指教！

另外，我发现，在hips的规则中，只要你加入了信任的区域，那么即使随后对于信任区域中的某个程序特别制定了禁止创建、挂钩的规则，该规则也不生效——换言之，信任区域规则优先于其他所有规则。
不过，可以通过VSE中的自定义规则，进行信任区域中的程序规则进行补充——这样一来，貌似就失去了hips的意义了...

我的初衷，是希冀借此种方式，一来是使得程序规则更简洁，提高执行效率；另一方面，也是希望初学者能够减轻一些负担...仅此而已。不过现在发现有些囧了...

显示全部楼层 · 发表于 2010-8-7 20:18:13

回复 36楼 busihou 的帖子

哈哈，那这下用得放心。谢谢啦

显示全部楼层 · 发表于 2010-8-9 17:22:11

支持楼主.

[技术原创] McAfee Host Intrusion Prevention 7.0 已清除内置规则