Mcafee 8.7i怎样用规则防住这个病毒

xietingfeng

     先简单介绍下，我用的规则是——气流防病毒规则+自己新增的一些，我病毒是放到“安装程序”里打开的，规则默认是安装程序目录里的文件基本可以装到任何目录，我添加了3条“禁止写入启动项、禁止写入Windows目录、禁止写入任务计划”，我把病毒放到“**\安装程序\**”目录时，总共产生了4条日志，如下：
D:\安装程序\测试软件.exe C:\WINDOWS\Ivikea.exe 用户定义的规则:禁止WINDOWS文件夹写入、创建、删除EXE文件操作 已阻止的操作: 创建
D:\安装程序\测试软件.exe C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 用户定义的规则:禁止写入任务计划启动项 已阻止的操作: 创建
D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\OTGV1DNWQQ 用户定义的规则:测试软件（注册表） 已阻止的操作: 写入
D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings 用户定义的规则:测试软件（注册表） 已阻止的操作: 写入


     虽然禁止写入Windows目录，但重启后在windows目录还是产生了Ivikea.exe，也多了一个进程，想问当这病毒处于“**\安装程序\**”目录时，如何添加规则阻止它运行？？？


  我把病毒防到别的地方，打开总共产生8条日志，当然病毒也没发作，日志如下：

D:\Ocuzua.exe C:\WINDOWS\system32\imm32.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\lpk.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\imm32.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\shell32.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\msvcp60.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\psapi.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\ws2_32.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行
D:\Ocuzua.exe C:\WINDOWS\system32\faultrep.dll 用户定义的规则:禁止未授权程序进行文件操作（执行） 已阻止的操作: 执行

  为了看它的破坏力，我测试了一下，产生的日志如下：

2010-10-5 17:38:47 已由访问保护规则禁止  ZYX\Z Y X D:\安装程序\测试软件.exe C:\WINDOWS\Tasks\{35DC3473-A719-4d14-B7C1-FD326CA84A0C}.job 用户定义的规则:禁止写入任务计划启动项 已阻止的操作: 创建
2010-10-5 17:38:51 已由访问保护规则禁止  ZYX\Z Y X D:\安装程序\测试软件.exe C:\WINDOWS\Ivikea.exe 用户定义的规则:禁止WINDOWS文件夹写入、创建、删除EXE文件操作 已阻止的操作: 创建
2010-10-5 17:39:20 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\OTGV1DNWQQ\IjeE5 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:20 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cache 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:21 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Directory 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:21 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\Paths 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:21 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CachePath 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:22 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CachePath 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:22 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CachePath 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:22 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CachePath 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:22 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path1\CacheLimit 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path2\CacheLimit 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path3\CacheLimit 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings\Cache\Paths\path4\CacheLimit 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\Cookies 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Explorer\Shell Folders\History 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe C:\Documents and Settings\Z Y X\Local Settings\Temporary Internet Files\Content.IE5\index.dat 用户定义的规则:测试软件（文件） 已阻止的操作: 写入
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe C:\Documents and Settings\Z Y X\Cookies\index.dat 用户定义的规则:测试软件（文件） 已阻止的操作: 写入
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe C:\Documents and Settings\Z Y X\Local Settings\History\History.IE5\index.dat 用户定义的规则:测试软件（文件） 已阻止的操作: 写入
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:23 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\ProxyBypass 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:24 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\IntranetName 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建
2010-10-5 17:39:24 将由访问保护规则 (当前不强制执行规则) 禁止  ZYX\Z Y X D:\安装程序\测试软件.exe \REGISTRY\USER\S-1-5-21-1214440339-287218729-839522115-1003\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\UNCAsIntranet 用户定义的规则:测试软件（注册表） 已阻止的操作: 创建

是不是算防御成功要看你自己的定义，有进程也不代表中毒，关键是你要知道你的规则要把病毒限制在一个什么范围内，以便于你操作甚至手动删除。
比如默认规则里“阻止对所有共享规则的读写访问”一条就拦截八成以上的病毒，但由此带来的使用不便也可想而知

xietingfeng

我在样本区下了很多毒，就这一个重启后会在Windows产生一个.exe文件，删除是当然可以了，就想讨论下怎样阻止它写入windows目录

moreo

回复 3楼 xietingfeng  的帖子

样本在哪，麻烦给个地址，我试试看
   

Markel.Scofield

楼主有这个必要吗？迈克菲主要是FD这个主攻，他和Comodo不一样的。而Comodo恰恰是FD很粗糙。你把病毒都下载到本地磁盘了，迈克菲还防御个屁呀。除非你的迈克菲规则足够的彪悍和BT。用好迈克菲基本的FD防御足够，你把入口做好了，直接阻止未知exe的创建，直接阻止了新建修改exe,dll,sys,bat,cmd,vxd,hta,pif,ocx,scr,就不用担心这些东西还能运行，更谈不上破坏了。加上自带规则里的禁止在系统目录和Programfiles里面安装新的可执行文件，完全可以阻止病毒的创建，拒病毒于千里之外，连病毒都没有，何谈后面的防御，病毒再NB都是个残废。另外，迈克菲本身是以AV为主，规则为辅的。他和毛豆的理念不同。

xietingfeng

回复 4楼 moreo  的帖子

样本就在下面啊，“测试软件”就是
   

xietingfeng

回复 5楼 Markel.Scofield  的帖子

要禁止写入本地磁盘非常容易，只要不下载东西就行，打开什么网页都不会中毒，不过这样的话，那电脑还有什么用？
我可以判断得出来是否是病毒，也知道会造成多大的破坏，我只是讨论下如何阻止这个病毒的发作，你说的“直接阻止了新建修改exe,dll,sys,bat,cmd,vxd,hta,pif,ocx,scr，加上自带规则里的禁止在系统目录和Programfiles里面安装新的可执行文件”这些全禁止了，软件也就不能安装了，当然病毒也不会有了

Markel.Scofield

回复 7楼 xietingfeng  的帖子
哦，呵呵。你理解错了，我不是这个意思。对系统的重要文件夹进行保护呀，和毛豆的保护一样，你如果用了抓抓的规则就会知道的。怎么能禁止写入磁盘呢，这个规则还有什么用，你说对吧

   

xietingfeng

唉……
期待中……
期待气流中……
期待小邪邪中……