咖啡企业版 排除qq去广告补丁无效

atboy

打了qq去广告的补丁，但咖啡对补丁报毒（误报），试着在按访问扫描属性里设置排除（如图），但在打开QQ程序的时候，仍然被杀掉啦（localvip.DLL）。

随后在有害程序策略里设置排除，还是无效。求助各位，是我设置有误还是bug？

atboy

附：QQ去广告补丁下载
http://www.hxlive.cn/archives/560/

gwwhite

atboy 发表于 2010.10.13 11:14
打了qq去广告的补丁，但咖啡对补丁报毒（误报），试着在按访问扫描属性里设置排除（如图），但在打开QQ程序 ...

2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。
3、双星号(**)表示在反斜线(\)字符前后任意多个层级的目录，即文件夹可以新建，但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称，（*.*）表示任何文件，不包括文件夹，即只有一层文件夹内的文件被保护。
（\**）与（\**\*）均表示在当前目录下任意多个层级目录里的任何文件和文件夹。


10、“访问保护”不支持环境变量。环境变量的出现，是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法，比如windows2000的系统文件夹是WINNT，而windows XP的系统文件夹是WINDOWS，如果在2000下使用绝对路径编写的规则，在XP下就会失效，为了解决这一问题，McAfee在8.0i版时允许使用环境变量，比如%windir%无论在任何系统内都表示系统文件夹，这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了，原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少，随着windows vista以及电脑高端配置的出现，使用XP以上系统的用户会越来越多，而XP系统已成为了最基本的操作系统，因此从8.5i版开始，McAfee将只认可XP以上的系统，规则的通用性自然就会以XP系统为底线来编写，所以环境变量的存在已失去意义，当然就会退出舞台咯。
11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名，该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件，而非监控软件，“访问保护”只是辅助杀毒的一种手段，通过McAfee的内置规则不难看出，McAfee只提供对系统文件夹的保护，而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的，所以对McAfee来说，他的内置规则是不受文件夹更名威胁的。前面也说了，McAfee不是做监控或者保密软件的，他不支持保护个人的隐私文件和文件夹，那是否McAfee就因此也不保护一些重要的文件呢，不是，McAfee会保护全盘下的某一类文件，如**\*.exe，但是这样又会给使用带来诸多不便，从而影响实用性，可操作性也大大降低，在此种情况下，排除进程应运而生，所以编写规则时应尽量避免非系统文件夹的出现，使用通配符*，再配合排除进程才是最完美的规则。


1.3排除进程中不赞成使用通配符*，因为病毒会伪装成任何进程，风险度提高，建议使用绝对路径。

1.6排除路径中有一种以“\??\”或“\\?\”打头的路径，编写规则时若将“\??\”或“\\?\”去掉的话便无法排除该进程，这是因为该进程已注入内存，所以在排除时已不是原路径，而是内存中的路径，所以需要以“\??\”或“\\?\”打头。“\??\”表示内存中的单个进程，多为系统进程，如??\C:\WINDOWS\system32\csrss.exe；“\\?\”表示在内存中除自身进程外，还注入在内存其他进程中，多为应用程序进程。

猫大叔

回复 3楼 gwwhite 的帖子

学习了。

atboy

可以了哦，多谢，嘿嘿

wsx520zdz

学习。。。。虽然不大懂。。。

殁十一

把QQ广告进程的文件删了

灰鹰

LS正解，直接把冗余可执行文件通通删光就行