楼主: 墨池
收起左侧

[技术原创] 和我一起品咖啡——McAfee 8.8 规则设置(代教程),更新规则为正式版

  [复制链接]
墨池
 楼主| 发表于 2011-3-22 23:02:45 | 显示全部楼层
回复 50楼 bighead 的帖子

谢谢你的细心!你的观点我也赞同。默认规则一般只阻止.exe和.dl,自定义规则好多都是对默认l规则的补充,保护更全面。自己设置或修改规则宽严可以自主决定。
booke
发表于 2011-3-23 09:39:59 | 显示全部楼层
墨池 发表于 2011-3-22 22:14
回复 39楼 booke 的帖子

兄弟,不行啊!一旦有排除规则就失效,这样自虐还行,编成规则恐怕不合适。在XP下 ...


mcafee 8.8 win7 x64 sp1

2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:06
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
D:\Program Files (x86)\Snagit 10\snagiteditor.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:07
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Program Files\NetLimiter 3\nlsvc.exe
C:\Windows\Temp\etilqs_R31gbpGaImrWK5dEqbdO
用户定义的规则:新规则
已阻止的操作: 创建
2011/3/23
9:35:09
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Windows\System32\svchost.exe
C:\Windows\Prefetch\RUNDLL32.EXE-D06F7900.pf
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:09
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Windows\System32\svchost.exe
C:\Windows\Prefetch\CHROME.EXE-87153B56.pf
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:12
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_idx.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_32.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_96.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_256.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_1024.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:13
将由访问保护规则 (当前不强制执行规则) 禁止
Acer-PC\Acer
C:\Users\Acer\AppData\Local\Google\Chrome\Application\chrome.exe
C:\Users\Acer\AppData\Local\Microsoft\Windows\Explorer\thumbcache_sr.db
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:18
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Windows\System32\svchost.exe
C:\Windows\Prefetch\DLLHOST.EXE-896DB558.pf
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:19
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Windows\System32\svchost.exe
C:\Windows\Prefetch\SEARCHPROTOCOLHOST.EXE-AFAD3EF9.pf
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:19
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Windows\System32\svchost.exe
C:\Windows\Prefetch\SEARCHFILTERHOST.EXE-AA7A1FDD.pf
用户定义的规则:新规则
已阻止的操作: 写入
2011/3/23
9:35:28
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Program Files\NetLimiter 3\nlsvc.exe
C:\Windows\Temp\etilqs_hcF6a5CZRS9EdwmkjXET
用户定义的规则:新规则
已阻止的操作: 创建
2011/3/23
9:35:48
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Program Files\NetLimiter 3\nlsvc.exe
C:\Windows\Temp\etilqs_cfBTIneUdhNRkW7kFpqc
用户定义的规则:新规则
已阻止的操作: 创建
2011/3/23
9:36:08
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Program Files\NetLimiter 3\nlsvc.exe
C:\Windows\Temp\etilqs_Jd0XBf7cgfQWOCt7Pfad
用户定义的规则:新规则
已阻止的操作: 创建
2011/3/23
9:36:10
将由访问保护规则 (当前不强制执行规则) 禁止
NT AUTHORITY\SYSTEM
C:\Windows\System32\svchost.exe
C:\Windows\Prefetch\AVWSC.EXE-3F986FB6.pf
用户定义的规则:新规则
已阻止的操作: 写入


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
booke
发表于 2011-3-23 09:43:04 | 显示全部楼层
墨池 发表于 2011-3-22 23:02
回复 50楼 bighead 的帖子

谢谢你的细心!你的观点我也赞同。默认规则一般只阻止.exe和.dl,自定义规则好多 ...

你排除失效,可能是系统问题,也可能是和你的其它规则冲突
我刚试了,排除照样有效
hew
发表于 2011-3-23 10:12:59 | 显示全部楼层
收藏了,谢谢分享
小翟
发表于 2011-3-23 13:52:11 | 显示全部楼层
我还是复制了,做成txt,回去好好学习一下,直接导入,有点不适应
墨池
 楼主| 发表于 2011-3-23 18:34:34 | 显示全部楼层
booke 发表于 2011-3-23 09:43
你排除失效,可能是系统问题,也可能是和你的其它规则冲突
我刚试了,排除照样有效

在2008 R2 下又试了,文件名用通配符如*.*排除无效,用完整文件名有效,如:
*\Program Files*\McAfee\Common Framework\FrameworkService.exe, C:\PROGRA~2\McAfee\COMMON~1\McScanCheck.exe, C:\Windows\Explorer.EXE, C:\Windows\System32\msdtc.exe, C:\Windows\system32\services.exe, C:\Windows\system32\svchost.exe
这样排除虽然麻烦,其实更安全。这样的讨论价值非常,真是受益匪浅,一直想用咖啡实现带毒不中毒的设想终于找到了实现方法。感谢兄弟的坚持,感谢兄弟的一再提示和实践!同时更希望兄弟继续努力,提供一些想法和思路,编出新的规则。再次致谢!
墨池
 楼主| 发表于 2011-3-23 18:39:07 | 显示全部楼层
小翟 发表于 2011-3-23 13:52
我还是复制了,做成txt,回去好好学习一下,直接导入,有点不适应

这样最好!举一反三,要渔自得鱼!
richzz
发表于 2011-3-23 20:13:59 | 显示全部楼层
  太感谢了,极其详实有用,虽然看不懂
booke
发表于 2011-3-23 21:29:07 | 显示全部楼层
墨池 发表于 2011-3-23 18:34
在2008 R2 下又试了,文件名用通配符如*.*排除无效,用完整文件名有效,如:
*\Program Files*\McAfee\C ...

一起学习。
我排除进程时大都是排除绝对路径,尤其是系统文件或者敏感程序的排除
相对路径比较简练,也比较省事,共享规则给新手时更方便。
hello8888
发表于 2011-3-24 15:27:38 | 显示全部楼层
好贴支持~慢慢学习~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:41 , Processed in 0.096270 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表