企业版这个日志是什么意思，如何设置排除？

传说中的神话

企业版这个日志是什么意思？最近迷上了咖啡的企业版，想自己学习编规则，大家帮我看下这个是什么意思？如何排除？



2011-5-30        20:28:43        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\SogouInput\5.2.0.5225\userNetSchedule.exe        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取
2011-5-30        20:28:43        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\SogouInput\5.2.0.5225\userNetSchedule.exe        C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取
2011-5-30        20:28:43        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\SogouInput\5.2.0.5225\pinyinup.exe        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取
2011-5-30        20:28:43        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\SogouInput\5.2.0.5225\pinyinup.exe        C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取
2011-5-30        20:28:53        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\SogouInput\5.2.0.5225\userNetSchedule.exe        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取
2011-5-30        20:29:35        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\Program Files\KSafe\KSafeSvc.exe        C:\Documents and Settings\All Users\Application Data\kingsoft\ksbw\temp\~ksFE.tmp        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取






最好针对这段日志讲详细下，能起到举一反三，下次才能自己写规则

大猫熊

日志分为几个部分
1. 违规日期
2. 违规时间
3. 处理方式 - “已由访问保护规则禁止”表示McAfee已阻止此操作，而“将由访问保护规则禁止（当前不强制执行规则）”表示规则已触犯，但未阻止此操作
4. 行为用户，COMPUTER\Administrator表示计算机名为“Computer”，用户名为Administrator的帐户，有的时候是NT AUTHORITY/SYSTEM，或者NT AUTHORITY/LOCAL SERVICE，或者NT AUTHORITY/NETWORK SERVICE
5. 违规进程路径，表示此操作是由该进程进行的，你的例子中是搜狗拼音的userNetSchedule.exe进程和pinyinup.exe进程，以及KSafeSvc.exe进程，通过Google和百度你可以知道具体是什么程序，方便后面判断排除
6. 行为目标，即你所保护的对象，比如这个例子中就是IE缓存文件夹下的文件
7. 触犯的规则名，包括类别和具体规则名
8. 已阻止的操作类别，包括读取，写入，创建，删除，执行这五个

你的例子中，搜狗拼音的网络同步程序、升级程序，以及金山网盾的程序都试图读取IE缓存文件夹下的某文件，触犯规则，产生了这几条记录。

但是，如果是默认规则，是不会出现如此现象的。

下面来说说默认规则是怎么防守的

包含进程：?script.exe，主要是windows的脚本宿主，而在此规则里可以判断是*，即所有进程，你可以查查这条规则。
排除进程：无
保护的对象：默认规则都不会显示出来，但根据论坛里面的默认规则解析文件，这里的防护对象是**\temp**，即所有路径中包含文件夹开头是temp的文件，当然包括这里的IE缓存文件夹（C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat ）。
阻止操作：读取和执行

这条规则的目的是防止通过浏览器或别的程序漏洞下载到本地的脚本文件不会被windows脚本宿主（cscript.exe和wscript.exe）执行。但你的规则中将包含的进程由?script.exe扩展到所有进程，实际上禁止了所有程序读取各种缓存文件。

传说中的神话

alexyangjie 发表于 2011-5-30 21:01
日志分为几个部分
1. 违规日期
2. 违规时间

写的很详细，那我把要包含的进程*改成?script.exe这个可以吗？高手就是高手，

大猫熊

传说中的神话 发表于 2011-5-30 21:22
写的很详细，那我把要包含的进程*改成?script.exe这个可以吗？高手就是高手，

是的，这样就恢复了默认的规则。

传说中的神话

alexyangjie 发表于 2011-5-30 22:53
是的，这样就恢复了默认的规则。

如果不想恢复默认的规则，想自己编写，排除里面改怎么改啊？主要就是这段2011-6-1        12:01:05        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\KSafe\KSafeTray.exe        C:\Documents and Settings\Administrator\Local Settings\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取
2011-6-1        12:01:05        已由访问保护规则禁止         COMPUTER\Administrator        C:\Program Files\KSafe\KSafeTray.exe        C:\Documents and Settings\Administrator\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat        防间谍程序最大保护:禁止从 Temp 文件夹执行脚本        已阻止的操作: 读取

这个金山的总是弹出来

大猫熊

传说中的神话 发表于 2011-6-1 12:49
如果不想恢复默认的规则，想自己编写，排除里面改怎么改啊？主要就是这段2011-6-1        12:01:05        已由访问保护 ...

排除的进程里面写C:\Program Files\KSafe\**

传说中的神话

alexyangjie 发表于 2011-6-1 13:26
排除的进程里面写C:\Program Files\KSafe\**

谢谢斑竹了，这样写真的可以了，用户了几天企业版，发现真的很强大