楼主: 墨池
收起左侧

[技术原创] 温馨推出:McAfee8.8 墨池安全通用(自由定制)规则 + 排除说明

  [复制链接]
booke
发表于 2011-6-11 23:33:15 | 显示全部楼层
墨池 发表于 2011-6-10 21:55
需要在“禁止远程创建/修改可执行文件和配置文件”、“将所有共享项设为只读”相应的系统组和软件组同时 ...

我知道怎么排除。我是说的应该在以后修订时考虑到这两个或者更多类似安装在user目录下的软件
墨池
 楼主| 发表于 2011-6-12 00:38:30 | 显示全部楼层
booke 发表于 2011-6-11 23:33
我知道怎么排除。我是说的应该在以后修订时考虑到这两个或者更多类似安装在user目录下的软件

不好意思,我理解有误!
墨池
 楼主| 发表于 2011-6-12 00:39:20 | 显示全部楼层
WEI.ER 发表于 2011-6-11 22:12
我爱死你的整合规则了。

感谢支持!
WEI.ER
发表于 2011-6-13 09:09:01 | 显示全部楼层
前来汇报战况,笔记本安装好以后,导入规则,无法安装USB鼠标驱动,插入USB鼠标,系统自动安装驱动被拦截,需要暂停保护才能安装,不是bug的bug
墨池
 楼主| 发表于 2011-6-13 12:14:56 | 显示全部楼层
WEI.ER 发表于 2011-6-13 09:09
前来汇报战况,笔记本安装好以后,导入规则,无法安装USB鼠标驱动,插入USB鼠标,系统自动安装驱动被拦截, ...

这个应该根据日志排除一下。能贴出需要排除的进程或日志吗?
xjchris
发表于 2011-6-13 12:30:05 | 显示全部楼层
墨池 发表于 2011-6-4 13:17
本楼定期收集整理系统进程排除补充,以方便后来者。除非有重大缺陷,本规则不再更新,请使用的朋友 ...

你的老版规则中,自定义规则多了一条:
保护AppData下的Windows文件
包含:**
排除:*\CCleaner\CCleaner*.exe, *\McAfee\**\*.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\NOTEPAD.EXE, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe
要阻止的文件:**\AppData\**\Windows\**
禁止的行为:写、创建、删除

这个规则和你现在的规则有重复和冲突的地方么,还有必要添加么
墨池
 楼主| 发表于 2011-6-13 12:34:12 | 显示全部楼层
xjchris 发表于 2011-6-13 12:30
你的老版规则中,自定义规则多了一条:
保护AppData下的Windows文件
包含:**

不用加,有部分重复。
WEI.ER
发表于 2011-6-13 13:52:42 | 显示全部楼层
墨池 发表于 2011-6-13 12:14
这个应该根据日志排除一下。能贴出需要排除的进程或日志吗?

客户机,已经取走了,无法贴出排除的进程或者日志了,下次在遇到类似情况,我即使截图保留。
xjchris
发表于 2011-6-13 15:17:39 | 显示全部楼层
墨池 发表于 2011-6-13 12:34
不用加,有部分重复。

很感谢,玩规则也这么多年,一换WIN7就糊涂咯
xjchris
发表于 2011-6-13 17:35:22 | 显示全部楼层
本帖最后由 xjchris 于 2011-6-13 22:57 编辑
墨池 发表于 2011-6-4 13:17
本楼定期收集整理系统进程排除补充,以方便后来者。除非有重大缺陷,本规则不再更新,请使用的朋友 ...


你的全局禁止执行_系统组,自定义规则的效果是什么,
我不排除非program files文件夹,一样可以运行其中的EXE文件啊,包括安装包和电子书(关闭其他禁止规则)
是不是哪有问题


另外:
规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:*.*
要排除的进程:*\Program Files*\**\*.*, *\PROGRA~*\**\*.*, *\Windows\**\*.*
是否勾选报告:是
------------------------------------------------
    排除说明:添加安装在非Program Files下的软件目录和光驱(如X:\**\*.*,X代表光盘盘符)。
这个规则,如果不排除其他软件目录,EXE文件一样可以执行,是不是我理解不对

建了个规则测试了一下,打开其他电子书和软件,是通过explorer.exe和svchost.exe等系统程序运行,因为排除了,所以可以运行。不知道是不是这样。规则:阻止对所有共享资源的读写访问,应该也是类似的问题。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:15 , Processed in 0.087567 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表