首页 > 经验技巧 > 计算机系统安全重在防毒!我用McAfee杀毒软件

计算机系统安全重在防毒!我用McAfee杀毒软件

2010年5月6日 7,913 浏览数 发表评论 阅读评论

  目前国内互联网环境非常恶劣:木马、蠕虫、网络钓鱼、流氓插件、恶意广告。。。铺天盖地,时时刻刻威胁着我们的爱机,说不定哪一天系统被攻破,我们的资料就会被窃取、破坏,我们的隐私就有可能泄漏。所以说系统安全不容忽视,一定要认真对待这个问题!
  木马(病毒)的开发者在设计它的时候为了防止被杀掉,而采取一系列的措施,比如:加壳、感染可执行文件进行自我复制、替换系统文件、映像劫持、驱动保护等等。一旦木马在系统中落脚,就很难彻底清除,像替换系统文件这种办法非常可怕,你把它删除了,你的系统也就完蛋了;像驱动级木马,大多采用互锁保护,非常难清理。木马已经侵入,传统的杀毒办法无能为力,所以说我们一要防止木马侵入。目前比较有效的办法就是使用沙盘或HIPS(主机入侵防御系统)。沙盘有时候并不太好用,而HIPS技术含量太高,一般用户很难掌握,在这里我推荐使用McAfee企业版杀毒软件,使用自带的HIPS模块来阻止木马的侵入!

  McAfee 8.7i 企业版: 点击下载!
  McAfee 8.7i 企业版SP3补丁: 点击下载!

  为何要选用McAfee?因为它是为数不多的,同时拥有杀毒和HIPS于一体的安全软件。McAfee是美国三大安全软件公司其中之一,他们的产品不光依靠启发式技术与病毒特征库来防御病毒,还依靠着拥有强大监控功能的防护规则来保护计算机正常运行。为啥我不使用国内杀毒软件,特别像免费的360杀毒那样?在每一年的国际安全软件评比中,来自中国的安全软件连前十位都进不了,像360杀毒内核用的是罗马尼亚的老牌杀软:BitDefender(比特梵德),所以用360不如直接用BitDefender好了,因为360用的就是它的免费版本。

下面带领大家来安装和使用McAfee!

  将文件下载到本地,用WINRAR解包以后,双击“SetupVSE.Exe”开始安装,出现以下画面:

点下一步

按照图上设置后点“确定”

选“典型安装”,再点下一步

选“标准保护”,再点下一步

出现“准备安装”画面,点“安装”

安装过程,请等待…然后出现如下画面:

按照图上设置,再点完成即可!

提示你重启系统,好吧!重新启动计算机

下载补丁程序,解包后双击“Setup.exe”开始安装

点下一步

安装过程

安装完成,非常简单!

这时候,你用鼠标右键单击任务栏通知区的图标,出现下图:

这时候你可以点击一下“关于VirusScan Enterprise”,可以看到产品“关于”页面

点击“立即更新”,它就会自动升级病毒库了,第一次升级会比较慢,我们可以先不做,等全部设置完了再升级。

  根据我四五年的使用感受,McAfee这件安全产品杀毒能力一般,但防毒能力很强!如果“访问保护”(HIPS模块)中策略设置严厉,理论上可以做到百毒不侵!并且策略设置简单,很适合新手使用。之前听到一些朋友说McAfee一点都不好用,杀不了什么毒,我打开他的配置一下,发现“访问保护”竟没做过任何自定义设置,连它最拿手的功能都没有启用,还指责它保护不了你!呵呵

鼠标右击通知区的图标,选择“VirusScan 控制台”即可打开主界面:

先讲一下常规杀毒操作办法:

  McAfee杀毒分为两部分:一部分是手动扫描杀毒,另一部分是实时监控。鼠标双击上图中的完全扫描,即可打开如下画面:

左侧是你可以添加或删除需要扫描的项目,完毕后点击右侧的启动,扫描就开始了。如果您嫌这样太麻烦,你也可以在“我的电脑”或“资源管理器”里,在要扫描的目标上点鼠标右键,选择“扫描威胁…”即开始杀毒。实时监控部分在“访问保护”开启的状态下是不能关闭的,选中“访问保护”再点上面的红色停止按钮,“访问保护”即被关闭!这时鼠标右击通知区的图标,在弹出的界面上“禁用按访问扫描”该项就可以点击关闭了。点击“按扫描访问属性”即可打开如下画面:

在这里您可以对实时监控进行设置。
  如果您发现McAfee误删除某个文件,您可以把文件加到“排除项”中,对已经删除的文件,你可以在主界面上双击“Quqrantine Manager策略”也就是隔离文件夹,在管理器中找到该文件,右键点击选择“还原”即可!
  如果您觉得适时监控很耗系统资源,您可以指定要扫描的文件类型,比如对系统有威胁的一些文件 如下图:

  主界面中的“AutoUpdate”是自动升级病毒库功能,默认是每天一次。您可以重新制定更新计划,比如每周一次。另外主界面中的“有害程序策略”默认是没有开启的,为了安全请开启它(在双击打开的界面上勾选所有的项目即可)。

下面重点讲解McAfee最精髓的部分“访问保护”

  描述一下动作过程:木马是个程序,它需要下载到你的磁盘上运行安装才能工作。我们可以在“访问保护”中设置策略,阻止一切可执行文件在系统盘上安装,这样别说木马无法下载到磁盘上了,就是你用U盘把它拷贝过来,它也无法安装到你的系统中去。

  双击打开“访问保护”

左侧是保护项目,右侧是该项目下的内容,阻止的动作越多,系统越安全,但是使用起来就会因为限制太多而不方便。如果您不想让它限制的太严,就用默认设置好了。由于篇幅关系默认项目我就不讲了,如果您想详细了解可以看看分隔线以下的资料。

  系统给你设定的安全项目,都是定死了。而我们通过“用户定义的规则”来制定我们自己的策略。

点“新建”

McAfee有三种保护类型,分别是:端口保护、文件保护和注册表保护
端口保护很简单,设置好端口号,再允许其出站或入站即可!注册表保护设置起来比较麻烦,搞不好会让windows无法工作,新手不推荐使用它。


文件保护,上图设置说明:禁止在C盘上创建和修改扩展名是EXE的文件,在所有进程里排除winrar.exe等进程。上图中“c:\**\*.exe”的“**”表示任意路径,比如在所有磁盘上禁止创建EXE文件:**\*.exe 我们把所有的危险文件都禁止在C盘上创建,木马又怎么能安装到我的系统中呢?常见的危险文件有:.exe .com .bat .sys .dll .reg .msi .msc .scr .vbs 等等。

  McAfee不光可以阻止文件创建还可以阻止文件删除、运行、修改等。所以说只要我们策略制定的详尽,病毒是无机可乘的!

下面是我自己简单设置的一些策略,下载后双击导入到注册表中即可!(如果提示导入失败,请先关闭访问保护,导入成功后再打开)点击下载自定义策略!

  我们在正常的使用中,McAfee如果阻止了某一非法动作,任务栏通知区的图标会有“红边”报警

这时我们可以右键点击该报警的图标,点击“打开访问保护日志文件”,看一下,是哪个动作触犯了哪条策略。只要查看一下日志,报警的图标即可恢复原样!

  时刻保持“访问保护”处在开启状态,您便可安心上网冲浪啦!
最后特别说明一下,设置了策略也阻挡了您的正常请求,请您在系统升级、软(硬)件安装与卸载时,暂停“访问保护”!!!

————————-我是分隔线—————————-

以下是我收集的一些有关McAfee的使用资料,想知道更多内容的一定要看看。
以下信息均来自卡饭论坛

mcafee 8.5i杀毒软件规则配置

一、软件安装
一、安装流程:
1、安装McAfee VirusScan Enterprise v8.5i,安装的最后不要选择“立即更新”
2、安装反间谍模块McAfee Anti-Spyware Enterprise Module v8.5
3、设置McAfee,导入自定义规则
4、升级病毒库,第一次升级很慢,而且往往不成功,最好下载superDAT安装,或者在“AutoUpdate”中设置固定时间让McAfee在后台自动升级,至此,安装已基本完成。
5、安装附加病毒库Extra.DAT,选择C:\Program Files\Common Files\McAfee\Engine路径。需要说明的是,附加病毒库列举的病毒都是疑似病毒,可能造成误报,当McAfee确认是真正的病毒后,将在下一次的病毒库升级时自动下载并加入到最新的标准病毒库中。如果Extra.DAT是错误的,将导致McAfee无法打开“按访问扫描程序”,另外,McAfee不支持附加病毒库的按访问扫描(监控),即如果此病毒被列入附加病毒库中,当McAfee监控到此病毒时,McAfee不会报毒,只有“按需扫描”时才会报毒,综上,附加病毒库不必安装。
6、关闭“访问保护”,将帮助文件更名为Vse,复制到D:\security\mcafee\VirusScan Enterprise\Res0402中即可在控制台中调用官方帮助文件。

二、病毒库备份:
1、病毒库位置在“系统盘:\Program Files\Common Files\McAfee\Engine”目录中,备份其中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文件,重装McAfee后,将这三个备份的DAT文件copy回“系统盘:\Program Files\Common Files\McAfee\Engine”目录,重启即可。
2、官方病毒库:(其中1234为DAT版本)http://www.mcafee.com/apps/downloads/security_updates/superdat.asp?region=us&segment=enterprise
http://download.nai.com/products/licensed/superdat/nai/Chinese/simplified/sdat1234.exe
3、病毒库数量:http://vil.nai.com/vil/DATReadme.aspx

三、7个进程:Frameworkservice.exe(升级),Mcshield.exe(实时监控),Mctray.exe,naPrdMgr.exe,SHSTAT.exe(任务栏图标),UdaterUI.exe(升级),Vstskmgr.exe(控制台)

二、软件设置
以下设置中没提到的均按照默认设置

一、“控制台”-“工具”-“用户界面选项”,取消“允许此系统与其他系统建立远程控制台连接”。

二、Quarantine文件夹在C盘根目录下,实在是有碍观瞻,我们可以把文件夹移至C:\Documents and Settings\Quarantine下,在设置中,凡遇到需要这个选项时,均选择该文件夹。

三、日常使用中,所有的“报告”都可以关闭。

四、“电子邮件传递扫描”
1、“高级”-“启发式分析”中将“查找带有多个扩展名的附件”选中。
2、“操作”&“有害程序”-“发现威胁时”&“发现有害附件时”,“辅助操作”均选择“删除附件”。

五、“按访问扫描程序”:
1、“常规设置”—“常规”
1.1取消“在关机过程中扫描软盘”。
1.2“扫描时间”一栏中,“存档文件最长扫描时间”可以调成5秒,这样在进入含有大型程序的文件夹时,McAfee读取这些大型文件不会读取太久。“最长扫描时间”默认45秒即可。

2、“所有进程”
在“检测项”一栏中,如果在局域网上,可以选中“在网络驱动器上”。

六、“隔离管理器策略”中,“自动删除隔离数据”选择“1天”。

七、“完全扫描”和“目标扫描”,在“检测”-“压缩文件”一栏中,这里不是实时保护,所以需要检测压缩包,两个选项均须选中,除此以外的所有设置中,这两个选项都可以不选。

八、“AutoUpdate”中,点击“计划”—“计划”,McAfee每日更新,“起始时间”一般是调成比较频繁的上网时段,“启用随机选择”为开机10分钟即可。

三、访问保护
一、特别申明:系统升级、软(硬)件安装与卸载时,要暂停“访问保护”,切记切记!

二、说明
1、McAfee的杀毒凌驾于一切规则之上!即设置规则禁止对染毒文件做任何操作,在McAfee杀毒时,该规则失效。所以不要介意将规则中的“删除”选项选中,因为即使禁止删除该文件,若该文件染毒,McAfee一样照杀不误。
2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。
3、双星号(**)表示在反斜线(\)字符前后任意多个层级的目录,即文件夹可以新建,但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称,(*.*)表示任何文件,不包括文件夹,即只有一层文件夹内的文件被保护。
(\**)与(\**\*)均表示在当前目录下任意多个层级目录里的任何文件和文件夹。
4、在“要禁止的文件操作”里,除了“创建”外,其余四项都是对已有的文件进行操作,一般情况下,“写入”、“创建”和“删除”可以一同禁止,而且禁止“写入”有时需要禁止“创建”,否则系统会在此文件夹中创建TMP*.tmp的临时文件(垃圾文件)。
5、读取:对已有的文件进行读取操作,但不执行文件的内容;
写入:对已有的文件进行写入操作,即对文件的内容进行修改,删除等;
执行:对已有的文件进行执行操作,即执行文件的内容;
创建:在文件夹中创建一个新的文件;
删除:对已有的文件进行删除操作,包括修改文件名。
6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明:
空白项:默认状态,无任何意义。
HKLM:表示HKEY_LOCAL_MACHINE主键。
HKCU:表示HKEY_CURRENT_USER主键。
HKCR:表示HKEY_CLASSES_ROOT主键。
HKCCS:表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM:表示HKCU+HKLM+HKEY_USER三大主键。
HKALL:表示所有主键。可以近似地当作自定义项来使用。
7、将“访问保护”中所有的“报告”取消,则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止,且用户尚未查看报告。
8、“阻止”与“报告”若同时选中,则既阻止又报告;若只选中“阻止”,则只阻止不报告;若只选中“报告”,则只报告不阻止。
9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。
10、“访问保护”不支持环境变量。环境变量的出现,是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法,比如windows2000的系统文件夹是WINNT,而windows XP的系统文件夹是WINDOWS,如果在2000下使用绝对路径编写的规则,在XP下就会失效,为了解决这一问题,McAfee在8.0i版时允许使用环境变量,比如%windir%无论在任何系统内都表示系统文件夹,这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了,原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少,随着windows vista以及电脑高端配置的出现,使用XP以上系统的用户会越来越多,而XP系统已成为了最基本的操作系统,因此从8.5i版开始,McAfee将只认可XP以上的系统,规则的通用性自然就会以XP系统为底线来编写,所以环境变量的存在已失去意义,当然就会退出舞台咯。
11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名,该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件,而非监控软件,“访问保护”只是辅助杀毒的一种手段,通过McAfee的内置规则不难看出,McAfee只提供对系统文件夹的保护,而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的,所以对McAfee来说,他的内置规则是不受文件夹更名威胁的。前面也说了,McAfee不是做监控或者保密软件的,他不支持保护个人的隐私文件和文件夹,那是否McAfee就因此也不保护一些重要的文件呢,不是,McAfee会保护全盘下的某一类文件,如**\*.exe,但是这样又会给使用带来诸多不便,从而影响实用性,可操作性也大大降低,在此种情况下,排除进程应运而生,所以编写规则时应尽量避免非系统文件夹的出现,使用通配符*,再配合排除进程才是最完美的规则。
12、规则越多,监控的负担越大。规则的编写应该具有总结性,应该是某一类行为的概括,应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据,将所有的规则分为“层”,例如,当“访问保护”开启时,用户“执行”的任何操作,McAfee都会将之与所有包含“执行”的规则一一比对,如果此时规则很多,可想而知,监控的负担会变大,使用会变的迟缓,当然,对于高配置计算机,这个变化也许不是很明显,但系统资源仍会被消耗。
13、HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:
FD:File Defend,文件防御体系
AD:Application Defend,应用程序防御体系
RD:Registry Defend,注册表防御体系

三、访问保护中需要排除的进程
1、说明:
1.1以下未提及者排除项均为“空”!因为McAfee的内置规则中排除进程太多,安全性降低,绝大多数进程可删除。

1.2红字部分为应用软件,用户可根据不同的使用环境与自身需要情况而调整,为方便用户阅读,故显示为红色。

1.3排除进程中不赞成使用通配符*,因为病毒会伪装成任何进程,风险度提高,建议使用绝对路径。

1.4“用户自定义的规则”里的“2、禁止在计算机中创建新文件”,在“要排除的进程”中不必加入McScript.exe。原因如下:当McAfee升级病毒库时,需调用FrameworkService.exe和McScript_InUse.exe两个进程,这两个进程中任何一个被阻止,升级都将失败。当FrameworkService.exe被阻止时,McAfee会调用McScript.exe进程来做一些升级失败的善后事情,而当McScript_InUse.exe被阻止时,McAfee却不会再调用其他程序了,升级会直接失败。当升级成功,也就是说FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了,McScript.exe进程也不会被调用,因为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。

1.5对于部分应用软件进程排除的说明:
1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”,必要时需暂时停用“访问保护”。
1.5.2部分应用软件需开机运行的,如迅雷、鱼鱼桌面秀等,要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。
1.5.3如果将应用软件一一排除的话,不仅工作量大,且排除进程多了,安全性降低了,另外应用软件的设置一般都是一次性的工作,排除进程的话没有任何意义,因此,需要排除的进程,必然不是一次性的工作,比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时,就需要排除该进程了。
1.5.4应用软件的进程名有时会随着该软件版本的升级而改变,需要实时关注,比如迅雷,现在是Thunder5.exe,等版本升级到迅雷6时,可能进程会改名为Thunder6.exe。

1.6排除路径中有一种以“\??\”或“\\?\”打头的路径,编写规则时若将“\??\”或“\\?\”去掉的话便无法排除该进程,这是因为该进程已注入内存,所以在排除时已不是原路径,而是内存中的路径,所以需要以“\??\”或“\\?\”打头。“\??\”表示内存中的单个进程,多为系统进程,如??\C:\WINDOWS\system32\csrss.exe;“\\?\”表示在内存中除自身进程外,还注入在内存其他进程中,多为应用程序进程。

2、进程排除:
2.1“防间谍程序标准保护”:
氨;?Internet Explorer 收藏夹和设置”,排除C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\rundll32.exe,C:\WINDOWS\Explorer.exe,C:\Program Files\Maxthon\Maxthon.exe
说明:排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹;排除Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏;当rundll32.exe与Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置;排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。

2.2“防间谍程序最大保护”:
敖顾谐绦虼?Temp 文件夹运行文件”,排除D:\security\mcafee\Common Framework\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.3“防病毒最大保护”:
2.3.1“禁止更改所有文件扩展名的注册”,排除C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe。
说明:排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。

2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”,排除C:\Program Files\Maxthon\Maxthon.exe。
说明:排除Maxthon.exe是允许遨游浏览器可以进行网页(论坛)下载。

2.4“通用标准保护”:
2.4.1“禁止修改 McAfee 文件和设置”,排除D:\security\mcafee\VirusScan Enterprise\VsTskMgr.exe。
说明:排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。

2.4.2“禁止修改 McAfee Common Management Agent 文件和设置”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.4.3“禁止修改 McAfee 扫描引擎文件和设置”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中,以便回滚DAT之用。

2.5“通用最大保护”:
2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.5.2“禁止在 Program Files 文件夹中创建新的可执行文件”,排除C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.5.3“禁止 FTP 通信”,
排除C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\Program Files\Maxthon\Maxthon.exe。
说明:排除Thunder5.exe是允许迅雷可以进行FTP下载;排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。

2.5.4“禁止 HTTP 通信”,
排除C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe。
说明:排除FrameworkService.exe是允许McAfee升级病毒库;排除Thunder5.exe是允许迅雷可以进行HTTP下载;排除Maxthon.exe是允许遨游可以上网且不会无故中断;排除QQGame.exe是允许QQ游戏能够运行;排除TTPlayer.exe是允许千千静听可以下载歌词。

四、用户自定义的规则
1、对未知程序的行为控制
说明:该系列规则防护相当强大,使用时需根据使用环境随时调整,但因为排除进程太多,故安全性降低,以“1.1禁止未知程序的任何操作”为例,为了不影响日常使用,排除了浏览器和下载工具,所以并不能阻挡病毒从外部创建到计算机中,虽然可以禁止其执行,但病毒源已存在于计算机中,威胁依然存在,因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。
1.1禁止未知程序的任何操作
要包含的进程:*
要排除的进程:C:\WINDOWS\System32\alg.exe,C:\WINDOWS\system32\ctfmon.exe,\??\C:\WINDOWS\system32\winlogon.exe,\??\C:\WINDOWS\system32\csrss.exe,C:\WINDOWS\system32\lsass.exe,C:\WINDOWS\Explorer.EXE,C:\WINDOWS\System32\svchost.exe,C:\WINDOWS\system32\logonui.exe,C:\WINDOWS\system32\RUNDLL32.EXE,C:\WINDOWS\system32\userinit.exe,C:\WINDOWS\system32\services.exe,C:\Program Files\Internet Explorer\IExplore.exe,C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE,C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE,C:\WINDOWS\system32\taskmgr.exe,C:\WINDOWS\system32\NOTEPAD.EXE,C:\Program Files\McAfee\Common Framework\McTray.exe,C:\Program Files\McAfee\Common Framework\UdaterUI.exe,C:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\McAfee\VirusScan Enterprise\shstat.exe,C:\Program Files\McAfee\Common Framework\naPrdMgr.exe,C:\Program Files\Thunder\Thunder.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Stardock\Object Desktop\WindowBlinds\wbconfig.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\IconPackager\IconPackager.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE,C:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE,C:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\TTPlayer\TTPlayer.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe,C:\Program Files\鱼鱼软件\鱼鱼桌面秀\XDeskShow.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Tencent\QQ\CoralQQ.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\PROGRA~1\KMplayer\KMPlayer.exe,C:\PROGRA~1\NFSU2\speed2.exe
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:该规则属于FD的极致规则,类似于AD,利用FD模仿AD的行为控制,但并不如真正的AD完美与强大,若McAfee与具备AD的HIPS相配合,该规则就没有存在的意义了。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.2禁止未知程序的任何网络行为
要包含的进程:*
要排除的进程:C:\WINDOWS\system32\svchost.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\Tencent\QQ\QQ.exe,C:\Program Files\Thunder\Program\Thunder5.exe,C:\Program Files\Maxthon\Maxthon.exe,C:\Program Files\Tencent\QQGAME\QQGame.exe,C:\Program Files\TTPlayer\TTPlayer.exe
要阻止端口:1~65535
方向:入站、出站
说明:该规则类似于防火墙,阻止了不信任程序对网络的访问。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.3禁止未知程序的任何注册表行为
说明:该系列规则属于RD的极致规则。需要注意的是,若“1.1禁止未知程序的任何操作”开启,则该系列规则毫无意义,因为排除进程是一样的,所以不被“1.1禁止未知程序的任何操作”阻挡的进程,也必然不会被该系列规则阻挡,反之,已经被“1.1禁止未知程序的任何操作”阻挡的进程,也没有能力再碰触到该系列规则了。因为“1.1禁止未知程序的任何操作”是FD模仿了AD的行为控制,反之AD却无法模仿FD,总体来说FD应该是HIPS中最强大的防御系统,如果FD与AD相配合达到对计算机的完全保护,那么即使是RD中属于极致的规则都变得多余了,因此可以得出FD强于AD,AD强于RD,但三者其实各有所长,对于不同的用户群,FD、AD和RD都发挥着各自的能力。
1.3.1禁止未知程序的任何注册表行为(项)
要包含的进程:*
要排除的进程:同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值:HKALL/**
规则类型:项
要阻止的注册表操作:写入、创建、删除

1.3.2禁止未知程序的任何注册表行为(值)
要包含的进程:*
要排除的进程:同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值:HKALL/**
规则类型:值
要阻止的注册表操作:写入、创建、删除

2、禁止在计算机中创建新文件
说明:该系列规则对部分格式文件禁止写入、创建和删除,以主要操作“创建”而命名这一系列规则,同时也为了与内置规则“禁止在 Windows 文件夹中创建新的可执行文件”相对应,该系列规则在“要禁止的文件操作”中不可选中“执行”,因为“执行”的操作在排除进程上要比“写入、创建、删除”的操作多的多,故从安全性考虑,该系列规则与“1、对未知程序的行为控制”系列规则相配合,才能使“访问保护”趋于完善。
2.01禁止在计算机中创建新的.exe文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Thunder\Program\Thunder5.exe
要阻止的文件或文件夹名:**\*.exe
要禁止的文件操作:写入、创建、删除
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库;排除Explorer.exe是为了日常使用时不受该规则限制,例如复制、粘贴、移动、删除等等的操作;排除WinRAR.exe是允许压缩软件释放压缩包,尤其是绿色软件;排除Thunder5.exe是允许迅雷下载软件。

2.02禁止在计算机中创建新的.dll文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.dll
要禁止的文件操作:写入、创建、删除
说明:该规则的排除进程基本与2.01规则一样,仅仅去除了对Thunder5.exe的排除,因为日常使用中,一般不会用迅雷下载DLL文件,以下的规则中不排除Thunder5.exe皆是此理。

2.03禁止在计算机中创建新的.bat文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.bat
要禁止的文件操作:写入、创建、删除
说明:排除WinRAR.exe是允许绿色软件可以直接解压使用;排除Explorer.exe也是允许绿色软件可以复制、粘贴、移动、删除等等的日常操作。

2.04禁止在计算机中创建新的.chm文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.chm
要禁止的文件操作:写入、创建、删除

2.05禁止在计算机中创建新的.com文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.com
要禁止的文件操作:写入、创建、删除

2.06禁止在计算机中创建新的.cpl文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.cpl
要禁止的文件操作:写入、创建、删除

2.07禁止在计算机中创建新的.ini文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\McAfee\Common Framework\FrameworkService.exe,C:\Program Files\McAfee\Common Framework\McScript_InUse.exe,C:\Program Files\WinRAR\WinRAR.exe,C:\Program Files\Styler\Styler.exe,C:\Program Files\Stardock\Object Desktop\SkinStudio\SknStdio.exe,C:\Program Files\Wopti\WoptiUtilities.exe
要阻止的文件或文件夹名:**\*.ini
要禁止的文件操作:写入、创建、删除
说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

2.08禁止在计算机中创建新的.msc文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msc
要禁止的文件操作:写入、创建、删除

2.09禁止在计算机中创建新的.msi文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.msi
要禁止的文件操作:写入、创建、删除

2.10禁止在计算机中创建新的.ocx文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.ocx
要禁止的文件操作:写入、创建、删除

2.11禁止在计算机中创建新的.pif文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.pif
要禁止的文件操作:写入、创建、删除

2.12禁止在计算机中创建新的.scr文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.scr
要禁止的文件操作:写入、创建、删除

2.13禁止在计算机中创建新的.sys文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.sys
要禁止的文件操作:写入、创建、删除

2.14禁止在计算机中创建新的.vbs文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vbs
要禁止的文件操作:写入、创建、删除

2.15禁止在计算机中创建新的.vxd文件
要包含的进程:*
要排除的进程:C:\WINDOWS\Explorer.exe,C:\Program Files\WinRAR\WinRAR.exe
要阻止的文件或文件夹名:**\*.vxd
要禁止的文件操作:写入、创建、删除

2.16禁止在计算机中创建新的autorun.inf文件
要包含的进程:*
要阻止的文件或文件夹名:**\autorun.inf
要禁止的文件操作:读取、写入、执行、创建、删除
说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3、禁止部分系统工具的操作
3.1禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程:*
要阻止的文件或文件夹名:**\regedit.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,需要注意的是,该规则不属于RD,只通过FD对注册表外部进行保护,RD是对注册表内部进行的保护。

3.2禁止管理工具的操作
要包含的进程:*
要阻止的文件或文件夹名:**\mmc.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:管理工具里都是重要的系统工具

3.3禁止格式化命令format的运行
要包含的进程:*
要阻止的文件或文件夹名:**\format.*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:针对一些格式化病毒的防护措施

3.4禁止net命令的运行
要包含的进程:*
要阻止的文件或文件夹名:**\net*.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对远程攻击的防护措施

3.5禁止at命令的运行
要包含的进程:*
要阻止的文件或文件夹名:**\at.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对远程攻击的防护措施

4、保护部分重要的系统文件
4.1保护系统盘根目录下的文件
要包含的进程:*
要阻止的文件或文件夹名:C:\*.*
要禁止的文件操作:写入、创建、删除
说明:系统盘根目录下都是重要的系统文件

4.2保护ghost文件
要包含的进程:*
要阻止的文件或文件夹名:**\*.GHO
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对系统备份进行防护

5、禁止任何远程操作
要包含的进程:System:Remote
要阻止的文件或文件夹名:**\*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:通过文件保护禁止了远程的一切行为

四.保存设置和规则
说明:将HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection两个注册表项全部导出,包含子项目,即保存了所有设置和规则,再将导出的两个注册表文件合并到一个文件中,若使用时只须导入即可。
一、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore中包含的规则设置
1.1访问保护:(这个值只有在访问保护关闭时才能访问,一旦导入也将覆盖所有以前的访问保护设置!)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\AccessProtectionUserRules

1.2缓冲区溢出保护:(其中*表示数字0、1、2、3、4、5……)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking\BOPExclusionProcess_*

1.3电子邮件传递扫描程序:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\Email Scanner

1.4有害程序策略:(其中*表示数字0、1、2、3、4、5……)
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\NVP\UserDefinedDetection_*

1.5按访问扫描程序:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\McShield\Configuration以及Default(默认设置)、High(高风险进程)、Low(低风险进程)

二、HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection中包含的规则设置
2.1隔离管理器策略:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection

2.2按需扫描(完全扫描、目标扫描):
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks\{21221C11-A06D-4558-B833-98E8C7F6C4D2}和HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\DefaultTask(默认)

2.3AutoUpdate:HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection\Tasks\{A14CD6FC-3BA8-4703-87BF-E3247CE382F5}(默认)

———————————————————————-

写给准备用mcafee8.5i企业版的朋友
mcafee是最受公认的监控最灵敏的防病毒软件
但是真正的精髓部分应该是它的文件访问保护部分(以及端口阻挡,注册表防护等等)

首先,若您想使用mcafee
我建议您要学会自己动手DIY最适合自己的规则
为自己的机器“量身定做”一套属于自己的,独一无二的细密而强大的保护规则
(别人做的规则不一定是适合您的)
您对系统的熟悉度越高,mcafee就越强大
反之,如果您对此一窍不通的话,mcafee也就发挥不出它应有的强大保护力了

可以说这样:只要您懂得并会熟练的运用好mcafee(8.5i)的访问保护
无论什么新型病毒,什么变种木马,加了什么壳,加了多少层壳
在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的

附上我自己编写的部分规则:

(仅供参考)
禁止在C盘根目录创建文件
禁止在WINDOWS目录中新建任何文件
禁止修改WINDOWS目录中的任何文件
禁止删除WINDOWS目录中的任何文件
禁止在WINDOWS根目录下新建任何文件
禁止在system32根目录下新建任何文件
禁止在C盘中新建,修改任何SCR文件(防范某些木马)
禁止cscript.exe运行
禁止mshta.exe运行
禁止format.com运行(防范恶意格式化行为)
禁止hh.exe运行
禁止cmd.exe运行
禁止修改文件访问控制权限
禁止私自启用计划运行任务程序
防范远程注册表操作,禁止调用regsvc.dll
禁止在C盘中新建任何VXD文件
禁止私自创建共享文件夹
禁止telnet.exe运行
禁止在C盘中新建任何EXE可执行文件
禁止在C盘中新建任何COM可执行文件
禁止在C盘中新建任何DLL动态连接库文件
防范脚本病毒,禁止scrrun.dll
禁止在C盘中新建任何批处理BAT文件
禁止在C盘中新建任何VBS脚本文件
禁止访问TEMP文件夹,防止恶意安装程序
禁止在C盘中新建任何JS脚本文件
禁止在C盘中新建任何JSE脚本文件
禁止对Access数据库文件进行任何操作
禁止在C盘中新建任何VBE文件
禁止C盘中新建,运行任何WSH文件
禁止C盘中新建任何WSF文件
禁止在本地新建,修改,执行任何AUTORUN.INF文件
禁止在C盘中新建任何SYS文件
禁止在Downloaded Program Files目录中新建任何文件
禁止添加桌面文件
禁止启用远程桌面程序
禁止在开始菜单中添加项目
禁止在C盘中新建ZIP文件(防范某些蠕虫)
禁用NetMeeting网络会议程序
禁止在system.ini中创建和写入内容
禁止在win.ini中创建和写入内容
禁止在wininit.ini中创建和写入内容
禁止在本地新建任何*desktop.ini文件
禁止java目录下的程序私自运行
禁止在C盘中新建CHM文件
保护本机所有EXE可执行文件(防止修改)
禁止私自在Program Files根目录下新建文件
禁止nwscript.exe运行
禁用自动下载连接管理器
禁止未经许可的控件注册
禁止script.dll运行
禁用SQL Server 客户端网络工具
禁止创建,修改或删除磁盘的卷标(名称)
禁止调用路由跟踪命令
防范某些网络蠕虫扩散,禁止私自运行PING命令
禁止私自用源目录中的同名文件替换目标目录中的文件
禁止私自更改当前登录用户的权限
禁止私自调用文件属性修改工具
禁止对Boot.ini配置文件执行编辑操作
防止多用户同时登陆,禁用termsrv.dl
禁止使用NetMeeting功能访问远程桌面
禁止“私自指定某些程序在指定的时间运行”
禁止在C盘中新建任何PIF文件
禁止私自修改本地用户帐户数据库
禁止在Default User目录下新建任何文件
禁止在LocalService目录下新建任何文件
禁止在NetworkService目录下新建任何文件
禁止在Application Data目录下新建任何项目
保护本机所有EXE可执行文件(防止删除)
禁止网络检测命令net.exe运行
禁止在PCHEALTH目录中新建,修改,删除任何文件
禁止Config目录下新建,修改,删除任何文件
禁止在security目录下新建,修改,删除任何文件
禁止在system目录下新建,修改,删除任何文件
禁止在Registration目录下新建,修改,删除任何文件
禁止在drivers目录下新建,修改,删除任何文件
禁止启用系统还原程序
禁止控制台程序tlntsvr.exe运行
禁止私自调用系统配置编辑器
禁止在C盘中新建CMD文件(防范某些蠕虫)
禁止在C盘中新建HTT文件(防范某些病毒)
保护WINDOWS的”系统文件替换”备份目录
保护WINDOWS的”最后一次正确启动配置”备份文件目录
禁止在C盘中新建,修改任何CPL文件(防范某些木马)
禁止在C盘中新建,修改任何DOT文件(防范宏病毒)
禁止在C盘中新建,修改任何DOC文件(防范宏病毒)
禁止运行Windows脚本宿主工具
禁止在C盘中新建,修改任何BFF文件(防止宏病毒寄生)
禁止读取Cookies文件
禁止创建新的Cookies文件

这些规则看起来似乎让人很头晕,但其实这还只是属于框架部分(我们还需要制定一些特定规则)
这些规则看似复杂,但是却不会对我电脑的以及机器上程序的正常使用造成任何妨碍

您必须学会用两至三条的规则对某个区域形成一个防护体系
并且能够使电脑最终在这些复杂而强悍的规则的防护下运行自如

有些用户发现他们使用了mcafee后的“主要工作”就是需要不停的添加排除进程
好在这些规则是可以逐渐积累的,而且是可以将其最终保存起来的
(终将会形成一套属于您自己的强大的防护体系)

我喜欢用mcafee的另一个原因是它让我感觉到了自己是自己电脑真正的“主宰者”
什么程序(甚至后台服务)可以被运行,什么程序不可以被运行
什么文件可以被修改,删除,什么文件不可以
什么地方可以被写入(创建)新文件,什么地方不可以新建任何文件
什么地方只可以被写入什么格式的文件,全都由我说了算,呵呵。

能用好mcafee您就会明白其顶尖的监控和强大的保护规则配合起来的好处
而对于那些不懂得如何设置和运用好mcafee的保护规则的初级用户来讲
呵呵,mcafee同样是一个令人头疼的“梦魇”。

分类: 经验技巧 标签: , ,
  1. 本文目前尚无任何评论.