欢迎您访问程序员文章站本站旨在为大家提供分享程序员计算机编程知识!
您现在的位置是: 首页  >  网络运营

麦咖啡McAfee 8.8企业版规则设置(高级篇)

程序员文章站 2022-06-19 09:36:42
麦咖啡McAfee 8.8企业版规则设置(高级篇)这篇文章主要为大家介绍了mcafee深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化,需要的朋友可以参考下... 16-09-04...
规则要点:
1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化。
2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制。
3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐。
4、易用性稍差,视个人软件情况,有的排除量可能较大。
5、流畅性极好,飞一般的享受。
6、支持系统自动监测更新,下载并安装时最好关闭访问保护。
7、默认支持与金山网盾、毛豆纯墙\hip8.0(二选一)安全搭配,一般用户单奔足矣。
8、不直接分享规则,规则自己设置:
(1)系统进程基本排除完毕,出现触红需要谨慎排除。
(2)常用软件已经排除,但路径多为e盘,请根据实际通过替换法修改盘符(如把e:\替换成c:\或d:\等)。

友情提示:如果追求通用,可以把软件路径中的“e:\program files\”替换成“*\program files*\”即可,安全性影响很小。

(3)没有排除的软件根据日志排除,或自行整理后添加排除。

排除技巧:一般软件要想正常运行,需要在“禁止远程创建/修改可执行文件和配置文件”、“将所有共享项设为只读”、“保护windows下的文件”、“保护windows注册表_项”、“保护windows注册表_值”规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”、“保护缓存文件免受密码和电子邮件地址窃贼的攻击”中排除。

(4)排除原则:善用百度搜索,辅以http://www.virscan.org/扫描,放行已知安全,杜绝一切隐患。
(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则。
(6)不同系统,规则设置有所区别,请详细阅读规则说明。
9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控!不好折腾的朋友不建议使用!


规则设置:

----------------------------默认规则---------------------------------------

《防间谍程序标准保护》
规则名称:保护internet explorer收藏夹和设置
要包含的进程:**
要排除的进程:c:\windows\explorer.exe, c:\program files\internet explorer\iexplore.exe
是否勾选报告:否
----------------------------------------
说明:排除c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe是为了自己能够修改internet explorer收藏夹和设置。不勾选报告,避免大量日志。

《防间谍程序最大保护》
规则名称:禁止安装新的 clsid、appid 和 typelib
要包含的进程:**
要排除的进程:无
是否勾选报告:否
----------------------------------
说明:该规则用于阻止新的 com servers的安装和注册。某些广告以及间谍程序能够将自身添加到microsoft internet explorer的com 加载项中,或者附加到microsoft office。安装某些程序时才需要加载新的com,所以日常应用不排除,不勾选报告。

规则名称:禁止所有程序从 temp 文件夹运行文件
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, e:\program files\comodo\comodo internet security\cmdinstall.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe
是否勾选报告:是
-----------------------------
说明:一个可执行文件在被windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的 temp 文件夹下,再运行。该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件。”而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的outlook以及internet explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。排除咖啡相关进程是为了正常升级和使用。

规则名称:禁止从 temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
是否勾选报告:否
-------------------------------
说明:阻止windows 脚本执行器从temp文件夹中运行vbscript以及javascript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。没必要勾选报告。

《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:**
要排除的进程:无
是否勾选报告:是
------------------------------------
说明:保护windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用。不用排除。

规则名称:禁止更改用户权限策略
要包含的进程:**
要排除的进程:c:\windows\system32\lsass.exe
是否勾选报告:是
------------------------------------
说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含windows 安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限。排除应该极少。

规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)
要包含的进程:**(win7下用*.*)
要排除的进程:*\program files\**\*.*, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\framework64\**\mscorsvw.exe, c:\windows\microsoft.net\framework\**\mscorsvw.exe, c:\windows\regedit.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\defrag.exe, c:\windows\system32\imapi.exe, c:\windows\system32\lsass.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiadap.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuapp.exe, c:\windows\system32\wuauclt.exe, c:\windows\syswow64\rundll32.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe
是否勾选报告:是
--------------------------------
说明:该规则是规则“将所有共享项设为只读”的阉割版。保护了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按绝对路径排除已知的安全程序,全局有效防止了对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。只此一条,就涵盖了坛子里原有规则自定义规则的n条。还有com、sys、drv、vxd、bat等,交给自定义规则补充吧。此处排除的是系统组进程,软件组在自定义中补充。( 友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同。)
规则名称:禁止远程创建自动运行文件
要包含的进程:**
要排除的进程:无
要阻止的文件或文件夹名:autorun.inf
是否勾选报告:是
--------------------------------
说明:禁止创建所有自动播放。

规则名称:禁止拦截 .exe 和其他可执行文件扩展名
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------------
说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件。

规则名称:禁止伪装 windows 进程
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------------
说明:禁止针对windows核心进程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的 windows 文件不受该规则限制。切记不用排除。

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
----------------------------
说明:邮件客户端,禁止通过smtp 端口(25和587)出站发送email。需要排除所用邮件软件的进程,否则软件将无法使用。

规则名称:禁止 irc 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------
说明:屏蔽了6666-6669端口,防止后门木马连接到irc服务器并接收来自其作者的命令。

规则名称:禁止使用 tftp.exe
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------
说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒。使用windows的tftp客户端(tftp.exe)执行下载的用户才需要排除。

《防病毒最大保护》
规则名称:禁止 svchost 执行非 windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
是否勾选报告:否
---------------------------------
说明:禁止svchost.exe加载非windows服务.dll文件。用则不要排除,也不用勾选报告。否则可以不用。

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\explorer.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\svchost.exe, c:\windows\syswow64\rundll32.exe, e:\program files\ccleaner\ccleaner*.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\thunder network\thunder\program\thunder.exe
是否勾选报告:是
------------------------------------------
说明:隐私保护规则。保护rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码。排除已知的安全程序。

规则名称:禁止更改所有文件扩展名的注册
要包含的进程:**
要排除的进程:c:\windows\explorer.exe
是否勾选报告:否
------------------------------
说明:这是一个严格的版本“反病毒标准保护:防止其他可执行的exe和扩展劫持”规则,而不是只保护的.exe。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。排除c:\windows\explorer.exe是为了只允许自己修改扩展名。不勾选报告,否则日志量大。

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\program files\windows media player\wmplayer.exe, c:\windows\explorer.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\svchost.exe, c:\windows\syswow64\rundll32.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\ccleaner\ccleaner*.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\thunder network\thunder\program\thunder.exe
是否勾选报告:是
--------------------------------------
说明:隐私保护规则。防止病毒、木马读取上网隐私。排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为)。

《防病毒爆发控制》
规则名称:将所有共享项设为只读(系统组)
要包含的进程:**(win7下用*.*)
要排除的进程:*\program files\**\*.*, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\framework64\**\mscorsvw.exe, c:\windows\microsoft.net\framework\**\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\csrss.exe, c:\windows\system32\defrag.exe, c:\windows\system32\devicedisplayobjectprovider.exe, c:\windows\system32\drwtsn32.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\imapi.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mmc.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\notepad.exe, c:\windows\regedit.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\smss.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiadap.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\windowspowershell\v1.0\powershell.exe, c:\windows\system32\wuauclt.exe, c:\windows\syswow64\notepad.exe, c:\windows\syswow64\rundll32.exe, c:\windows\syswow64\runonce.exe, c:\windows\syswow64\werfault.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe
是否勾选报告:是
---------------------------------------
说明:这是非常强大的全局禁改规则。按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了。有效防止信任区病毒爆发。软件组在自定义中补充。

规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:**(win7下用*.*)
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
是否勾选报告:是
------------------------------------------------
说明:这是非常强大的全局禁运规则。排除信任区后,非信任区一切程序的所有操作都无法进行。有效防止非信任区病毒爆发。注册表在自定义中补充。

《通用标准保护》
规则名称:禁止修改 mcafee 文件和设置
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\system32\services.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
-------------------------------------------
说明:只排除了咖啡本身和c:\windows\system32\services.exe。

规则名称:禁止修改 mcafee common management agent 文件和设置
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\system32\services.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
------------------------------------------
说明:只排除了咖啡本身和c:\windows\system32\services.exe。

规则名称:禁止修改 mcafee 扫描引擎文件和设置
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mctray.exe
是否勾选报告:是
----------------------------------------
说明:只排除了咖啡本身。

规则名称:保护 mozilla 及 firefox 文件和设置
要包含的进程:**
要排除的进程:*\program files\**\*.*
是否勾选报告:是
-------------------------------
说明:本人不用,常规排除。

规则名称:保护 internet explorer 设置
要包含的进程:**
要排除的进程:c:\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe
是否勾选报告:是
----------------------------------
说明:排除*\program files\internet explorer\iexplore.exe, c:\windows\explorer.exe是为了自己能修改ie设置。

规则名称:禁止安装 browser helper objects 和 shell extensions
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe
是否勾选报告:是
-----------------------------------------
说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等。只给咖啡这个权利。

规则名称:保护网络设置
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\system32\svchost.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe
是否勾选报告:是
----------------------------------------
说明:反广告规则。禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据。只给咖啡和svchost.exe这个权利。

规则名称:禁止公用程序从 temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, mapisp32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, owstimer.exe, packager.exe, pine.exe, poco.exe, resrcmon.exe, spsnotific*, thebat.exe, thunde*.exe, vmimb.exe, winmail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
是否勾选报告:是
---------------------------
说明:官方默认。

规则名称:在 internet explorer 中禁用 hcp url
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
是否勾选报告:是
------------------------------------------------
说明:官方默认。

规则名称:防止终止 mcafee 进程
要包含的进程:**
要排除的进程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, c:\program files\common files\mcafee\systemcore\csscan.exe, c:\program files\common files\mcafee\systemcore\dainstall.exe, c:\program files\common files\mcafee\systemcore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, e:\program files\mcafee\virusscan enterprise\mcadmin.exe, e:\program files\mcafee\virusscan enterprise\mcconsol.exe, e:\program files\mcafee\virusscan enterprise\mcupdate.exe, e:\program files\mcafee\virusscan enterprise\restartvse.exe, e:\program files\mcafee\virusscan enterprise\scan32.exe, e:\program files\mcafee\virusscan enterprise\scncfg32.exe, e:\program files\mcafee\virusscan enterprise\shcfg32.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\mcafee\virusscan enterprise\vscore\dainstall.exe, e:\program files\mcafee\virusscan enterprise\vscore\x64\dainstall.exe, e:\program files\mcafee\virusscan enterprise\vstskmgr.exe, e:\program files\mcafee\virusscan enterprise\x64\scan64.exe, engineserver.exe, fcag.exe, fcags.exe, fcagt.exe, fcagte.exe, firesvc.exe, firetray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, hipmanage.exe, hipsvc.exe, mcafeefire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mpescanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, rpcserv.exe, rssensor.exe, safeservice.exe, scanner.exe, setlicense.exe, siteadv.exe, tbmon.exe, udaterui.exe, updaterui.exe, virusscanadvancedserver.exe, vmscan.exe, werfault.exe
是否勾选报告:是
------------------------------
说明:官方默认。

《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:**
要排除的进程:c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe
是否勾选报告:是
-------------------------------------
说明:安全软件给这个权利。

规则名称:禁止将程序注册为服务
要包含的进程:**
要排除的进程:c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\mmc.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\syswow64\rundll32.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\thunder network\thunder\program\thunder.exe
是否勾选报告:是
---------------------------------------
说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护。严格排除已知的安全进程。

规则名称:禁止在 windows 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:c:\windows\microsoft.net\framework64\v4.0.30319\mscorsvw.exe, c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe
是否勾选报告:是
------------------------------
说明:只防了exe和dll的创建,自定义规则还需要补充。

规则名称:禁止在 program files 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\udaterui.exe
是否勾选报告:是
-----------------------------
说明:只防了exe和dll的创建,自定义规则还需要补充。

规则名称:禁止从 downloaded program files 文件夹启动文件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------
说明:“要包含的进程”改成**,禁止所有程序从 downloaded program files 文件夹启动文件。

规则名称:禁止 ftp 通信
要包含的进程:**
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾选报告:是
------------------------------
说明:默认,到自定义规则中去详细控制。

规则名称:禁止 http 通信
要包含的进程:**
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, c+wclient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, firesvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, insfiretdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, kswebshield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, mapisp32.exe, mcafeehip_clie*, mcsacore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, resrcmon.exe, runscheduled.exe, saedisable.exe, saeuninstall.exe, setlicense.exe, setup*.exe, setup.exe, setup_sae.exe, sevinst.exe, siteadv.exe, spsnotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, vmimb.exe, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, winmail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾选报告:是
--------------------------------
说明:默认加简单排除,到自定义规则中去详细控制。

《虚拟机保护》
规则名称:防止终止 vmware 进程
要包含的进程:**
要排除的进程:*\program files\**\*.*, *\windows\**\*.*
是否勾选报告:是
--------------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 vmware workstation 文件和设置
要包含的进程:**
要排除的进程:*\program files\**\*.*, *\windows\**\*.*
是否勾选报告:是
----------------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 vmware server 文件和设置
要包含的进程:**
要排除的进程:*\program files\**\*.*, *\windows\**\*.*
是否勾选报告:是
-----------------------------------
说明:本人不用,常规排除。

规则名称:禁止修改 vmware 虚拟机文件
要包含的进程:**
要排除的进程:*\program files\**\*.*, *\windows\**\*.*
是否勾选报告:是
---------------------------------
说明:本人不用,常规排除。


----------------------------用户定义的规则-----------------------------------------

01 规则名称:禁止非信任区程序访问注册表_项
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
要保护的注册表项目或注册表值:hkall /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。

02 规则名称:禁止非信任区程序访问注册表_值
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4kbrowser\**\*.*, *\alonesbck\**\*.*, *\empire earth\**\*.*, *\kangxidict\**\*.*, *\program files\**\*.*, *\progra~?\**\*.*, *\windows\**\*.*
要保护的注册表项目或注册表值:hkall /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。

03 规则名称:禁止未知程序访问端口_入站
要包含的进程:**(win7下用*.*)
要排除的进程:cmdagent.exe, frameworkservice.exe, iexplore.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾选报告:是
-------------------------------------------------
说明:程序入站自己控制。

04 规则名称:禁止未知程序访问端口_出站
要包含的进程:**(win7下用*.*)
要排除的进程:c+wclient.exe, cmdagent.exe, firesvc.exe, frameworkservice.exe, iexplore.exe, kswebshield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, mcscript_inuse.exe, sppsvc.exe, svchost.exe, thunder*.exe
要阻止的端口:1-65535
方向:出站
是否勾选报告:是
-------------------------------------------------
说明:程序出站自己控制。

05 规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组
要包含的进程:**(win7下用*.*)
要排除的进程:**\windows\**\*.*, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\explorer.exe, c:\windows\system32\svchost.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\photoshop cs\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\zrm2000\zrw32.exe
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“禁止远程创建/修改可执行文件和配置文件”规则的软件组。全局防止对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。

06 规则名称:防病毒爆发_将所有共享项设为只读_ 软件组
要包含的进程:**(win7下用*.*)
要排除的进程:*\windows\**\*.*, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\common files\adobe\arm\1.0\adobearm.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\program files\windows defender\msascui.exe, c:\program files\windows media player\wmplayer.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\photoshop cs\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\ati technologies\ati.ace\core-static\ccc.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\comodo\comodo internet security\cmdinstall.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\program files\angry birds\angry birds\angrybirds.exe, e:\program files\program files\winrar\winrar.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\zrm2000\zrw32.exe
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“将所有共享项设为只读”规则的软件组。防止信任区病毒爆发。

07 规则名称:保护windows下的文件
要包含的进程:**(win7下用*.*)
要排除的进程:*\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\explorer.exe, c:\windows\microsoft.net\framework64\v4.0.30319\mscorsvw.exe, c:\windows\microsoft.net\framework\v4.0.30319\mscorsvw.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\csrss.exe, c:\windows\system32\imapi.exe, c:\windows\system32\lsass.exe, c:\windows\system32\mmc.exe, c:\windows\system32\msdtc.exe, c:\windows\regedit.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\smss.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiadap.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe, c:\windows\syswow64\rundll32.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\zrm2000\zrw32.exe
要阻止的文件或文件夹名:**\windows\**(win7下用c:\windows\**)
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 windows 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读” 规则的强化。目的是严格控制,防止信任的windows区病毒爆发。

08 规则名称:保护windows注册表_项_系统组
要包含的进程:**
要排除的进程:*\program files\**\*.*, c:\progra~1\common~1\micros~1\ime\imsc40a\imscmig.exe, c:\windows\explorer.exe, c:\windows\ime\imjp8_1\imjpmig.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\rthdcpl.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\audiodg.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\conime.exe, c:\windows\system32\csrss.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\devicedisplayobjectprovider.exe, c:\windows\system32\drwtsn32.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\logonui.exe, c:\windows\system32\mmc.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\regedit.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\smss.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskhost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\userinit.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\wermgr.exe, c:\windows\system32\winlogon.exe, c:\windows\system32\wuauclt.exe, c:\windows\syswow64\rundll32.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe
要保护的注册表项目或注册表值:hkall /**/software/microsoft/windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护windows下的文件”规则的补充(系统组)。

09 规则名称:保护windows注册表_值_系统组
要包含的进程:**
要排除的进程:*\program files\**\*.*, c:\progra~1\common~1\micros~1\ime\imsc40a\imscmig.exe, c:\windows\explorer.exe, c:\windows\ime\imjp8_1\imjpmig.exe, c:\windows\pchealth\helpctr\binaries\helpsvc.exe, c:\windows\rthdcpl.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\ati2evxx.exe, c:\windows\system32\audiodg.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\conime.exe, c:\windows\system32\csrss.exe, c:\windows\system32\ctfmon.exe, c:\windows\system32\devicedisplayobjectprovider.exe, c:\windows\system32\drwtsn32.exe, c:\windows\system32\dwwin.exe, c:\windows\system32\logonui.exe, c:\windows\system32\mmc.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\mspaint.exe, c:\windows\system32\notepad.exe, c:\windows\regedit.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\smss.exe, c:\windows\system32\svchost.exe, c:\windows\system32\taskhost.exe, c:\windows\system32\taskmgr.exe, c:\windows\system32\userinit.exe, c:\windows\system32\verclsid.exe, c:\windows\system32\wermgr.exe, c:\windows\system32\winlogon.exe, c:\windows\system32\wuauclt.exe, c:\windows\syswow64\rundll32.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe
要保护的注册表项目或注册表值:hkall /**/software/microsoft/windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护windows下的文件”规则的补充(系统组)。

10 规则名称:保护windows注册表_项_软件组
要包含的进程:**
要排除的进程:*\windows\**\*.*, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\chinatelecom c+w\cwcleantools.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\photoshop cs\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdinstall.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\mcafee\virusscan enterprise\scan32.exe
要保护的注册表项目或注册表值:hkall /**/software/microsoft/windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护windows下的文件”规则的补充(软件组)。

11 规则名称:保护windows注册表_值_软件组
要包含的进程:**
要排除的进程:*\windows\**\*.*, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\ccc.exe, c:\program files\ati technologies\ati.ace\core-static\clistart.exe, c:\program files\ati technologies\ati.ace\core-static\mom.exe, c:\program files\chinatelecom c+w\loginaccount.exe, c:\program files\chinatelecom c+w\cwcleantools.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\synaptics\syntp\syntpenh.exe, c:\program files\windows media player\wmplayer.exe, e:\4kbrowser\4kserver\4kserver.exe, e:\4kbrowser\4ktext.exe, e:\alonesbck\sbckserver\sbckserver.exe, e:\alonesbck\sbcksvr\sbckalone.exe, e:\kangxidict\ekangxi.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\photoshop cs\photoshop.exe, e:\program files\adobe\reader 9.0\reader\acrord32info.exe, e:\program files\adobe\reader 9.0\reader\acrord32.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdinstall.exe, e:\program files\comodo\comodo internet security\cfp.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hydcgb.v20\hydcv20.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwstray.exe, e:\program files\kingsoft\webshield\kwsupreport.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\mcafee\common framework\mcscancheck.exe, e:\program files\mcafee\virusscan enterprise\shstat.exe, e:\program files\microsoft virtual pc\virtual pc.exe, e:\program files\mcafee\common framework\mctray.exe, e:\program files\microsoft office\office11\winword.exe, e:\program files\microsoft office\office11\excel.exe, e:\program files\microsoft office\office11\powerpnt.exe, e:\program files\ultraiso\ultraiso.exe, e:\program files\zrm2000\zrw32.exe, e:\program files\mcafee\virusscan enterprise\scan32.exe
要保护的注册表项目或注册表值:hkall /**/software/microsoft/windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护windows下的文件”规则的补充(软件组)。

12 规则名称:保护appdata下的windows文件(win7下适用)
要包含的进程:**
要排除的进程:*\ccleaner\ccleaner*.exe, *\comodo\comodo internet security\cmdagent.exe, *\kingsoft\webshield\kswebshield.exe, *\kingsoft\webshield\kwsupd.exe, *\mcafee\common framework\mcscancheck.exe, *\mcafee\common framework\frameworkservice.exe, *\mcafee\common framework\udaterui.exe, *\microsoft office\office*\excel.exe, *\microsoft office\office*\powerpnt.exe, *\microsoft office\office*\winword.exe, *\windows\system32\wbem\wmiadap.exe, *\windows\system32\winlogon.exe, c:\program files (x86)\internet explorer\iexplore.exe, c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\explorer.exe, c:\windows\servicing\trustedinstaller.exe, c:\windows\softwaredistribution\download\**\update.exe, c:\windows\system32\cleanmgr.exe, c:\windows\system32\eudcedit.exe, c:\windows\system32\imapi.exe, c:\windows\system32\msdtc.exe, c:\windows\system32\rundll32.exe, c:\windows\system32\services.exe, c:\windows\system32\sppsvc.exe, c:\windows\system32\svchost.exe, c:\windows\system32\wbem\wmiprvse.exe, c:\windows\system32\wuauclt.exe, c:\windows\syswow64\rundll32.exe, c:\windows\system32\notepad.exe
要阻止的文件或文件夹名:**\appdata\**\windows\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”规则的补充,对“将所有共享项设为只读”的强化。目的是严格控制,防止信任的appdata区病毒爆发。追求通用性者可以参照本条规则的通配符语法排除。

13 规则名称:保护program files下的文件
要包含的进程:**
要排除的进程:c:\program files\chinatelecom c+w\c+wclient.exe, c:\program files\internet explorer\iexplore.exe, c:\program files\mcafee\host intrusion prevention\firesvc.exe, c:\program files\mcafee\host intrusion prevention\firetray.exe, c:\program files\mcafee\host intrusion prevention\helper.exe, c:\program files\mcafee\host intrusion prevention\mcafeefire.exe, c:\windows\explorer.exe, c:\windows\system32\notepad.exe, e:\program files\acd systems\acdsee\10.0\acdsee10.exe, e:\program files\adobe\photoshop cs\photoshop.exe, e:\program files\ccleaner\ccleaner.exe, e:\program files\comodo\comodo internet security\cmdagent.exe, e:\program files\hwpdfocr80\hwpdfocr80.exe, e:\program files\kingsoft\webshield\kisaddin.exe, e:\program files\kingsoft\webshield\kswebshield.exe, e:\program files\kingsoft\webshield\kwsmain.exe, e:\program files\kingsoft\webshield\kwsupd.exe, e:\program files\mcafee\common framework\frameworkservice.exe, e:\program files\mcafee\common framework\udaterui.exe, e:\program files\thunder network\thunder\program\thunder.exe, e:\program files\zrm2000\zrw32.exe
要阻止的文件或文件夹名:**\program files*\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 program files 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读”规则的强化。目的是严格控制,防止信任的program files区病毒爆发。

1、sandyyangjie :
天诺兄不准备直接附上规则是不?~我觉得可以附上一个都没开启的规则,这样可能别人好修改一些~~~从头开始创建这么多规则伤不起呀~~

答复:附上本人实机规则,方便导入修改:

mcafee 8.8 天诺规则加强版 xp.rar

所有进程采用绝对路径排除。

mcafee 8.8 天诺规则加强版 32.rar

软件采用相对路径排除。不影响边用边改。

mcafee 8.8 天诺规则加强版 64.rar

软件采用相对路径排除。不影响边用边改。

mcafee 8.8 天诺规则加强版 xp_2.rar

需要修改的规则没有勾选阻挡,方便修改,完成后不要忘了勾上。

2、bighead :
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:c:\program filese:\program files
这个是啥意思?应该是多了吧?
答复:替换*\时出的错误,完整的应该是c:\program files\common files\adobe\arm\1.0\adobearm.exe,文中已经改正,规则已经重新上传。


3、bmjp007:
为什么
2011/5/20 17:58:37 已由访问保护规则禁止 nt authority\system c:\progra~1\agnitum\outpos~1\acs.exe c:\program files\agnitum\outpost firewall pro\log\netstat4.log 防病毒爆发控制:将所有共享项设为只读 已阻止的操作: 写入这一项排除不了
答复:更正:c:\progra~1\agnitum\outpos~1\acs.exe,这个可能是win7下排除无效。
后补:根据bmjp007的实践,win7下似乎~1排除无效,请遇到的朋友说一下经验。

4、bmjp007:
好多要排除的,连排除项里都放不下了,很恼火,倒不是怕麻烦,就是怕放不下。怎么办?
答复:软件很多就把软件改成通配符路径可以节省很多,如c:\program files\mcafee\host intrusion prevention\firesvc.exe写成*\mcafee\host intrusion prevention\firesvc.exe,这样还有32位、64位以及软件装在任意盘通用的好处。以此类推。

5、bighead:
这个规则楼主调试过多久了呢,怎么好多系统进程都还没排除掉用起来太辛苦了。换回自己的了呵呵(可能是系统问题,我的是win7 32位)
答复:文字版是在xp下做的,win7有所不同。现在64位win7下设了一个规则通用版,软件采用通配符路径,如c:\program files\mcafee\host intrusion prevention\firesvc.exe写成*\mcafee\host intrusion prevention\firesvc.exe,这样既节省了很多排除空间,又可以通用。规则直接导入,可以边用边排除:

mcafee 8.8 天诺规则加强通用版 32位.rar
mcafee 8.8 天诺规则加强通用版 64位.rar
mcafee 8.8 天诺规则加强通用版 xp.rar

打包下载地址:


个人系统软件不同,完全通用而不排除是不可能的,所以导入后一般都需要进一步排除。欢迎大家导入测试并反馈!我将视情况适时推出正式的通用版规则。