McAfee企业版日志详解

McAfee企业版日志样式：

图片1

学会自己看日志，看到不确定不认识的進程，用Google搜索一下，看是不是病毒。反复多次，你就能区分并记住这是系统文件还是病毒了。

如果日志打开后，一行看不全，可能是因为记事本没有设置“自动换行”，只要点“格式”——“自动换行”就可以。

红色的是日期，蓝色的是时间粉红色的是计算机名，深蓝色的是用户名，绿色的是触动规则的程序，橙色的是被操作的对象，蓝灰色的所触动规则的名词，紫色的是触动的动作，比如：创建，执行等

---------------------------------------------------------------------------------------------------------------------

2008-11-148:00:51 1092 GHOST\Administrator D:\www\wywz\C:\WINDOWS\system32\wbem\Logs\通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件

根据日志这条规则不要排除，它是被操作的对象，而不是触动规则的程序，应该排除才对。加入排除项的话有几种加法：

一可以排除，

二可以排除D:\wywz\wywz\**

三可以排除D:\www\wywz\

上面随便一条排除项都可以使wywz不再触动这条规则，但是McAfee对排除项文件没有校验，所以如果加入的话，病毒也取这个名字，也就阻挡不住病毒了。而第二个，排除的范围有点大，把wywz整个目录都排除了，没有必要。第三个是比较好的，文件名加上了绝对路径。因为 windows有一个特点，同一个目录下不能有两个同名的文件，所以D:\www\wywz\是唯一的，这样排除相对安全系数高点，是最好的。

多个文件加入排除项的时候用英文的逗号分开。

---------------------------------------------------------------------------------------------------------------------

2008-11-114:49:29已由访问保护规则禁止GHOST \112233C:\ProgramFiles\Internet

Explorer\C:\Program Files\Common Files\System\msadc\用户定义的规则:A31 管制浏览器（禁止调用MDAC组件）已阻止的操作: 执行

这条日志是浏览器触动了A31的规则，触动的是“执行”，这个动作有可能是网页病毒木马触动的，所以一般不影响浏览器使用的话，关于浏览器的规则可以不用管，不用排除。

---------------------------------------------------------------------------------------------------------------------

按访问扫描的日志

2008-10-23 18:22:12 未采取操

作CHINA\Administrator C:\ProgramFiles\WinRAR\ Q:\3 \u\ Generic Packed (特洛伊)

这条是mcafee检测说有特洛伊程序，文件在Q:\3\u\ 目录下，是在用winrar 解压缩的时候检测到了这个特洛伊程序，但这个是无界浏览，是经过校验签名没有问题的程序，所以这是一个误报，可以把加入到按访问扫描的排除项中。

首先来了解一下自定义规则中几个常用的语法：

*--代表所有操作（进程）

**\*\**--代表硬盘里的所有文件

System:Remote--代表远程（非本地）操作，防黑客必用

**\代表所有名为的文件

**\temp*\**--代表所有包含temp名称的文件夹里面的所有文件，也就是所有临时文件夹内的文件。

C:\123\**--代表C盘123目录下的所有文件

双星号（**）表示在反斜杠（\）字符前后任意多个层级的目录，一个星号（*）表示任意一个或部分目录名称

接下来我们就来讲解McAfee自定义规则，单击自定义规则--新建，即可新建自定义规则：

、端口阻止规则

添加的第一项端口访问规则，对安全有特殊要求的网友可以添加相应的规则来增强保护：

例1：防止未经许可程序访问网络

例2：关闭危险端口

、文件夹规则

例1：保护隐私文件

例2：禁止某个程序运行、注册表阻止规则

与注册表对应的关系图：、如何取消保护

设置了限制之后，当我们要访问的时候怎么做呢？

第一种方法：暂时去掉勾选对应规则：

二：暂时停止访问保护，不能停止的，则要查看访问保护里面的禁止McAfee服务是否被勾选：