McAfee8.8默认规则详解
- 1、下载文档前请自行甄别文档内容的完整性,平台不提供额外的编辑、内容补充、找答案等附加服务。
- 2、"仅部分预览"的文档,不可在线预览部分如存在完整性等问题,可反馈申请退款(可完整预览的文档不适用该条件!)。
- 3、如文档侵犯您的权益,请联系客服反馈,我们会尽快为您处理(人工客服工作时间:9:00-18:30)。
McAfee8.8默认规则详解
写在前面:
咖啡规则的确强大,本文一阅便知!本为自己学习整理,不敢专私,与朋友共享,不亦乐乎,不亦君子乎!并且希望对咖啡规则的理解、设置以及发展有些许帮助!
墨池顿首
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe,
C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common iles\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmd.exe, cmdagent.exe, console.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, earthagent.exe, EngineServer.exe, explorer.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, icwconn1.exe, idsinst.exe, ie-kb*.exe, ie4uinit.exe, ieupdate.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, jucheck.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, msimn.exe, msohtmed.exe, mue_inuse.exe,
naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, proxycfg.exe, pskmssvc.exe, regsvr32.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, rundll32.exe, SAEDisable.exe, SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, sidebar.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, svchost.exe, TBMon.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, unregmp2.exe, update.exe, updater.exe, updaterui.exe, userinit.exe, v3cfgu.exe, vbs56nen.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmail.exe, wintdist.exe, wuauclt.exe, _ins*._mp
(墨池按:E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe等绝对路径为咖啡安装时根据安装路径自动生成,其它为内置排除白名单,下同。)
要阻止的注册表操作:写入创建删除
----------------------------------------
意图:该规则用于防止未经信任(排除)的任何进程,对Microsoft Internet Explorer的设置以及文件进行修改。众所周知的,一般恶意程序的活动特征都会修改网页浏览器的开始页面,以及添加其网址到收藏夹中。因此,该规则旨在防止木马,广告程序以及间谍软件修改浏览器设置。
风险:启用这条规则可谓百利而无一弊。
《防间谍程序最大保护》
规则名称:禁止安装新的CLSID、APPID 和TYPELIB
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe,
fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:
HKEY_CLASSES_ROOT\CLSID\**(猜测)
HKEY_CLASSES_ROOT\AppID\**(猜测)
HKEY_CLASSES_ROOT\TypeLib\**(猜测)
要保护的注册表项或注册表值:项(猜测)
要阻止的注册表操作:写入创建
----------------------------------
意图:该规则用于阻止新的COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。
风险:如果你需要安装的软件中包含COM 加载项而又未在信任(排除)列表中,VSE将会自动拦截。某些常用的应用程序需要注册COM 加载项的,比如Macromedia Flash也可能被拦截。