爱技术

 找回密码
 注册会员

QQ登录

只需一步,快速开始

微信登录

微信扫一扫,快速登录

搜索
查看: 2169|回复: 19
收起左侧

McAfee VirusScan Enterprise 8.5i精华资料及教程

[复制链接]
发表于 2008-6-5 23:04:22 | 显示全部楼层 |阅读模式

马上注册,结交更多好友,享用更多功能,让你轻松玩转社区。

您需要 登录 才可以下载或查看,没有帐号?注册会员 微信登录

x
本帖来自”深度·软件


今后大家在此帖的回复中有什么疑问的,我也会提醒解答的,建议有问题的尽量还是发帖问。

MCAFEE下载
可以去http://zhenglei.atedu.net网盘下
或者http://cqzg.ys168.com/剑盟的网盘下,速度可以,只是有每日流量限制



1楼:图文一步一步教你用好McAfee VirusScan Enterprise 8.5i 楼底附打包电子书下载
2楼:McAfee VirusScan Enterprise8.5i规则包 by--小邪邪 &by---啊猫猫
3楼:编写规则时通配符使用方法
4楼:咖啡8.5文件保护(禁止的文件操作)简析
5楼:McAfee Virusscan Enterprise 8.5I 默认访问保护规则简析
6楼:Mcafee 进程介绍 & McAfee8.5i病毒扫描代码大全
7楼:Mcafree启动画面的去除 & 自定义规则导出方法
8楼:McAfee VirusScan Enterprise v8.5i中级教程及McAfee VirusScan Enterprise v8.5i通鉴
 楼主| 发表于 2008-6-5 23:06:12 | 显示全部楼层

                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图


                               
登录/注册后可看大图
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:06:55 | 显示全部楼层
McAfee VirusScan Enterprise8.5i规则包
by--小邪邪



警告!:
使用此规则包不当将会严重阻碍您的系统和应用程序的正常运行
可能会造成无法关机,死机,甚至出现蓝屏等情况!
使用要点:
1强烈建议您在安装完所有需要的程序之后再使用此规则包

2此规则包将会覆盖掉您的所有访问保护规则,使用前最好请将您自己的规则导出备份

3默认排除了一些常用的正常进程,这对于系统和mcafee8.5i的正常使用和升级是很重要的

4您至少应该能够在阻挡日志中分辨出哪些属于程序的正常行为(可以添加到排除项中)
哪些被阻挡的行为是病毒的恶意行为(不能将其添加到信任表中)

5使用此规则包之前最好先将您的用户名目录下TEMP文件夹和IE的临时文件夹移动到C盘以外的其它盘中去
(并且不要在那些有关系统的重要规则中随便将IE加为排除进程)

6在启用此规则的情况下会造成无法安装,卸载程序(包括流氓软件),并且极可能会造成windows无法更新
在进行此类操作时请暂时停用访问保护,只保留mcafee8.5i的反病毒监控部分

7此规则包将系统的安装位置默认为定为是装在C分区(C盘中),请特别注意

此规则包在导入后默认为增强版(适用于中级用户)
在开启全部自定义规则的情况下为超级版(非高级用户请勿尝试)

规则包的新亮点:
独创了为每一条规则编号的新方法
分别为:A1-A100,B1-B32,C1-C100(合共232条自定义规则)
这样更利于快速排查的掉那些可被信任的进程
(看日志的时候请注意认准并记住相关规则前面的序号)

注意:规则包仅供参考,小邪邪本人也从未试过开启全部的规则
因为规则全开起来会是异常严厉的,如果实在要试的,建议逐步开启,逐渐排除
(最后导出保存,以后都可以用的)

关于使用A86号超级防护规则的特别说明(设置技巧):
A86号规则是一条威力十分强大的保护规则,防护力巨大但同时却又十分强悍而霸道
在打开这条规则并且未添加任何“信任程序”的情况下会将您的整个“机器”锁定成为“无敌”状态
这样任何“未知”的程序(未被许可)都无法运行(包括系统程序)
小邪邪建议您在使用一段时间后一定要用上这条规则
但是在使用的初期则千万不能开启这条规则,胡乱开启这条规则将会是一件令您很“痛苦”的事

要启用这条规则有两种方法:
方法一:
在使用了一段时间后,将默认规则的“防病毒爆发控制”里面的“将所有共享项设为只读”里面的排除进程全部复制
然后添加到这条规则的排除项里来,这条规则其实就是默认规则的防病毒爆发控制里面的“将所有共享项设为只读”的加强版
(推荐使用此方法)
方法二:
在初期只打开此规则的日志记录功能,但不打开阻挡功能,这样当有程序触动到这条规则时,只会被记录但不会受阻挡
以后可以通过查看日志逐一将该排除的排除掉,然后再开启这条规则
(要求您必须是有一定使用经验的用户)

这样,您机器上的那些未被信任的陌生程序绝对是无法私自运行的
即使真的有恶意程序进入到你硬盘中,也是无法启动的
但是当恶意程序试图启动时将会触动此规则并且被记录在日志
这时您可以通过查看日志,找到恶意程序然后用鼠标直接将其删除掉就可以了
(在这一方面似乎是比某些HIPS软件来得更绝了)

释疑:
为何我的规则里面没有设置防范已知流氓软件的规则?
须知流氓软件也是在不断的发展,不断的改名,不断的出新,防是防不过来的
网上流传的规则包虽然针对某些已知的流氓软件做了策略
但是这种“特征库”式的规则对于新的,或者“变种”的流氓软件没效果
(“有针对性的抗体系统”)
我的规则是不指定要防什么,但是绝对能防住任何未知的“流氓软件”
在开着防护的情况下即使自己想去装都装不上的(已试过)
甚至于自己亲手去执行一个新型的病毒都是中不了毒的
(已试过多次,运行“维金”和“熊猫烧香病毒”等病毒的最新变种,病毒体被完全抑制)
(“全防型的免疫系统”)

对一些系统里自带的工具程序实行控管政策有必要吗?
现在许多恶意脚本,病毒,木马都会调用系统自带的一些工具程序来为其“服务”
(比如windows的脚本宿主工具)
所以这是非常有必要的。

这些规则会与默认的规则重复吗?
不会,其中的某些规则其实就是默认规则的“加强版”

如果我有了更专业的防火墙,还需要打开端口阻挡规则吗?
端口阻挡规则会硬性屏蔽掉被阻挡端口的一切来路信息,属于“加强防护”
如果您使用的是更专业的防火墙,则可能不需要这些端口防护规则
(小邪邪建议您使用更专业的防火墙)

为什么这个规则包里没有自定义的注册表规则?
小邪邪曾在这个规则下直接运行过很多挺厉害的未知病毒,木马和流氓软件(打开了A86号超级防护规则)
由于都是一些新型的变种病毒(比如“维金”的变种),所以mcafee8.5i的反病毒监控无法识别出这些东西来
但是所有的这些恶意程序都被mcafee8.5i的“访问保护”完全抑制住了,丝毫都无法发作(只留下了一点日志)

换句话说:即使它能发作,未必就能进入C盘,即使进入了C盘,未必就能够进入到windows目录下,即使能够进入到windows目录下,未必就能够写注册表,即使能写注册表了,未必就能够实现自启动和添加服务
(这个规则包体现的正是我的一种“多层次防御”的理念)

所以在这个规则包里,mcafee8.5i自带的注册表防护其实已经很够用了
不需要再另外制定另外的注册表规则,以免为不熟悉的人带来不必要的麻烦

最后:
壁垒往往是从内部被攻破的:
很多带有“主动防御”式功能的软件都会给程序的安装带来很大的麻烦
在安装程序的时候一般都应该将这些HIPS软件暂时停用一部分功能或者全部关掉(mcafee8.5i也不例外)
而现在很多的程序安装包都附带着一些其它的“杂七杂八”的东西,所以您应该对您所下载的东西有足够的认识
要下载程序最好去官网或比较正规的网站下载,下载后安装前最好再用一些查恶意程序工具进行一下全面的检查
当您确保已经打好了所有的补丁并且做好了所有的网络防御工作,而您的机器里又再次出现木马或病毒的时候
那么您应该想一想是否是您所下载过的软件带来的问题

在使用的初期您必须要频繁的排除掉一些程序,但是后期就会很“安逸”了。
现在的小邪邪平时几乎是已经“忘记了它的存在”了(如果我不是为了编这个规则包出来的话
Mcafee Vse8.5i 访问保护规则包
by---啊猫猫
申明:此规则包仅适合使用Vse8.5i,安装xp并且系统盘为C的用户使用(导入规则包前请停止按扫描访问或者访问保护)
为了方便规则的辨认,我统一给规则加上前缀:
FD-L:文件防护-垃圾(流氓)软件防护规则
FD-X:文件防护-系统文件防护规则
RD-V:注册表防护-键值防护
RD-K:注册表防护-键(项)防护(还未出现-_-,,)
1.FD-L:
图中有50种FD-L规则,为了方便大家认清规则的真实面目,附下表:
中文               字符串   带“*”表示该规则阻挡路径含中文,希望提供非中文的阻挡方法
酷桌面             Letscool
雅虎助手           Yahoo Assistant
网络猪             Netpig      (*)
dudu下载加速器    DUDU
阿里巴巴商务直通车 Alibaba
酷网站导航         coolwebsite
超级播霸           superboba
腾讯搜搜           Tencent Search
百狗搜索           Baigoo Search
百度插件           Baidu
电信互联星空       Chinanet
nb46工具栏        nb46
协和医院广告       XieHe Hospital AD
博彩网宅工具栏     BoCaiToolBar
博彩程序           Bocai
易趣工具栏         Ebaytoobar
桌面传媒           Desktop Media
一搜               Yisou
360度搜            360so
彩信通             MMSAssist
多多QQ表情        duoduoQface
中搜               Searchnet
zcom互动娱乐平台  zcom
很棒小秘书         henbang
U88财富快车工具条 U88
划词搜索           wsearch
唯刊VIKA阅读器     VIKA Reader
娱乐星空           yulexk
屁屁狗             OOGou
优克搜索           YOK
千橡(MOP)播霸     MOPbb
网蜜               MySecretary
青娱乐             Qyule
彩秀               caishow
易虎               yihu        (*)
搜狗直通车         sogou
快搜               Kuaiso
忆多多             Yidd       (*)
开心运程速递       SDAstro
乐乐彩信广告插件   smartde
珊瑚虫工具栏       Infofo Bar
鸡毛信             JMX

2.FD-X:
由于Vse8.5iBeta3还未能识别%windir%、%systemdrive%等相对路径,因此对规则的编制产生较大阻碍。所以再次强调本规则包只使用于采用XP的操作系统且系统分区为C。
FD-X规则如图所示,主要有:
禁止在IE文件夹中创建com,sys文件
禁止在program files文件夹以其子文件夹下创建exe文件
禁止在windows文件夹及其子文件夹下创建dll,bat,com,sys,pif文件
禁止远程创建、修改、删除任何C盘根目录文件
禁止远程创建、修改、删除任何windows文件夹下的文件
禁止远程修改dll,ocx,scr文件
禁止修改、删除C盘跟目录的autoexec.bat、ntdetect.com、ntldr文件
保护hosts文件
保护win.ini与system.ini文件
禁止在IE临时文件夹下创建exe、bat、com、sys文件
因为有些规则在内置的规则里面已经有了,比如禁止在windows下创建exe文件等,自定义规则就不再重复编写。

3.RD-V规则:
由于本人一方面对注册表不是很了解,另一方面因为Vse8.5i的注册表防护并不会询问用户,再加上内置规则中已有保护启动项、服务项以及IE扩展与BHO,所以本人仅仅编写了常见的两种防护规则
一是防止对HKLM_/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon下的shell与userinit的值进行修改、删除
二是保护了常用的几种文件的关联:exe,bat,com,txt,pif,reg

4.内置规则的修改:
这个我用到现在也不说不清楚修改了什么,其实主要是增加排除某些进程,防止正常程序进行正常操作,咖啡老阻挡,图标老变红。这些修改包括了取消一些内置规则的使用。

如果认为这个设置规则有使用价值,欢迎大家下载使用。欢迎各路高手下载使用并修正增加规则包内容(尤其是RD的规则)。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:07:12 | 显示全部楼层
编写规则时通配符使用方法


我们都知道,咖啡可以应用通配符 * 和 ? :
(喜欢咖啡的友情帮顶下啊)
1.问号 (?) : 用于排除单个字符) ,比如, 排除项 w?? 排除 www,但不排除 ww 或wwww
2.星号 (*) : 用于排除多个字符   
双星号 (**) : 表示零个或多个含有反斜杠的字符,这样允许多层次排除。
比如, **\temp*\** ,双星号 (**) 表示在反斜线 (\) 字符前后任意多个   
层级的目录,一个星号 (*) 表示任意一个或部分目录名称。
3.**\*和**有什么不同?---看完测试就知道了
4.排除规则 :  C:\quarantine\** 和 C:\quarantine\这2条有区别吗?没有区别吗?---前者排除C:\quarantine\目录下的所有文件,包括排除子文件夹,后者只包括C:\quarantine\下的文件,不排除子文件夹,即C:\quarantine\** 的排除范围  >  C:\quarantine\ ,看下边我的测试会就明白。

以下是我自己作的测试,还望高手指教,不过我觉得应该是100%正确了的吧xixi
我在E:\110下创建了一些文件和文件夹,其中patch.rar为病毒文件,在165、265文件夹中我把patch.rar分别更名为02.rar,03.rar,以便查看测试结果。
文件夹结构为:

E:\110
---125
    ---265
          ---03.rar
    ---02.rar
---patch.rar

下面我把我的测试结果奉上以飨朋友们--------没兴趣看测试的,直接看最后1句我总结的一条(不过这只是测试中的其中一个结果)
在做此测试时,必须按如下图做些改动:临时禁用按访问扫描,把辅助操作改成继续扫描,以防咖啡进行隔离等动作,

规则为E:\110\ ,排除E:\110\ 下的所有文件,但不排除子文件夹。

规则为E:\110\**,细心的人会发现,**并没有出现在“设置排除项中”,但后边的“排除子文件夹”变成“是”了,其实在“添加排除设置中”输入**(仅限于最后出现的**字符),咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示**,这个地方中文咖啡似乎有歧义,大家仔细思考下就明白其真正的意思了。(另:在咖啡的访问保护中可以出现**为最后结尾的,因为那里咖啡没有这个打勾的选项, )

规则为E:\110 ,这个规则就是“什么也没有排除” 哈哈哈哈,

规则E:\110\* 等价于 E:\110\   

规则为E:\110\** \(最后2条规则其实和这条规则的作用是一样的),排除E:\110\下的文件夹,但不排除E:\110\的文件。通过这里大家可以悟出点什么吧,呵呵,我就不多说了。

规则为E:\110\**\**和E:\110\**\只是多了个显式地“排除子文件夹”(是E:\110\**\的子集而已),是但真正的作用是一样的-----排除E:\110\下的文件夹,但不排除E:\110\的文件


规则为E:\110\**\*和E:\110\**\的作用是一样的(是E:\110\**\的子集而已) ,意思是排除E:\110\下的“文件夹中的任何文件”[


看懂以上这些,大家应该什么都明白了,不用我作总结了喜喜。那么大家对咖啡的规则设置,比如“访问保护”等等都轻而易举了吧
不过还是总结1句吧:要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义,严重注意哦),或者在\后边添加2个星号(**),咖啡会自动帮你打勾
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:07:39 | 显示全部楼层
咖啡8.5文件保护(禁止的文件操作)简析

对于咖啡的文件保护,大家都再熟悉不过,在此我仅对8.5文件保护的“要禁止的文件操作”做个简要分析:


                               
登录/注册后可看大图

文件操作解释:

对文件进行读访问[G]:表面上说禁止对文件的读取,实际上,禁止了读取,效果等于选
            择了所有项目。即[G]=[G]+[I]+[K]+[H]+[J]+[R]。

对文件进行写访问[I]:不折不扣的禁止写入,没有其他副作用,但是一个被保护的文件一
            旦更名,就可以写入了,且更名不在阻挡范围。

正在执行的文件[K]:仅对执行文件有效(EXE、COM、BAT、DLL、SCR),对CHM、
            MSI、VBS无效。可更名。

正在创建的新文件[H]:阻挡新文件创建,可以使用名称通配符,后缀通配符,
            且[H]=[H]+[R]

正在删除文件[J]:实际效果为:[J]=[J]+[R]


重命名文件[R]:不存在的文件操作,但是很重要。

  
  由上述解说可见,[I]和[K]存在更名逃脱规则的风险,所以FD规则中只有[I]和[K]时,根据需要选择[J]锁定文件。
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:08:32 | 显示全部楼层
McAfee Virusscan Enterprise 8.5I 默认访问保护规则简析
  1. Description "Prevent registry editor and Task Manager from being disabled"
  2. 阻止注册表编辑器和进程管理器被以下程序关闭
  3. 监视所有程序
  4. 排除进程:rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
  5. 注册表值(创建,写入,删除):
  6. HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
  7. HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr
  8. Description "Prevent user rights policies from being altered"
  9. 保护用户权限策略
  10. 监视所有进程
  11. 排除进程:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,amgrsrvc.exe,mmc.exe
  12. 注册表项(创建,写入,删除):
  13. HKCCS/Control/LSA/**
  14. HKCCS/Services/lanmanserver/parameters/**
  15. Description "Prevent remote creation/modification of executable and configuration files"
  16. 防止远程建立/修改可执行程序和配置文件
  17. 监视所有远程程序
  18. 对象文件(创建,写入,删除):**.exe **.scr **.ocx **.dll **.pif
  19. 文件路径:windows目录以及所有子目录下文件,%systemdrive%\*.ini
  20. 排除进程:所有framepkg.exe文件
  21. Description "Prevent remote creation of autorun files"
  22. 防止远程建立autorun.inf文件
  23. 所有远程进程
  24. 对象文件(创建): autorun.inf
  25. Description "Prevent hijacking of .EXE and other executable extensions"
  26. 防止exe等可执行文件被劫持
  27. 监视所有程序
  28. 排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
  29. 注册表值(写入,删除):
  30. HKULM/Software/Classes/.exe/**
  31. HKULM/Software/Classes/exefile/**
  32. HKULM/Software/Classes/.com/**
  33. HKULM/Software/Classes/comfile/**
  34. HKULM/Software/Classes/.bat/**
  35. HKULM/Software/Classes/batfile/**
  36. HKULM/Software/Classes/.cmd/**
  37. HKULM/Software/Classes/cmdfile/**
  38. Description "Prevent svchost executing non-Windows executables"
  39. 防止svchost执行任何非windows可执行程序
  40. 监视进程:svchost.exe
  41. 文件类型(执行): 所有文件
  42. 排除文件:所有exe文件,windows目录以及所有子目录下的文件
  43. Description "Prevent Windows Process spoofing"
  44. 防止windows进程欺骗
  45. 文件路径(创建,读取,执行,写入):所有svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
  46. 排除文件:windows目录及其所有子目录下的svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
  47. Description "Protect phonebook files from password and email address stealers"
  48. 保护通讯簿的密码和电子邮件地址
  49. 监视所有进程
  50. 排除进程:rasphone.exe explorer.exe svchost.exe
  51. 文件路径(读取,删除,创建,写入):**/rasphone.pbk
  52. Description "Prevent mass mailing worms from sen由于非常钦佩楼主,不得不说声好! mail"
  53. 防止邮件蠕虫发送邮件
  54. 监视所有进程
  55. 排除进程:默认邮件客户端,默认浏览器,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,nlnotes.exe,outlook.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,winpm-32.exe,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,ntaskldr.exe,nsmtp.exe,nrouter.exe,agent.exe,ebs.exe,firesvc.exe,modulewrapper*,msksrvr.exe,mskdetct.exe,mailscan.exe,rpcserv.exe
  56. 端口(向外):25,587
  57. Description "Prevent IRC communication"
  58. 防止IRC通信
  59. 监视所有进程
  60. 端口(向内,向外):6666-6669
  61. Description "Prevent use of tftp.exe"
  62. 防止调用tftp.exe
  63. 监视所有进程
  64. 排除进程:wuauclt.exe
  65. 文件路径(读取,执行):所有的tftp.exe
  66. Description "Prevent alteration of all file extension registrations"
  67. 保护所有已注册的文件类型
  68. 监视所有进程
  69. 排除进程:explorer.exe
  70. 注册表项(读取,写入):HKULM/Software/Classes/.*/**
  71. Description "Protect cached files from password and email address stealers"
  72. 保护缓存文件中的密码和电子邮件地址
  73. 监视所有进程
  74. 排除进程:iexplore.exe,explorer.exe,rundll32.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe
  75. 文件路径(读取):所有content.ie5文件夹以及子文件夹中文件
  76. Description "Make all shares read-only"
  77. 设置所有共享为只读属性
  78. 监视所有远程进程
  79. 文件路径(创建,写入,删除):所有文件
  80. Description "Block read and write access to all shares"
  81. 阻止所有对共享资料的读取和写入
  82. 监视所有进程
  83. 文件路径(创建,写入,删除,执行,读取):所有文件
  84. Description "Prevent modification of McAfee files and settings"
  85. 保护McAfee的相关文件和设置
  86. 监视所有进程
  87. 排除进程:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,sdat*.exe,mfehidin.exe,svchost.exe,regsvc.exe,mmc.exe,vstskmgr.exe,scan32.exe,shstat.exe,mcupdate.exe,mcconsol.exe,ncdaemon.exe
  88. 文件路径(创建,写入,删除):mcafee下desktopproctection,antispyware,AntiSpyware Enterprise目录以及所有子目录下文件,drivers目录下mfe*.sys文件。
  89. 排除进程(创建,写入,删除):mcafee目录中,AntiSpyware Enterprise目录下,mid文件夹中asecfg.cab文件。
  90. 注册表项:
  91. HKLM/Software/McAfee
  92. HKLM/Software/McAfee/DesktopProtection
  93. HKLM/Software/McAfee/VSCore
  94. HKLM/Software/McAfee/VSCore/NVP
  95. HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
  96. (以上为 删除)
  97. HKLM/Software/McAfee/vscore/**
  98. HKCCS/Services/McShield/**
  99. HKCCS/Services/McTaskManager/**
  100. HKCCS/Services/Mfeapfk/**
  101. HKCCS/Services/Mfetdik/**
  102. HKCCS/Services/Mfeavfk/**
  103. HKCCS/Services/Mfebopk/**
  104. HKCCS/Services/Mfehidk/**
  105. HKLM/Software/McAfee/DesktopProtection/**
  106. HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
  107. (以上为 创建,写入,删除)
  108. 排除注册表项(创建,写入,删除):
  109. HKLM/SOFTWARE/MCAFEE/VSCORE/ALERT CLIENT/VSE

  110. Description "Prevent modification of McAfee Common Management Agent files and settings"
  111. 保护mcafee通用文件和设置
  112. 监视所有进程
  113. 排除进程:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,insfiretdi.exe,services.exe,firesvc.exe,scanner.exe
  114. 注册表项(创建,写入,删除):
  115. HKLM/Software/Network Associates/ePolicy Orchestrator
  116. HKLM/Software/Network Associates/TVD/Shared Components/Framework
  117. HKCCS/Services/McAfeeFramework/**
  118. 文件路径(创建,写入,删除):
  119. %ALLUSERSPROFILE%/*/NetworkAssociates/Common Framework,%ALLUSERSPROFILE%/*/McAfee/CommonFramework,%programfiles%/mcafee/Common Framework,%programfiles%/networkassociates/Common Framework,%CommonProgramFiles%/CiscoSystems/CiscoTrustAgent/plugins 目录以及子目录下文件
  120. Description "Prevent modification of McAfee Scan Engine files and settings"
  121. 保护McAfee引擎文件和设置文件
  122. 监视所有进程
  123. 排除进程:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,svchost.exe,regsvc.exe,msi*.tmp,sdat*.exe,mcscript*,*xdat.exe,mcupdate.exe
  124. 注册表项:
  125. HKLM/Software/McAfee/AVEngine(删除)
  126. HKLM/Software/McAfee/AVEngine:DAT
  127. HKLM/Software/McAfee/AVEngine:szInstallDir
  128. (以上为 创建,写入,删除)
  129. 文件路径(创建,写入,删除):%CommonProgramFiles%/mcafee/Engine目录以及子目录下文件
  130. 排除文件:extra.dat
  131. Description "Protect Mozilla & FireFox files and settings"
  132. 保护Mozilla&FireFox文件和设置
  133. 监视所有进程
  134. 排除进程:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,firefox*,mozilla*,*setup*.exe
  135. 注册表值(创建,写入,删除):
  136. HKLM/Software/Mozilla**
  137. HKCU/Software/Mozilla**
  138. 文件路径(创建,写入,删除):Mozilla*目录以及子目录下所有文件
复制代码
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:10:03 | 显示全部楼层
McAfee进程介绍
1:frameworkservice.exe:
这个进程可以在系统的服务里找到
对应的服务为"mcafee framework"
它是用来做什么的呢?
其实它是mcafee的后台框架进程,mcafee产品的共享组件框架.
虽然关闭该服务不影响mcafee使用,但该服务会对升级产生影响
如:当你打开了网络防火墙时,升级mcafee,就会提示该文件需要访问网络.

2: Mcshield.exe
它是mcafee的核心进程,
对应的服务为 network Associates   McShield
所以关闭此服务 mcafee就不能使用.
  
3:naPrdMgr:
它是与frameworkservice.exe关联在一起的进程
如果关闭了frameworkservice.exe 它也会消失.

4:Tbmon.exe:
它是错误报告进程.
  
5:shstat.exe:
系统栏内的软件图标,关闭了它系统任处于保护状态.
  
6:UpdataUl.exe:
该进程用于自动升级.我想大家都应该知道
  
7:Vstskmgr.exe:
这个进程属于系统服务.对应名为 network Associates Task   Manager
                           

                                                           McAfee8.5i病毒扫描代码大全
McAfee 8.5i 报警时不再提示是什么病毒,而是用代码表示,很多人看不懂到底杀毒软件提示什么。下面解释一下各种代码的意思:
      1024 发现感染病毒的文件
      1025 已成功清除文件感染的病毒
      1026 无法清除文件中感染的病毒
      1027 感染病毒的文件已删除
      1028 无法删除感染病毒的文件
      1029 要从扫描中排除的文件
      1030 无法从扫描中排除项目
      1031 拒绝访问感染病毒的文件
      1032 感染病毒的文件已被移到隔离文件夹
      1033 无法将感染病毒的文件移动到隔离文件夹
      1034 扫描已完成未发现病毒
      1035 扫描被取消
      1036 内存已感染病毒
      1037 发现感染病毒的引导记录
      1038 扫描发现感染病毒的文件
      1039 扫描发现感染病毒的文件并已清除病毒
      1040 活动日志错误
      1041 扫描报告内存分配错误
      1042 路径太长
      1043 介质有写保护
      1044 找不到指定的介质
      1045 指定的扫描项目无效
      1046 文件 I/O 错误
      1047 磁盘 I/O 错误
      1048 扫描报告常规系统错误
      1049 扫描报告内部系统错误
      1050 无法修复受密码保护的项目
      1051 无法扫描受密码保护的项目
      1052 感染病毒的捆绑对象
      1053 发现感染病毒的文件
      1054 感染病毒的文件已删除
      1055 无法删除感染病毒的文件
      1056 文件已移动到隔离文件夹
      1057 无法将感染病毒的文件移动到隔离文件夹
      1059 扫描超时
      1060 引导区病毒已清除
      1061 清除引导区病毒时出错
      1062 发送警报时出错
      1063 指定的选项无效
      1064 服务已启动
      1065 服务已结束
      1066 任务成功启动
      1067 无法启动计划的任务
      1068 计划的任务已停止
      1069 停止计划的任务时出错
      1070 任务成功完成
      1071 任务已取消
      1076 记录信息时出错
      1077 内存分配错误
      1086 扫描进程错误
      1087 按访问扫描已启动
      1088 按访问扫描已停止
      1089 扫描设置
      1090 OAS 已停止
      1091 已阻止脚本运行
      1092 已被行为阻挡规则阻挡
      1093 已被缓冲区溢出保护阻挡
      1094 已被端口阻挡规则阻挡
      1095 将被行为阻挡规则阻挡
      1099 将被缓冲区溢出保护阻挡
      1100 在文件中检测到宏
      1101 已从文件中删除宏
      1118 更新成功完成
      1119 更新失败:请参阅事件日志
      1120 正在更新
      1121 更新已取消
      1122 正在升级
      1123 升级失败,参阅事件日志
      1124 升级已取消
      1125 DAT 版本不够新
      1126 扫描任务被 DAT 文件的自动更新而取消
      1127 OAS 扫描引擎已禁用
      1128 扫描超时
      1129 扫描任务被 WINDOWS 关闭
      1200 进程已启动
      1201 进程已结束
      1202 按需扫描已启动
      1203 按需扫描完成
      1204 报告操作系统序列号
      1270 病毒已隔离,没有清除程序
      1271 病毒已隔离,启发式扫描
      1272 病毒已隔离,不能清除
      1273 病毒已隔离,已加密
      1274 病毒未清除或隔离
      1275 病毒,启发式扫描,隔离失败
      1276 病毒,清除错误,隔离失败
      1277 病毒,已加密,隔离失败
      1278 病毒,没有清除程序,已删除
      1279 病毒,启发式扫描,没有清除程序,已删除
      1280 病毒,清除错误,已删除
      1281 病毒,已加密,已删除
      1282 病毒,没有清除程序,删除失败
      1283 病毒,启发式扫描,删除失败
      1284 病毒,清除错误,删除失败
      1285 病毒,已加密,删除失败
      1286 病毒,没有清除程序,已继续
      1287 病毒,启发式扫描,已继续
      1288 病毒,清除错误,已继续
      1289 病毒,已加密,已继续
      1290 病毒,没有清除程序,拒绝访问
      1291 病毒,启发式扫描,拒绝访问
      1292 病毒,清除错误,已拒绝访问
      1293 病毒,隔离失败,已删除
      1294 病毒,隔离失败,删除失败
      1295 病毒,隔离失败,已继续
      1296 病毒,隔离失败,已拒绝访问
      1297 病毒,删除失败,已隔离
      1298 病毒,删除失败,隔离失败
      1299 病毒,删除失败,已继续
      1300 病毒,删除失败,已拒绝访问
      1401 用户检测
      1402 用户清除和移动失败
      1403 用户检测已移动
      1404 用户清除和删除失败
      1405 用户检测已删除
      1406 用户检测已移动
      1407 用户移动和删除失败
      1408 用户检测已删除
      1409 用户检测移动失败
      1410 用户检测已删除
      1411 用户删除和移动失败
      1412 用户检测已移动
      1413 用户检测删除失败
      1500 已清除电子邮件感染的病毒
      1501 感染病毒的电子邮件已隔离
      1502 无法清除邮件中感染的病毒
      1503 检测到感染病毒的电子邮件
      1504 感染病毒的邮件项目已删除
      1505 电子邮件内容已过滤
      1506 电子邮件内容已阻挡
      1507 入站邮件因磁盘空间不足而挂起
      1508 入站邮件已恢复
      1509 启动请求处理成功
      1510 关闭请求处理成功
      1511 警告 - 异常终止
      1512 出现最大负载的情况
      1513 邮件病毒已隔离和清除
      1514 邮件病毒已隔离[未清除]
      1700 服务已成功启动
      1701 服务已成功结束
      1702 文件已阻挡
      1703 发现感染病毒的邮件正文
      1704 邮件被主题行扫描阻挡
      1705 发现感染病毒的文件
      1712 出现内部错误
      1713 按需扫描已启动
      1714 按需扫描已完成
      1715 防病毒引擎已停止
      1716 防病毒引擎已启动
      1719 无更新可用
      1721 磁盘空间不足
      1722 发现感染病毒的文件
      1725 产品即将达到使用寿命
      1726 引擎即将达到使用寿命
      1727 产品已超过支持期限
      1728 引擎已超过支持期限
      1729 已超过产品使用寿命
      1730 已超过引擎使用寿命
      1800 任务已成功启动
      1801 启动任务时出错
      1802 任务已完成
      1803 停止任务时出错
      1804 已发现并清除文件病毒
      1805 感染病毒的文件已成功隔离
      1806 感染病毒的文件已删除
      1807 感染病毒的文件已忽略。
      1808 已隔离一个 LotusScript 异常错误
      1810 已隔离一个 Formula 异常错误
      1812 已隔离一个内容异常错误
      1814 无法读取配置数据库
      1815 无法写入配置数据库
      1816 AutoUpdate无法重新启动任务
      1817 AutoUpdate 失败
      1818 附件已阻挡
      1900 新的 MIB 文件可用
      2000 Alert Manager 测试警报
      2001 Alert Manager 测试警报
      2100 病毒发作规则名称
      2101 病毒发作规则名称
      4650 检测到的LJ邮件
      4651 LJ邮件统计信息
      4700 无法连接至 CMA 更新程序
      4701 无法连接至 CMA 计划程序
      4702 无法将计划数据保存到 CMA
      5000 软件许可即将过期
      5001 软件许可已过期
      5002 软件评估许可即将过期
      5003 软件评估许可已过期
      5004 提供的产品代码不正确
      5006 提供的许可号无效
      5007 该计算机的时钟设置被“提前”
      5008 许可信息已损坏
      5009 许可信息无法写入永久存储器
      5010 无法从永久存储器中读取许可信息
      5011 没有安装特定的产品许可
      5013 提供的缓冲区太小,无法容纳数据
      5014 许可库已损坏
      5015 InitializeLicenseLibrary 尚未被调用
      5016 InitializeLicenseLibrary 已经被调用
      5017 输入的许可号错误
      5018 加密数据时出现错误
      5019 内存不足
      5020 发生未知的异常错误
      5021 提供的字母数字字符串错误
      5022 提供的产品代码错误
      5023 提供的过期日期错误
      5024 提供的生成日期错误
      5025 无法获取当前时间
      5026 测试版许可即将过期
      5027 测试版许可即已过期
      6000 应用程序错误
      8000 发现感染病毒的项目
      8500 发现禁止的项目
      8501 发现加密/损坏的项目
      8502 项目符合过滤标准
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:10:22 | 显示全部楼层
Mcafree启动画面的去除
by--butler(霏凡)

咖啡8.5i默认关闭了其它程序对于其注册表项目的修改权限,所以直接导入我提供的注册表文件是不能成功的。请需要取消咖啡8.5i启动画面的同志们如下操作:

1、在咖啡控制台-访问保护-属性,在访问保护选项卡下,选择“通用标准保护”右侧的“禁止修改McAfee文件和设置”,然后点击编辑,在规则详细信息下的“要排除进程”中添加regedit.exe。要注意,添加时候要在regedit.exe前方添加英文的“ , ”。确定,然后在访问保护属性页同样的确定退出。

2、双击导入附件的注册表文件。(附注:我提供的注册表内容为以下文本,请放心使用。害怕附件存在问题的可自行编辑注册表文件导入。)

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection]
"bSkipSplash"=dword:00000001

3、重复第一步,反向操作删除掉排除进程下的regedit.exe(咖啡对规则项目进行字母升序排列,故已经不在最后一项,请到排除进程中认真寻找)以最大程度的保证咖啡运行的安全。

4、注销或重新启动。


                                                      自定义规则导出方法

打开注册表编辑器

找到[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking]项
在右边找到AccessProtectionUserRules,导出保存即可.
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:10:39 | 显示全部楼层
McAfee VirusScan Enterprise 8.5i中级教程及McAfee VirusScan Enterprise v8.5i通鉴

McAfee VirusScan Enterprise 8.5i中级教程 BY 蓝色马蹄莲(推荐)

《McAfee VirusScan Enterprise v8.5i通鉴》为word文档,需要安装office才可以阅读。里面有详细的McAfee VirusScan Enterprise v8.5i的安装使用说明!
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-5 23:11:19 | 显示全部楼层
回复 支持 反对

使用道具 举报

发表于 2008-6-6 07:44:45 | 显示全部楼层
居然没有插楼的,人气不行呢。麦咖啡用着用着就会升级到最新的版本。很烦恼...
回复 支持 反对

使用道具 举报

发表于 2008-6-6 09:12:50 | 显示全部楼层
麦咖啡

其实还是不错的
回复 支持 反对

使用道具 举报

 楼主| 发表于 2008-6-6 22:06:24 | 显示全部楼层

回复 11楼 king06 的帖子

企业版的是不会那么干的~
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:09:04 | 显示全部楼层

回复 13楼 无泪の城 的帖子

哦,现在用NOD,没有杀猪声,很安逸
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:12:18 | 显示全部楼层

回复 14楼 king06 的帖子

咖啡在我的电脑上也没有发出过类似声响~
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:14:52 | 显示全部楼层
咖啡也会有窗口跳出来的,呵呵,杀软常换换也是一种体验,我基本上用全了。
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:15:12 | 显示全部楼层

回复 16楼 king06 的帖子

不知道是不是,不记得了。
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:16:23 | 显示全部楼层

回复 17楼 king06 的帖子

有病毒就会弹出来~这样也不错~

就是防火墙有点烦~
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:19:01 | 显示全部楼层
呵呵,最近大蜘蛛出中文版了,有兴趣可以试试
回复 支持 反对

使用道具 举报

发表于 2008-6-6 22:47:02 | 显示全部楼层

回复 19楼 king06 的帖子

用了好多年咖啡了~习惯了~暂时不去尝鲜了~
回复 支持 反对

使用道具 举报

您需要登录后才可以回帖 登录 | 注册会员 微信登录

本版积分规则

小黑屋|Archiver|手机版|爱技术 ( 沪ICP备08115260号-3 )

GMT+8, 2025-6-9 21:43

Powered by Discuz! X3.4 Licensed

Copyright © 2001-2020, Tencent Cloud.

快速回复 返回顶部 返回列表