1.4“用户自定义的规则”里的“2、禁止在计算机中创建新文件”,在“要排除的进程”中不必加入McScript.exe。原因如下:当McAfee升级病毒库时,需调用FrameworkService.exe和McScript_InUse.exe两个进程,这两个进程中任何一个被阻止,升级都将失败。当FrameworkService.exe被阻止时,McAfee会调用McScript.exe进程来做一些升级失败的善后事情,而当McScript_InUse.exe被阻止时,McAfee却不会再调用其他程序了,升级会直接失败。当升级成功,也就是说FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了,McScript.exe进程也不会被调用,因为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。
1.5对于部分应用软件进程排除的说明:
1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”,必要时需暂时停用“访问保护”。
1.5.2部分应用软件需开机运行的,如迅雷、鱼鱼桌面秀等,要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。
1.5.3如果将应用软件一一排除的话,不仅工作量大,且排除进程多了,安全性降低了,另外应用软件的设置一般都是一次性的工作,排除进程的话没有任何意义,因此,需要排除的进程,必然不是一次性的工作,比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时,就需要排除该进程了。
1.5.4应用软件的进程名有时会随着该软件版本的升级而改变,需要实时关注,比如迅雷,现在是Thunder5.exe,等版本升级到迅雷6时,可能进程会改名为Thunder6.exe。
1.6排除路径中有一种以“\\??\\”或“\\\\?\\”打头的路径,编写规则时若将“\\??\\”或“\\\\?\\”去掉的话便无法排除该进程,这是因为该进程已注入内存,所以在排除时已不是原路径,而是内存中的路径,所以需要以“\\??\\”或“\\\\?\\”打头。“\\??\\”表示内存中的单个进程,多为系统进程,如??\\C:\\WINDOWS\\system32\\csrss.exe;“\\\\?\\”表示在内存中除自身进程外,还注入在内存其他进程中,多为应用程序进程。
2、进程排除:
2.1“防间谍程序标准保护”:
“保护 Internet Explorer 收藏夹和设置”,排除C:\\Program Files\\Internet Explorer\\IExplore.exe,C:\\WINDOWS\\system32\\rundll32.exe,C:\\WINDOWS\\Explorer.exe,C:\\Program Files\\Maxthon\\Maxthon.exe
说明:排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹;排除Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏;当rundll32.exe与Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置;排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。
2.2“防间谍程序最大保护”:
“禁止所有程序从 Temp 文件夹运行文件”,排除C:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe。说明:排除McScript_InUse.exe是允许McAfee升级病毒库。
2.3“防病毒最大保护”:
2.3.1“禁止更改所有文件扩展名的注册”,排除C:\\Program Files\\Stardock\\Object Desktop\\SkinStudio\\SknStdio.exe。说明:排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。
2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”,排除C:\\Program Files\\Maxthon\\Maxthon.exe。
说明:排除Maxthon.exe是允许遨游浏览器可以进行网页(论坛)下载。
2.4“通用标准保护”:
2.4.1“禁止修改 McAfee 文件和设置”,排除C:\\Program Files\\McAfee\\VirusScan Enterprise\\VsTskMgr.exe。
说明:排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。
2.4.2“禁止修改 McAfee Common Management Agent 文件和设置”,排除C:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe,C:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。
2.4.3“禁止修改 McAfee 扫描引擎文件和设置”,排除C:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中,以便回滚DAT之用。
2.5“通用最大保护”:
2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”,排除C:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。
2.5.2“禁止在 Program Files 文件夹中创建新的可执行文件”,排除C:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe,C:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。
2.5.3“禁止 FTP 通信”,
排除C:\\Program Files\\Thunder\\Program\\Thunder5.exe,C:\\Program Files\\Internet Explorer\\IExplore.exe,C:\\Program Files\\Maxthon\\Maxthon.exe。
说明:排除Thunder5.exe是允许迅雷可以进行FTP下载;排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。
2.5.4“禁止 HTTP 通信”,
排除C:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe,C:\\Program Files\\Thunder\\Program\\Thunder5.exe,C:\\Program Files\\Maxthon\\Maxthon.exe,C:\\Program Files\\Tencent\\QQGAME\\QQGame.exe,C:\\Program Files\\TTPlayer\\TTPlayer.exe。说明:排除FrameworkService.exe是允许McAfee升级病毒库;排除Thunder5.exe是允许迅雷可以进行HTTP下载;排除Maxthon.exe是允许遨游可以上网且不会无故中断;排除QQGame.exe是允许QQ游戏能够运行;排除TTPlayer.exe是允许千千静听可以下载歌词。
四、用户自定义的规则
1、对未知程序的行为控制
说明:该系列规则防护相当强大,使用时需根据使用环境随时调整,但因为排除进程太多,故安全性降低,以“1.1禁止未知程序的任何操作”为例,为了不影响日常使用,排除了浏览器和下载工具,所以并不能阻挡病毒从外部创建到计算机中,虽然可以禁止其执行,但病毒源已存在于计算机中,威胁依然存在,因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。
1.1禁止未知程序的任何操作
要包含的进程:*
要排除的进程:C:\\WINDOWS\\System32\\alg.exe,C:\\WINDOWS\\system32\\ctfmon.exe,\\??\\C:\\WINDOWS\\system32\\winlogon.exe,\\??\\C:\\WINDOWS\\system32\\csrss.exe,C:\\WINDOWS\\system32\\lsass.exe,C:\\WINDOWS\\Explorer.EXE,C:\\WINDOWS\\System32\\svchost.exe,C:\\WINDOWS\\system32\\logonui.exe,C:\\WINDOWS\\system32\\RUNDLL32.EXE,C:\\WINDOWS\\system32\\userinit.exe,C:\\WINDOWS\\system32\\services.exe,C:\\Program Files\\Internet Explorer\\IExplore.exe,C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE,C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE,C:\\WINDOWS\\system32\\taskmgr.exe,C:\\WINDOWS\\system32\\NOTEPAD.EXE,C:\\Program Files\\McAfee\\Common Framework\\McTray.exe,C:\\Program Files\\McAfee\\Common Framework\\UdaterUI.exe,C:\\Program Files\\McAfee\\VirusScan Enterprise\\VsTskMgr.exe,C:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe,C:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe,C:\\Program Files\\McAfee\\VirusScan Enterprise\\shstat.exe,C:\\Program Files\\McAfee\\Common Framework\\naPrdMgr.exe,C:\\Program Files\\Thunder\\Thunder.exe,C:\\Program Files\\Thunder\\Program\\Thunder5.exe,C:\\Program Files\\Maxthon\\Maxthon.exe,C:\\Program Files\\Stardock\\Object Desktop\\WindowBlinds\\wbconfig.exe,C:\\Program Files\\Styler\\Styler.exe,C:\\Program Files\\Stardock\\Object Desktop\\IconPackager\\IconPackager.exe,C:\\Program Files\\Stardock\\Object Desktop\\SkinStudio\\SknStdio.exe,C:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE,C:\\Program Files\\Microsoft Office\\OFFICE11\\EXCEL.EXE,C:\\Program Files\\Microsoft Office\\OFFICE11\\POWERPNT.EXE,C:\\Program Files\\WinRAR\\WinRAR.exe,C:\\Program Files\\TTPlayer\\TTPlayer.exe,C:\\Program Files\\Stardock\\Object Desktop\\SkinStudio\\SknStdio.exe,C:\\Program Files\\Wopti\\WoptiUtilities.exe,C:\\Program Files\\鱼鱼软件\\鱼鱼桌面秀\\XDeskShow.exe,C:\\Program Files\\Tencent\\QQ\\QQ.exe,C:\\Program Files\\Tencent\\QQ\\CoralQQ.exe,C:\\Program Files\\Tencent\\QQGAME\\QQGame.exe,C:\\PROGRA~1\\KMplayer\\KMPlayer.exe,C:\\PROGRA~1\\NFSU2\\speed2.exe要阻止的文件或文件夹名:**\\*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:该规则属于FD的极致规则,类似于AD,利用FD模仿AD的行为控制,但并不如真正的AD完美与强大,若McAfee与具备AD的HIPS相配合,该规则就没有存在的意义了。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。
杀毒软件的性能和功能
内容全部来源于网络收集,如有侵权,请联系网站删除:QQ:24596024