mcafee默认规则要点 mcafee规则设置
规则要点:
1、深入挖掘默认规则,使默认规则威力发挥到极致,自定义规则只为补充与强化。
2、所有进程采用绝对路径排除,部分规则分成系统组、软件组两条,解决了排除容量(计空格2599字符)的限制。
3、安全性极高,可以做到带毒不爆发,欢迎虚拟机测试,但不建议实机玩儿毒自虐。
4、易用性稍差,视个人软件情况,有的排除量可能较大。
5、流畅性极好,飞一般的享受。
6、支持系统自动监测更新,下载并安装时最好关闭访问保护。
7、默认支持与金山网盾、毛豆纯墙\HIP8.0(二选一)安全搭配,一般用户单奔足矣。
8、不直接分享规则,规则自己设置:
(1)系统进程基本排除完毕,出现触红需要谨慎排除。
(2)常用软件已经排除,但路径多为E盘,请根据实际通过替换法修改盘符(如把E:\替换成C:\或D:\等)。
友情提示:如果追求通用,可以把软件路径中的“E:\Program Files\”替换成“*\Program Files*\”即可,安全性影响很小。
(3)没有排除的软件根据日志排除,或自行整理后添加排除。
排除技巧:一般软件要想正常运行,需要在“禁止远程创建/修改可执行文件和配置文件”、“将所有共享项设为只读”、“保护Windows下的文件”、“保护Windows注册表_项”、“保护Windows注册表_值”规则相应的系统组和软件组同时排除,某些大型或耍点小流氓的软件还需要在“保护电话簿文件免受密码和电子邮件地址窃贼的攻击”、“保护缓存文件免受密码和电子邮件地址窃贼的攻击”中排除。
(4)排除原则:善用百度搜索,辅以http://www.virscan.org/扫描,放行已知安全,杜绝一切隐患。
(5)请在相应操作系统下设置,不建议不同系统之间直接导入规则。
(6)不同系统,规则设置有所区别,请详细阅读规则说明。
9、献给喜欢折腾朋友的终极规则,安全尽在自己掌控!不好折腾的朋友不建议使用!
规则设置:
----------------------------默认规则---------------------------------------
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:**
要排除的进程:C:\Windows\Explorer.EXE, C:\Program Files\Internet Explorer\iexplore.exe
是否勾选报告:否
----------------------------------------
说明:排除C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能够修改Internet Explorer收藏夹和设置。不勾选报告,避免大量日志。
《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
要包含的进程:**
要排除的进程:无
是否勾选报告:否
----------------------------------
说明:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。安装某些程序时才需要加载新的COM,所以日常应用不排除,不勾选报告。
规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------
说明:一个可执行文件在被Windows运行之前都要先被保存在磁盘上,其最普遍的运行方式是,先保存在user或者system账号的 Temp 文件夹下,再运行。该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件。”而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑,比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。排除咖啡相关进程是为了正常升级和使用。
规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
是否勾选报告:否
-------------------------------
说明:阻止Windows 脚本执行器从Temp文件夹中运行VBScript以及JavaScript文件,这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。没必要勾选报告。
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:**
要排除的进程:无
是否勾选报告:是
------------------------------------
说明:保护Windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器被禁用。不用排除。
规则名称:禁止更改用户权限策略
要包含的进程:**
要排除的进程:C:\Windows\system32\lsass.exe
是否勾选报告:是
------------------------------------
说明:防止蠕虫病毒获知该账号在网络中是否拥有管理权限,防止恶意代码修改用户组的权限,同时亦会保护注册表中包含Windows 安全信息的键值,譬如,某些病毒会借助管理员账号来移除某些重要的权限。排除应该极少。
规则名称:禁止远程创建/修改可执行文件和配置文件(系统组)
要包含的进程:**(Win7下用*.*)
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\System32\msdtc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾选报告:是
--------------------------------
说明:该规则是规则“将所有共享项设为只读”的阉割版。保护了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按绝对路径排除已知的安全程序,全局有效防止了对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。只此一条,就涵盖了坛子里原有规则自定义规则的N条。还有com、sys、drv、vxd、bat等,交给自定义规则补充吧。此处排除的是系统组进程,软件组在自定义中补充。( 友情提示:如果软件数量不多,完全可以不分组,这样自定义规则就会少很多,下同。)
规则名称:禁止远程创建自动运行文件
要包含的进程:**
要排除的进程:无
要阻止的文件或文件夹名:autorun.inf
是否勾选报告:是
--------------------------------
说明:禁止创建所有自动播放。
规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------------
说明:禁止间谍和恶意程序修改操作系统的配置以及可执行文件。
规则名称:禁止伪装 Windows 进程
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------------
说明:禁止针对Windows核心进程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造,以及伪造名称的程序被执行,而真正的 Windows 文件不受该规则限制。切记不用排除。
规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
----------------------------
说明:邮件客户端,禁止通过SMTP 端口(25和587)出站发送email。需要排除所用邮件软件的进程,否则软件将无法使用。
规则名称:禁止 IRC 通信
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------
说明:屏蔽了6666-6669端口,防止后门木马连接到IRC服务器并接收来自其作者的命令。
规则名称:禁止使用 tftp.exe
要包含的进程:**
要排除的进程:无
是否勾选报告:是
---------------------------------
说明:防止通过利用脆弱的应用缓冲区溢出散播一些病毒。使用Windows的TFTP客户端(tftp.exe)执行下载的用户才需要排除。
《防病毒最大保护》
规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:svchost.exe
要排除的进程:无
是否勾选报告:否
---------------------------------
说明:禁止Svchost.exe加载非Windows服务.DLL文件。用则不要排除,也不用勾选报告。否则可以不用。
规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
------------------------------------------
说明:隐私保护规则。保护Rasphone.pbk文件存储在用户的配置文件的目录,不被读取和注入恶意代码。排除已知的安全程序。
规则名称:禁止更改所有文件扩展名的注册
要包含的进程:**
要排除的进程:C:\WINDOWS\explorer.exe
是否勾选报告:否
------------------------------
说明:这是一个严格的版本“反病毒标准保护:防止其他可执行的EXE和扩展劫持”规则,而不是只保护的.EXE。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。排除C:\WINDOWS\explorer.exe是为了只允许自己修改扩展名。不勾选报告,否则日志量大。
规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:**
要排除的进程:C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
--------------------------------------
说明:隐私保护规则。防止病毒、木马读取上网隐私。排除已知的安全程序,否则某些软件无法启动(这本身就是流氓行为)。
《防病毒爆发控制》
规则名称:将所有共享项设为只读(系统组)
要包含的进程:**(Win7下用*.*)
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾选报告:是
---------------------------------------
说明:这是非常强大的全局禁改规则。按绝对路径排除已知的安全程序,可以禁止一切未知程序的创建、写入、删除行为,这样就算病毒已经进入信任区,也无法搞破坏了。有效防止信任区病毒爆发。软件组在自定义中补充。
规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:**(Win7下用*.*)
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
------------------------------------------------
说明:这是非常强大的全局禁运规则。排除信任区后,非信任区一切程序的所有操作都无法进行。有效防止非信任区病毒爆发。注册表在自定义中补充。
《通用标准保护》
规则名称:禁止修改 McAfee 文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
-------------------------------------------
说明:只排除了咖啡本身和C:\Windows\system32\services.exe。
规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
------------------------------------------
说明:只排除了咖啡本身和C:\Windows\system32\services.exe。
规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾选报告:是
----------------------------------------
说明:只排除了咖啡本身。
规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*
是否勾选报告:是
-------------------------------
说明:本人不用,常规排除。
规则名称:保护 Internet Explorer 设置
要包含的进程:**
要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE
是否勾选报告:是
----------------------------------
说明:排除*\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是为了自己能修改IE设置。
规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------------------
说明:防止广告软件、间谍软件和一些木马程序安装运行浏览器助手、插件、工具栏等。只给咖啡这个权利。
规则名称:保护网络设置
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\svchost.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
----------------------------------------
说明:反广告规则。禁止发送、捕获网络流量并把它发送到第三方网站浏览行为的数据。只给咖啡和svchost.exe这个权利。
规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
是否勾选报告:是
---------------------------
说明:官方默认。
规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:iexplore.exe, wmplayer.exe
要排除的进程:无
是否勾选报告:是
------------------------------------------------
说明:官方默认。
规则名称:防止终止 McAfee 进程
要包含的进程:**
要排除的进程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
是否勾选报告:是
------------------------------
说明:官方默认。
《通用最大保护》
规则名称:禁止将程序注册为自动运行
要包含的进程:**
要排除的进程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-------------------------------------
说明:安全软件给这个权利。
规则名称:禁止将程序注册为服务
要包含的进程:**
要排除的进程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾选报告:是
---------------------------------------
说明:保护的注册表项和目录,也提供了一些针对新的内核模式rootkit安装有限的保护。严格排除已知的安全进程。
规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
是否勾选报告:是
------------------------------
说明:只防了EXE和DLL的创建,自定义规则还需要补充。
规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:**
要排除的进程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾选报告:是
-----------------------------
说明:只防了EXE和DLL的创建,自定义规则还需要补充。
规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:**
要排除的进程:无
是否勾选报告:是
--------------------------------
说明:“要包含的进程”改成**,禁止所有程序从 Downloaded Program Files 文件夹启动文件。
规则名称:禁止 FTP 通信
要包含的进程:**
要排除的进程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾选报告:是
------------------------------
说明:默认,到自定义规则中去详细控制。
规则名称:禁止 HTTP 通信
要包含的进程:**
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾选报告:是
--------------------------------
说明:默认加简单排除,到自定义规则中去详细控制。
《虚拟机保护》
规则名称:防止终止 VMWare 进程
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
--------------------------------------
说明:本人不用,常规排除。
规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
----------------------------------------
说明:本人不用,常规排除。
规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
-----------------------------------
说明:本人不用,常规排除。
规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾选报告:是
---------------------------------
说明:本人不用,常规排除。
----------------------------用户定义的规则-----------------------------------------
01 规则名称:禁止非信任区程序访问注册表_项
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。
02 规则名称:禁止非信任区程序访问注册表_值
要包含的进程:**
要排除的进程:*\*工具\**\*.*, *\*电子书\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保护的注册表项目或注册表值:HKALL /**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“阻止对所有共享资源的读写访问”规则的补充。
03 规则名称:禁止未知程序访问端口_入站
要包含的进程:**(Win7下用*.*)
要排除的进程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾选报告:是
-------------------------------------------------
说明:程序入站自己控制。
04 规则名称:禁止未知程序访问端口_出站
要包含的进程:**(Win7下用*.*)
要排除的进程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:出站
是否勾选报告:是
-------------------------------------------------
说明:程序出站自己控制。
05 规则名称:防病毒标准保护_禁止远程创建/修改可执行文件和配置文件_软件组
要包含的进程:**(Win7下用*.*)
要排除的进程:**\Windows\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\svchost.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“禁止远程创建/修改可执行文件和配置文件”规则的软件组。全局防止对*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的创建、写入、删除。
06 规则名称:防病毒爆发_将所有共享项设为只读_ 软件组
要包含的进程:**(Win7下用*.*)
要排除的进程:*\WINDOWS\**\*.*, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Program Files\Angry Birds\Angry Birds\AngryBirds.exe, E:\Program Files\Program Files\WinRAR\WinRAR.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:“将所有共享项设为只读”规则的软件组。防止信任区病毒爆发。
07 规则名称:保护Windows下的文件
要包含的进程:**(Win7下用*.*)
要排除的进程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**\WINDOWS\**(Win7下用C:\WINDOWS\**)
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 Windows 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读” 规则的强化。目的是严格控制,防止信任的WINDOWS区病毒爆发。
08 规则名称:保护Windows注册表_项_系统组
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保护的注册表项目或注册表值:HKALL Software/Microsoft/Windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(系统组)。
09 规则名称:保护Windows注册表_值_系统组
要包含的进程:**
要排除的进程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保护的注册表项目或注册表值:HKALL Software/Microsoft/Windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(系统组)。
10 规则名称:保护Windows注册表_项_软件组
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保护的注册表项目或注册表值:HKALL Software/Microsoft/Windows/**
要保护的注册表项或注册表值:项
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(软件组)。
11 规则名称:保护Windows注册表_值_软件组
要包含的进程:**
要排除的进程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保护的注册表项目或注册表值:HKALL Software/Microsoft/Windows/**
要保护的注册表项或注册表值:值
要阻止的注册表:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“保护Windows下的文件”规则的补充(软件组)。
12 规则名称:保护AppData下的Windows文件(Win7下适用)
要包含的进程:**
要排除的进程:*\CCleaner\CCleaner*.exe, *\COMODO\COMODO Internet Security\cmdagent.exe, *\Kingsoft\webshield\KSWebShield.exe, *\Kingsoft\webshield\kwsupd.exe, *\McAfee\Common Framework\McScanCheck.exe, *\McAfee\Common Framework\FrameworkService.exe, *\McAfee\Common Framework\UdaterUI.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\system32\NOTEPAD.EXE
要阻止的文件或文件夹名:**\AppData\**\Windows\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”规则的补充,对“将所有共享项设为只读”的强化。目的是严格控制,防止信任的AppData区病毒爆发。追求通用性者可以参照本条规则的通配符语法排除。
13 规则名称:保护Program Files下的文件
要包含的进程:**
要排除的进程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\system32\NOTEPAD.EXE, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夹名:**\Program Files*\**
要禁止的文件:写入 创建 删除
是否勾选报告:是
-------------------------------------------------
说明:对“禁止远程创建/修改可执行文件和配置文件”、“禁止在 Program Files 文件夹中创建新的可执行文件” 规则的补充,对“将所有共享项设为只读”规则的强化。目的是严格控制,防止信任的Program Files区病毒爆发。
1、sandyyangjie :
天诺兄不准备直接附上规则是不?~我觉得可以附上一个都没开启的规
html5安全策略的补充内容 html5安全策略的改进之处
HTML5对旧有的安全策略进行了非常多的补充。一、iframe沙箱HTML5为iframe元素增加了sandbox属性防止不信任的Web页面执行某些操作,例如访问父页面的DOM、执行脚本、访问本地存储或者本地数据库等等。但是这个安全
详情2018-02-06 15:51:06责编:llp 来源:驱动管家
md5加密解密的历史 md5加密如何被淘汰?
一、MD5是何方神圣?所谓MD5,即 "Message-Digest Algorithm 5(信息-摘要算法) ",它由MD2、MD3、MD4发展而来的一种单向函数算法(也就是HASH算法),它是国际著名的公钥加密算法标准RSA的第一设计者R Rivest于
详情2018-01-28 15:29:31责编:llp 来源:驱动管家
木马病毒怎么查杀?木马病毒有哪些查杀方法?
在用电脑的过程中,经常会遇到一些木马病毒,中病毒后,很多人都会表示用电脑杀毒软件杀毒就可以了,还有一些人在使用杀毒软件后发现,病毒在重启电脑之后又再次出现了,那么怎么样才能彻底查杀电脑中的木马病毒
详情2018-01-18 10:09:30责编:llp 来源:驱动管家
灰鸽子使用教程 破解灰鸽子成为注册会员
一、给灰鸽子脱壳要想得到灰鸽子的全部功能并挖出他的漏洞,就要给他脱壳。用ASPackdie给他脱壳(因为它是用ASPack加的壳),这个软件很好找,一些黑客网站上都有。先运行ASPackdie找到灰鸽子的主文件H_Client exe,
详情2018-01-17 10:25:13责编:llp 来源:驱动管家
破解管理员密码的一种方法:用U盘破解
有许多朋友还在为忘记XP登陆密码不能进入系统而烦恼,笔者现在将给用户介绍一个小方法,解决忘记密码给你带来的烦恼……有许多朋友还在为忘记XP登陆密码不能进入系统而烦恼,笔者现在将给用户介绍一个小方法,解
详情2018-01-21 10:04:29责编:llp 来源:驱动管家
如何使用filemon和olldy.w32dasm来破解软件渗透v3.0?
大家好 我是David 今天的课程是:完美破解共享软件今天所破解的软件是 "渗透V3 0 "所用到的工具是:filemon与Olldy w32dasm一 寻找关键跳在破解之前 要先对软件进行查壳 脱壳 以前介绍过很多次了 这次就不多说了 脱壳
详情2018-02-11 13:08:54责编:llp 来源:驱动管家
intval函数的特性 分析php程序员站
一、描述intval函数有个特性: "直到遇上数字或正负符号才开始做转换,再遇到非数字或字符串结束时( 0)结束转换 ",在某些应用程序里由于对intval函数这个特性认识不够,错误的使用导致绕过一些安全判断导致安全漏洞
详情2018-03-01 14:05:20责编:llp 来源:驱动管家
提升权限的个人总结 提升权限有哪些技巧?
当我们取得一个webshell时候,下一部要做的就是提升权限个人总结如下:1: C: Documents and Settings All Users Application Data Symantec pcAnywhere 看能否跳转到这个目录,如果行那就最好了,直接下它
详情2018-02-11 12:20:58责编:llp 来源:驱动管家
远程软件怎么访问硬盘?远程软件访问硬盘的方法?
很多时候当一台计算机中毒以后,我们的远控软件就会查看到你硬盘的重要数据,从而将之盗取。我们怎么防止这种情况出现呢?其实您可以把硬盘加密码。但是如果入侵者用远控软件访问就不需要输入密码,直接就能访问
详情2018-01-09 08:52:31责编:llp 来源:驱动管家
dedecms教程 怎么防止dedecms广告里带php脚本并写入文件?
dedecms广告内容没有做限制,可以输入脚本信息,并写入文件,导致木马植入!此补丁,是防止广告里带PHP脚本并写入文件!核心代码:ad_js php复制代码代码如下: 禁止写入和PHP脚本有关字符信息 =================
详情2018-01-13 12:29:43责编:llp 来源:驱动管家
- 抵御ddos攻击需要做什么?怎么部署ddos攻击的防御方法?
- 网站敌人有哪些?url地址栏欺骗也是其中一项
- 如何用驱动人生安装打印机驱动?看看这个教程
- 无线网卡驱动怎么更新 笔记本电脑升级无线网卡驱动方法
- 海马苹果助手连接到电脑无法识别用不了怎么办?
- MathType符号怎么插入?MathType怎么插入约等号
- MathType编辑公式的时候怎么插入正负号?
- 什么品牌的相机电池好?关于相机电池的介绍
- 佳能550d镜头都有哪些呢?佳能550d镜头推荐
- 小米手机电池自动休眠怎么去激活呢
- MWC大会成三星S9系列专场 那些国产旗舰都去哪了?
- 特斯拉在华的销售额成功突破了20亿美元
- 东芝美国今日宣布推出MQ04系列:2TB机械硬盘
- win10怎么还原成win7?一招教你还原win7系统
- 怎么清除电脑用过的网络连接图标?
- 联想zuk z2 pro拍照效果如何?是不是值得买?
- 一加手机5如何装卡?一加手机5 sim卡安装方法步骤
- 怎么更改谷歌浏览器的安装路径?更改Chrome浏览器安装位置的方法
- 网上银行安全系统架构以及相关技术
- pjblog3 v3存在设计错误漏洞 测试pjblog3 v3漏洞的方法
