请大家提供点MCAFEE的自定义规则

显示全部楼层 · 2008-1-7 16:49:05

如果是服务器和客户端模式，就在EPO中设置规则。如果是单机版的，就设置一些如下内容。1、访问保护端口阻挡禁止大量发送邮件的蠕虫发送邮件，端口25，方向：出站禁止irc通讯，端口6666-6669，方向：出站入站文件、资源共享和文件夹保护添加要阻挡的病毒特征文件，如：（1）规则名称：block msn photo virus 中间*号不变（2）要阻挡的文件或文件夹名：%SystemDir%syshosts.dll（3）要阻止的文件操作把“读、写、执行、创建”全部勾上。响应方式：自己选一种。再如，VA终结者，规则名称自己编、要阻挡的文件分别是：**\ytbikec.exe和**\jbtmfqq.exe。2、有害程序策略中可以自己定义检测有害程序内容

千问 · 2008-1-7 16:49:05

1) 防间谍程序标准保护
阻止＋报告保护Internet Explorer收藏夹和设置（保护IE） 2) 防间谍程序最大保护
阻止＋报告禁止安装新的CLSID、APPID和TYPELIB（可能导致软件安装错误，安装完软件后开启)
阻止＋报告禁止所有程序从Temp为文件夹运行文件（阻止大多数病毒的发作）
阻止＋报告禁止从Temp文件夹执行脚本（阻止大多数病毒的发作） 3) 病毒标准保护
阻止＋报告禁止远程创建/修改可执行文件和配置文件
阻止＋报告禁止远程创建自动运行文件（可看作AUTORUN病毒防护）
阻止＋报告禁止拦截.EXE和其他可执行文件扩展名
阻止＋报告禁止伪装Windows进程（防止病毒将进程为装成故有的系统进程）
阻止＋报告禁止群发邮件蠕虫病毒发送邮件（如使用Foxmail和Maxthon等程序，请在例外中添加）
阻止＋报告禁止IRC通信（可能被病毒和黑客利用的高危通信）
阻止＋报告禁止使用tFTP 4) 病毒最大保护
阻止＋报告禁止Svchost执行非Windows可执行文件
阻止＋报告保护电话薄文件免受密码和电子邮件地址窃贼的攻击
阻止＋报告禁止更改所有文件扩展名的注册
阻止＋报告保护缓存文件免受密码和电子右键窃贼的攻击（对账号密码起到很好的防护作用） 5) 防病毒爆发控制
阻止＋报告将所有共享项设为只读（防止病毒通过共享文件传播）
禁止对说有共享资源的读写访问（开启的话共享资源访问性消除） 6) 通用标准保护
阻止＋报告禁止修改MCAFEE文件和设置（对MCAFEE自身的保护）
阻止＋报告禁止修改MCAFEE Common Management Agent文件和设置（对MCAFEE自身的保护）
阻止＋报告禁止修改MCAFEE扫描核心文和设置（防止病毒瘫痪防火墙）
阻止＋报告保护Moziila和Frefox文件和设置（对两种浏览器的保护，推荐使用Firefox代替IE）
阻止＋报告保护Internet Explorer设置（防止对IE设置的恶意篡改）
阻止＋报告禁止安装Browser Helper Objects和Shell Extensions（禁止浏览器恶意插件的安装）
阻止＋报告保护网络设置（对网络基础设置进行锁定）
阻止＋报告禁止公用程序从Temp文件夹运行支持（有效防止病毒被激活）
阻止＋报告防止终止MCAFEE进程（使MCAFEE进程不能被结束，如出现意外，自动重启） 7) 通用最大保护
阻止＋报告禁止将程序注册为自动运行（防护一些恶意程序开机运行）
阻止＋报告禁止将程序注册为服务（病毒、木马注册为服务之后会很难被结束）
阻止＋报告禁止在Windows文件夹中创建新的可执行文件（安装正常的补丁，需要时手动关闭）
阻止＋报告禁止在Program Files文件夹中创建新的可执行文件
阻止＋报告禁止从Downloaded Programs Files文件夹中启动文件（防止恶意自动安装插件等）
阻止＋报告禁止FTP通信（应用FTP时请关闭）

千问 · 2008-1-7 16:49:05

McAfee是很人性化的，我一直在用，监控能力很强也不能说是你的问题，McAfee在设计上比较适合高手使用，很多人一开始用McAfee的时候都觉得它不行，好像很多病毒扫不出来，但你的电脑也没事啊！其实你已经受到保护了。McAfee是工作在硬件虚拟层上的，相对于其它杀软在引擎上有一定优势，监控就不用多说了那要看拦截的是什么了，病毒的危害它能拦截。杀软认为某个文件是病毒是有它的依据和标准的，每个杀软的依据和标准都不同。

千问 · 2008-1-7 16:49:05

http://www.0685.org/soft/buding/down-218.html自定义规则包下载，下载后导入就可以。http://hi.baidu.com/freejerry/blog/item/af7e8d45c600823e86947362.html 自定义规则的制作说明，喜欢什么规则自己动手做也可以。

千问 · 2008-1-7 16:49:05

1保护winlogon.exe
*
**\win**\winlogon.exe 写创建2禁止修改txt文本文件（注册表）*/HKEY_CLASSES_ROOT/.txt规则类型项三顶全选3禁止修改IE的搜索，默认主页设置（注册表）所有进程 * 4保护注册表项或值/HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/Main*/**类型项值写入创建选上5禁止在 System32 文件夹中创建新文件 (任何文件)所有进程阻止的文件夹名**\win*\system32\*.*选上创建新文件6禁止互联星空拨号安装程序自释放到TEMP所有进程名字节
**\China*net\**前四项全选7防止威金规则所有***\win*\logo*_*.exe前四全选8禁止安装3721，并阻止运行所有***\3721\**前四全选9禁止安装YAHOO助手***\Assistant\**前四全选10禁止中文上网安装***\CNNIC\**前四选11禁止安装一搜工具条***\YiSou\**
前四12禁止从 Temp 文件夹安装SYS底层驱动***\temp*\*.sys选执行创建13禁止安装很棒小秘书所有***\HBClient\**前四14拒绝腾讯QQ（注册表）所有*注册表项或值HKLM
/SOFTWARE/Tencent类项选前2项15禁止U88财富快车工具条安装目录***\Internet Explorer\2052\**前四选16禁止百度搜霸安装目录***\Baidu\**前四17禁止YOK工具条安装目录***\YOK.com\**前四18禁止搜狗安装目录***\p4p\**前四19禁止dudu下载加速器安装目录**\DuDu\**前四20禁止娱乐星空安装目录**\yulexk\**
前四21禁止易趣工具栏安装目录**\*eBay*\**
前四22禁止彩信通安装目录**\MMSAssist\**
前四23禁止Internet Explore文件夹安装SYS底层驱动**\Internet Explorer\**\*.sys中间三个选24禁止划词搜索安装目录**\wsearch\**
前四25禁止网络猪安装目录**\网络猪\**
前四26禁止完美网译通安装目录**\WORLD2\*
前四27禁止百狗搜索安装目录**\baigoo\**
前四28禁止酷桌面安装目录**\LetsCool\**
前四29禁止MSIBM安装文件**\spoolsv\**
前四30禁止安装中搜工具条**\ZhongSou\**31禁止安装IE-BAR**\IE-Bar\**32禁止安装忆多多**\忆多多\**33禁止安装多多Q表情**\Common Files\UPD*\**34禁止腾讯的SOSOBAR**\Sosobar*\**
选134项35禁止多多Q表情2**\Common Files\SAND\**36禁止唯刊VIKA阅读器**\VIK\**37禁止IE相关（注册表）/HKEY_CURRENT_USER/Software/Policies/Microsoft/Internet Explorer/**项前二选38禁止协和医院弹出广告**\STDUP\**39禁止酷站导航**\CoolWebsite\**40禁止珊瑚虫工具栏**\Infofo Bar\**41禁止青娱乐**\Qyule\**42禁止开心速递**\SDAstro\**43禁止VVZ收藏夹**\vvz\**44禁止Hotbar**\Hotbar\**45禁止nb46工具栏**\nb46.com\**46禁止DeskAdTop弹窗**\DeskAdTop\**47禁止快搜**\Micrsoft SearchBar\**48禁止网蜜**\MySec\**49禁止划词搜索**\HuaCi\**50禁止中搜的SearchNet**\SearchNet\**51防止威金读取NET.NET1**\win*\net*.exe选取2452禁止自动加载ActiveX/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Code Store Database/Distribution Units/**类项选取前253禁止在IE添加TOOLBARHKLM
/SOFTWARE/Microsoft/Internet Explorer/Toolbar/**项
选前254禁止鸡毛信安装**\temp\IXP*.tmp\TMP435*.TMP55拒绝腾讯QQ/HKEY_USERS/S-1-5-21-1993962763-789336058-725345543-1003/Software/Tencent项
选取前256禁止在Common Files生成流氓恶意病毒**\Program Files\Common Files\*.*选新建57禁止程序写入WINLOGO注册表项*排除
avgas.exe/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Winlogon/**项
选前258禁止硬盘炸弹利用FORMAT，格式化硬盘**\format.*选1各359禁止在PROGRAM生成文件，但不影响安装程序创建目录排除
WinRAR.exe**\Program Files\*.*选13460禁止在Program Files下添加system，system32,systems文件夹排除Explorer.EXE, k-meleon.exe, SysSafe.exe, taskmgr.exe**\Program Files\system*\**61禁止在Program Files下往WINNT或WINDOWS NT文件夹下添加垃圾**\Program Files\win*t\**选2462禁止千橡播霸安装**\pcast\**63禁止腾讯QQ的广告**\adplus*\**64禁止在任何盘符根目录生成exe文件\*.exe
选2465禁止在Common Files的创建Comm**\Common Files\Comm*\**66禁止在All UsersApplication DataMicrosoftUserData下乱创建文件**\Application Data\Microsoft\UserData*\**67禁止威金4排除ExtendedOEMDll.dll, guard.exe, sidebar.exe, WinDvr.exe**\win*\*dll.dll68禁止波波入侵135排除BitComet.exe, BitLord.exe, BitSpirit.exe, emule.exe, FunPlayer.exe, utorrent.exe入站69禁止映像劫持HKLM
/SOFTWARE/Microsoft/Windows*NT/CurrentVersion/*Image*File*Execution*Options*/**项
选取前270禁止IE页面添加右键（注册表）/HKEY_CURRENT_USER/Software/Microsoft/Internet Explorer/MenuExt/*项
选取前271禁止更改IE的搜索，默认主页设置2（注册表）/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Internet Explorer/Main/**项
选前272禁止熊猫病毒**\win*\**\spo*sv.exe选取2473禁止熊猫病毒生成物**\win**\**\Fuck*.exe74禁止注册表修改EXE/HKEY_CLASSES_ROOT/.exe项
全选75禁止向右键菜单写入（注册表）/HKEY_CLASSES_ROOT/AllFilesystem Objects/shellex/ContextMenuHandler/**项前276禁止写入另一个WINLOGO（注册表）/HKEY_LOCAL_MACHINE/SOFTWARE/Microsoft/Windows NT/CurrentVersion/GinaDLL/**项
选前277IE搜索/HKEY_CURRENT_USER/Software/Microsoft/Internet explorer/Searchurl/**项目
前278IE搜索2/HKEY_LOCAL_MACHINE/Software/Microsoft/Internet explorer/Search/**项目前279禁止更改网络1（注册表）/HKEY_LOCAL_MACHINE/System/*controlset*/Services/Winsock2*/**80禁止更改网络2（注册表）/HKEY_CURRENT_USER/Software/Microsoft/Windows/Currentversion/Policies/Network81禁止更改网络3/HKEY_LOCAL_MACHINE/System/*controlset*/Services/Tcpip/**82禁止向Internet Explorer下PLUGINS目录写文件**\Internet Explorer\PLUGINS\*.*选12483禁止从TEMP允许SCR文件**\temp*\**\*.scr选384禁止从TEMP运行PIF文件**\temp*\**\*.pif选385禁止创建 autorun.inf 文件**\*autorun*.inf*选2486禁止删除GHOST文件**\**\*.gho先最后一个87禁止映像劫持或修改HKLM/SOFTWARE/Microsoft/Windows*NT/CurrentVersion/*Image*File*Execution*Options*/**88禁止病毒调用cscript.exe**\system32\cscript.exe选1289禁止创建autorun.inf文件夹**\autorun*\*.*选12490禁止调用Wscipt.exe**\**\Wscipt.exe91保护explorer.exe**\win**\explorer.exe选24说明：选124是指先第1.2.4三个.所有选项是竖起数!这些包含90%的高级设置!没有列选项的全选!下面是咖啡缓冲排出内容explorer.exe，WINWORD.EXE，IEXPLORE.EXE，EXCEL.EXE，POWERPNT.EXEmsimn.exe，wmplayer.exe，inetinfo.exe，lsass.exe，mapisp32.exe，mplayer2.exemsaccess.exe，msimn.exe，wmplayer.exe，inetinfo.exe，lsass.exe，mapisp32.exemplayer2.exe，msaccess.exe，msimn.exe，wmplayer.exe，inetinfo.exe，lsass.exemapisp32.exe，mplayer2.exe，msaccess.exe，msimn.exe，wmplayer.exe，inetinfo.exelsass.exe，mapisp32.exe，mplayer2.exe，msaccess.exe，msimn.exe，wmplayer.exe，inetinfo.exelsass.exe，mplayer2.exe，msaccess.exe，msimn.exe，mstask.exe，msmsgs.exe，wuauclt.exewmplayer.exe，winword.exe，w3wp.exe，VSEBOTest.exe，visio32.exe，svchost.exe，SrvMon.exesqlservr.exe，services.exe，rpcss.exe，powerpnt.exe，Outlook.exe，Naprdmgr.exe，NaimServ.exeregedit.exe这些都是别的地方没有呵!别的设置到网上找找都是差不多的呵!呵呵，用mcafee的大都是看上他的规则可以自己写，楼主如果希望用别人的规则，那还是不要用mcafee了，人人的机子不一样，别人的规则不见的适合你用！

千问 · 2008-1-7 16:49:05

给你个网址，里面有图片说明如何设置。http://tech.0532163.com/news/79/2007118122737.htm