教學 - MCAFee（麥咖啡）工作解釋+設定指南

[psac]

MCAFee（麥咖啡）工作解釋+設定指南
首先介紹一下安裝後產生的工作！
如果不安裝8.1的防火牆就一共應該有7個工作
UpdaterUI.exe
shstat.exe
Tbmon.exe
Vstskmgr.exe
Mcshield.exe
Frameworkservice.exe
naPrdMgr.exe
　　　UpdaterUI.exe：自動昇級進（咖啡一個星期昇級一次。）
　　　shstat.exe：也就是你系統欄裡那個盾牌一樣的圖示，啟動項處於註冊表內.(裝完重新啟動系統後，圖示才會出現在系統工作管理欄中。不
過，即使沒有圖示，VirusScan Enterprise 仍在執行，且您的電腦仍受到保護。）
您可以通過檢查以下註冊表鍵進行驗證：
HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ShStatEXE="C:\Program Files\Network
Associates\VirusScan\SHSTAT.EXE"/STANDALONE
　　Tbmon.exe：錯誤報告程序
　　Vstskmgr.exe（Network Associates Task Manager）：這個東西屬於系統服務。
　　Mcshield.exe：咖啡的核心，系統服務！
　　Frameworkservice.exe（McAfee Framework 服務，McAfee 產品的共享元件框架）：咖啡的後台框架工作，屬於服務。平時關閉的話，經
過我測試是不影響普通使用的，但是會影響昇級，且這個工作和Vstskmgr.exe不一樣，他不能自動的去啟動服務，如果你調整成手動，那麼你非得自己動手去啟動這個服務，才能執行昇級程序。
　　naPrdMgr.exe：這個工作以前的版本就有，它是個Frameworkservice.exe在一起的，如果Frameworkservice.exe被停止，則它絕對不會在工作管理器裡出現。
下面就開啟你的咖啡，（右擊系統托盤咖啡的圖示，選virusscan控制台)




這裡就是咖啡的簡單的網路防火牆功能，可以設定讓麥咖啡來阻止相應的連接阜，比如阻止了25連接阜以後，就可以禁止某些木馬把你的密碼等信
息當郵件傳送出去，但是如果你用軟體發郵件也會被阻止，可以在排除工作中輸入你現在使用的郵件軟體的工作名字，比如foxmail.exe
比如有個木馬是blazer5，連接的是5000連接阜，在這裡設定一下可以遮閉掉5000連接阜，如下圖




這裡可以設定你的共享資源，主要是下面，他已經有很多的原有的規則了，你可以禁止在windows的目錄中新增文件，防止木馬的破壞，要裝軟體
的時候臨時執行，這樣雖然比較麻煩，但是安全性確實很不錯。預設的設定狀態下，開啟一個壓縮檔案是無法直接雙按執行文件的，像上面那
個的設定，因為有些壓縮包中可能有惡意程式碼，在臨時資料夾中執行某些惡意程序.


這裡是防止某些病毒利用緩衝區溢位漏洞來傳播


建議把關機時檢測軟碟關了，不然很煩的，下面的掃瞄時間是個很難改動的設定，時間太短的話可能會檢查不完，太長的話有大文件會很慢
，不過好在這裡是最長檢測時間，後面的選項，預設就好.




這是一個很不錯的設定，可以對高低風險的工作進行不同的設定，比如有些病毒很喜歡使用系統工作的名字，當然就是高風險的了，這樣設定
的話可以對低風險工作放寬設定以降低系統資源佔用掃瞄文件這裡，可以設定成只在讀取文件時檢測，這樣可以節省一些資源，當然也是放棄了安全性的。如果你在區域網路上，建議選檢測網路
驅動器。掃瞄檔案類型，按訪問掃瞄的話建議選項預設檔案類型，一般某些不常用的檔案類型，包括某些.bak文件，都是沒有太大危害的，至少現在他
不會執行，不是特別擔心的話選項預設檔案類型好了。下面是排除列表，就是不掃瞄的資料夾，比如麥咖啡把破解的serv-u當病毒，這裡可以把
serv-u的資料夾排除就可以了。建議把c碟的隔離資料夾增加進去，不然要去裡面移除病毒的時候他可能會彈出來煩人.


這裡要說的就是是否掃瞄壓縮檔案，我的建議是不掃瞄，因為掃瞄他們會花去大量的時間，即時裡面有病毒，也需要先解壓出來，就是直接運
行也要解壓到臨時資料夾，這個時候麥咖啡也會自動去檢測的。


這裡可以在系統空閒的時候自動掃瞄記憶體或者某些敏感資料夾。新增一個按需掃瞄工作，目標是記憶體或者敏感資料夾（比如c:\windows\），然後點計劃


這裡可以選項檢測時的cpu佔用率，太低的花話可能會讓檢測速度變慢。如果你設定了空閒時掃瞄記憶體的話，這裡還是改低一些吧。
m
-- cafee，中文稱作麥咖啡。最近老是有人問麥咖啡的問題，於是決定寫一篇這樣的東西，希望可以對使用麥咖啡的朋友有點說明 ^_^

首先開啟麥咖啡的控制台，右擊工作管理欄的圖示或者從開始選單都可以開啟，可以看到以下的界面



下面按照控制台中的順序一個一個來說

存取保護



　 這裡，就是麥咖啡的簡單的網路防火牆功能，可以設定讓麥咖啡來阻止相應的連接阜，比如阻止了25連接阜以後，就可以禁止某些木馬把你的密碼等訊息當郵件傳送出去，但是如果你用軟體發郵件也會被阻止，可以在排除工作中輸入你現在使用的郵件軟體的工作名字，比如foxmail.exe，不知道明白了沒有^_^!

比如我現在知道有個木馬是blazer5，總是連接我的5000連接阜，感覺很不爽，在這裡設定一下可以遮閉掉5000連接阜，如下圖





這裡可以設定你的共享資源，主要是下面，他已經有很多的原有的規則了，你可以禁止在windows的目錄中新增文件，防止木馬的破壞，要裝軟體的時候臨時執行，這樣雖然比較麻煩，但是安全性確實很不錯。預設的設定狀態下，開啟一個壓縮檔案是無法直接雙按執行文件的，像上面那個的設定，因為有些壓縮包中可能有惡意程式碼，在臨時資料夾中執行某些惡意程序，這個是否開啟看你自己選項了^_^


沖區溢位保護



這裡是防止某些病毒利用緩衝區溢位漏洞來傳播，不過開啟以後會造成很多麻煩，建議禁止

電子郵件傳送掃瞄程序



這裡的設定我放到後面和按訪問掃瞄程序一起說明，因為他們實在很像

有害程式政策



建議全開，不過全開以後可能會把你的某些特別軟體當病毒，哈哈^_^

按訪問掃瞄程序

麥咖啡的關鍵設定，即時保護就是這個了



這裡要改一些設定，建議把關機時檢測軟碟關了，不然很煩的，下面的掃瞄時間是個很難改動的設定，時間太短的話可能會檢查不完，太長的話有大文件會很慢，不過好在這裡是最長檢測時間，你自己看好了^_^

後面的選項沒什麼可說了，預設就好

這是一個很不錯的設定，可以對高低風險的工作進行不同的設定，比如有些病毒很喜歡使用系統工作的名字，當然就是高風險的了，這樣設定的話可以對低風險工作放寬設定以降低系統資源佔用，如果有時間的話可以好好改改，我這裡統一說一下。



　 掃瞄文件這裡，可以設定成只在讀取文件時檢測，這樣可以節省一些資源，當然也是放棄了安全性的。如果你在區域網路上，建議選檢測網路驅動器。掃瞄檔案類型，按訪問掃瞄的話建議選項預設檔案類型，一般某些不常用的檔案類型，包括某些.bak文件，都是沒有太大危害的，至少現在他不會執行，不是特別擔心的話選項預設檔案類型好了。下面是排除列表，就是不掃瞄的資料夾，比如麥咖啡把破解的serv-u當病毒，這裡可以把serv-u的資料夾排除就可以了。建議把c碟的隔離資料夾增加進去，不然要去裡面移除病毒的時候他可能會彈出來煩人^_^





　這裡要說的就是是否掃瞄壓縮檔案，我的建議是不掃瞄，因為掃瞄他們會花去大量的時間，即時裡面有病毒，也需要先解壓出來，就是直接執行也要解壓到臨時資料夾，這個時候麥咖啡也會自動去檢測的。還是你自己選項好了。



發現病毒的操作，建議預設。

有害程式政策也建議預設。


掃瞄所有所有硬碟（按需掃瞄程序）



　 這裡，看起來好像是很平常的設定，不過其實隱藏了很多東西∼比如他可以在系統空閒的時候自動掃瞄記憶體或者某些敏感資料夾。新增一個按需掃瞄工作，目標是記憶體或者敏感資料夾（比如c:\windows\），然後點計劃



這樣，他就會在系統空閒的時候掃瞄了，哈哈^_^



和前面的設定一樣，不過不再是即時的保護了，當然要檢測壓縮包了∼



非常貼心的設定，可以選項檢測時的cpu佔用率，太低的花話可能會讓檢測速度變慢。如果你設定了空閒時掃瞄記憶體的話，這裡還是改低一些吧。

這是麥咖啡附加病毒庫，主要是增加對3721的檢測，解壓縮後複製到 　 c:\program files\common files\network associates\engine

點擊瀏覽該檔案

打了這麼字，真的很累，本來準備寫個一般問題的，不過真的要寫的時候發現也沒什麼可寫的了……現在我這裡有麥咖啡官方簡體中文說明書一會傳到ftp上去，非常詳細的東東，不過我從沒認真看過



Winmail Server和McAfee防毒


1.正確安裝並設定Winmail Server,詳見 http://www.magicwinmail.com/help/install_index.htm 。

2.正確安裝McAfee防毒軟體並昇級病毒庫到最新版本。

3.整合Winmail Server和McAfee防毒軟體設定。

注意事項：如不按下列步驟進行，可能會導致Winmail Server不能正常執行

以McAfee VirusScan 7.0 簡體企業版和 McAfee VirusScan Enterprise8.0i 為例：

(1)開啟「按訪問掃瞄內容」，進入「消息」頁面



(2)選項「移除感染病毒的文件」並取消「傳送消息給用戶」



(3)選項「所有工作」選項，進入「檢測」頁面



(4)進入「排除」選項



(5)選項「增加」



(6)選項「按檔案名稱/位置」排除，點擊「瀏覽」



(7)增加您安裝的Winmail Server目錄下以下子目錄到排除項目

%\server\queue\bounce
%\server\queue\header
%\server\queue\msg
%\server\queue\status
%\server\queue\todo
%\server\store

%表示郵件系統安裝的目錄，預設為：C:\Programe Files\Magic Winmail

(如果在「進階設定」->「系統參數」中更改了「貯列儲存於目錄」，請排除更改後的目錄。)



(8)點擊「確定」，儲存設定



(9)進入所有「工作」->「操作」，更改「發現病毒時」處理為「自動移除感染病毒的文件」



(10)進入「VirusScan 控制台」禁用「電子郵件掃瞄」選項



　

(11)Winmail Server防病毒設定:「啟用掃瞄病毒郵件功能」，選項「使用文件既時防護或病毒防火牆」



(12)傳送測試信，檢視反饋訊息



測試成功，整合完畢！


關於Winmail Server和McAfee VirusScan Enterprise8.0i防毒的設定：

1.開啟Mcafee VirusScan的設定面板，進入Access Protection的內容



2.關閉Port Blocking中的"Pevent mass mailing worms from sending mail"這條初始規則



關於Winmail Server和Mcafee_8.0_Full2004防毒的設定：

先執行Mcafee8.0，然後啟動Winmail Server，按照提示對話視窗給予Winmail Server和Apache永久允許訪問權限。
.0i官方整合patch10的版本病毒庫是4442，假設我從4442病毒庫昇級到4491病毒庫，是不是下載dat-4491.zip？
下面這個是官方的說明
使用 DAT ZIP 或 DAT TAR 文件更新 VIRUSSCAN COMMAND
LINE 和 VIRUSSCAN FOR UNIX

1. 在硬碟上新增一個臨時目錄。

2. 從我們的網站將壓縮的 DAT 文件下載到這個臨時目錄中。請
參閱本文件後面的「與 McAfee Security 和 Network
Associates 聯係」。

這個文件的名稱通常為 DAT-xxxx.ZIP 或 DAT-xxxx.tar，
其中 xxxx 是四位數的 DAT 版本號，例如 4321。

3. 如果您的防病毒軟體有某個版本的 VShield 正在執行，請在
指令行提示號下輸入 VSHIELD /REMOVE。

4. 制作備份或重新命名防病毒軟體程序目錄中的現有 DAT 文件。有關
DAT 文件的完整列表，請參閱本文件後面的「病毒定義文件列表」。

5. 使用 WinZip、PKUnzip 或類似實用程序開啟 ZIP 文件並
解壓縮新的 DAT 文件。您可以將解壓縮檔案直接儲存到防病
毒軟體的目錄下

j或下載這個算了。SUPERDAT+BETADAT，執行後自動安裝。
http://download.nai.com/products/mca...n_xdatbeta.exe

此方法旨在方便教育網用戶，因為教育網上外國網站不方便，操作辦法：
只需在您的McAfee安全產品的更新伺服器列表中增加如下url:
http://security.thusns.org/McAfee
即可與McAfee官方更新保持同步（不超過24小時）。

[sff]

感謝大大!!
下來備用!!
雖然現在不是用賣咖啡

[psac]

補充資料:
麥考啡Enterprise 8.0i 企業版繁體中文版 整合patch 10

麥考啡Enterprise 8.0i 企業版繁體中文版 整合patch 10(勿需在一連串的補修正檔,整合)



重要優勢

-整合式防火牆和IPS技術 – 附加防火牆和入侵防禦技術，透過單一整合產品提供最強大的主動式防護。

-加強防禦新威脅 – VirusScan 8.0i能對抗最新的無用程式安全威脅 (例如：spyware)、針對性套用程式緩衝區溢位攻擊，以及混合式襲擊。

-疫情回應時降低TCO – 先進的疫情功能會在DAT檔案產生前堵塞所有弱點漏洞，阻擋疫情入侵和擴散，將損毀減至最低。

-McAfee掃瞄技術 – 獲獎的McAfee掃瞄引擎執行記憶體內掃瞄，阻擋Netsky和Code Red等威脅，此等威脅不會將程式碼寫入磁碟。

-集中式管理及回報 - 和McAfee ePolicy Orchestrator整合後，可提供完善的安全管理解決方案，包括由單一主控台進行詳盡的圖形化回報。


產品功能
完整的McAfee防毒保護
McAfee防毒掃瞄引擎可阻擋所有檔案類型的病毒及惡意程式碼威脅，包括巨集病毒、特洛伊木馬、網際網路蠕蟲、進階32位元病毒，甚至是惡意ActiveX及Java物件等。 VirusScan使用McAfee的技術深入壓縮資料，同時能找出.zip及其他壓縮檔案中的隱藏威脅。 VirusScan藉由進階的啟髮式及泛型偵測，提供主動的防護，可防禦新出現、未知病毒和其他威脅。

無用程式安全防護
對無用程式的自動偵測能協助確保企業和使用者不被隱藏的程式藉由追蹤網際網路使用狀況，竊取密碼和帳戶資料等個人資料或開啟安全漏洞。 使用者和管理員可選項在VirusScan偵測到無用程式時所採取的回應（警示、清理、移除和隔離）。 管理員甚至可自訂針對公司的無用程式清單，如廣告軟體、撥接軟體或惡作劇程式，維持公司終點系統COE規範。

緩衝區溢位防禦（IPS功能）
VirusScan 8.0i能為約20種最常用、最常受攻擊的軟體套用程式和Microsoft® Windows® OS服務（包括Microsoft Word、Excel、Internet Explorer、Outlook和SQL Server）提供緩衝區溢位防禦。 管理員必要時可按流程建立例外情況。

[psac]

完全疫情回應
VirusScan 8.0i的內建疫情回應功能在DAT檔案產生之前對抗新病毒，管理員因此能在最容易受攻擊時（驗證病毒後，發佈DAT前）採取行動。 疫情回應功能包括：
埠阻擋鎖定（防火牆功能）
讓管理員能「關閉」（阻擋）特定埠，截停網路的進出流量，例如：如果是MyDoom，應關閉埠#3196；如果是Bagel.n，應關閉埠#2556。

套用程式監視：電子郵件引擎（防火牆功能）
讓管理員能阻擋流出埠，但同時能設定規則，允許某些程序透過關閉的埠來進行通訊。 例如：管理員能阻擋埠25的流出，但允許outlook.exe透過關閉的埠來進行通訊。 啟動此功能，NetSky和MyDoom就不能超越系統進行攻擊。

檔案阻擋、目錄銷定、資料夾分享阻擋（IPS功能）
新增原則，控制系統或流進網路程序對特定檔案、目錄或資料夾分享（或包含文字和百搭符號名稱配對檔案組、資料夾組等等）的允許動作。 例如：Sasser蠕蟲原則能阻擋avserve*.exe、skynetave.exe、lsasss.exe、napatch.exe、*_up.exe、cmd.ftp、ftplog.txt、winlog2.*和win*.log。

感染追蹤及阻隔
VirusScan能用VirusScan Enterprise 8.0i來發現並追蹤傳送惡意程式碼到系統的終點系統（感染源）IP位址，並將感染源資訊回報管理主控台。 或者，它也可以限定時間（可設定）或無限期（直至重設）阻隔感染源終點系統的通訊。

強大的記憶體掃瞄
VirusScan 8.0i 大幅提升掃瞄能力，包含了對病毒、蠕蟲與特洛依木馬的隨選與排程記憶體內掃瞄功能。 它能保護您的系統不受如Code Red及SQL Slammer等不會將自身程式碼寫入到磁碟的威脅，逕由記憶體中移除這些程序。

集中式管理及回報
VirusScan 8.0i可與McAfee ePolocy Orchestrator整合。ePolicy Orchestrator是真正可縮放的原則系統管理工具，可進行原則管理、詳細圖形化回報及軟體佈署。 ePolicy Orchestrator是一個強制防護規範的集中式稽核程式，提供單一主控台以管理您的McAfee佈署。 或者，中小型企業可以利用簡便易用的McAfee ProtectionPilot管理主控台來精簡管理和監視工作。

[psac]

改良電子郵件掃瞄
除了Microsoft Outlook以外，VirusScan 8.0i也能掃瞄所有傳到桌上型電腦的Lotus Notes客戶端電子郵件，包括HTML文字和附件。 對安裝了Outlook和Lotus客戶端的系統同樣能提供支援。

對抗使用script的威脅
VirusScan 8.0i能偵測並防禦使用JavaScript和或 Visual Basic (VB) script（例如：Nimda或LoveLetter）惡意程式碼的執行，預防感染發生。

專為行動使用者而調校
地區性服務器轉送機制可根據實體的位置及連線速度來進行區域更新，即使透過撥機的連線方式也能輕易地下載這些小型的檔案。 當連線中斷後，接續更新功能能讓遠端使用者回覆更新到最新狀態。



下載位址：http://sdownload.nai.com/product ... v8.0i/VSE80ilct.Zip

http://sdownload.nai.com/products/protected/viruss ... iplatform/v8.0i/VSE80iLcht.Zip
hxxp://sdownload.nai.com/products/protected/virusscan/chinese/simplified/multiplatform/v8.0i/VSE80iLCS.Zip



McAfee(R) VirusScan(R) Enterprise 8.0i (Patch 1)
版本資訊
Copyright (C) 2004 Networks Associates Technology, Inc.
版權所有


=====================================================================

－ DAT 版本： 4382
－ 引擎版本： 4.3.20

=====================================================================

非常感謝您使用 VirusScan(R) Enterprise 軟體。本檔案包含有關這一版
本的重要資訊。我們強烈建議您閱讀整個文件。

重要事項：
McAfee 不支援對本軟體預發佈版的自動升級。欲升級為本軟體的正式版
本，必須先解除安裝本軟體的現有版本。
以前麥考菲是一星其四更新病毒碼,現改為每天除了星期六與星期日....
所以擴增碼明顯改少多了!

[psac]

_______________________________________________________________________
本檔案的內容

- 新功能
- 變更的功能
- 安裝和系統需求
- 測試安裝的軟體
- 已解決的問題
- 8.0i 版 (Patch 1)
- 8.0i 版
- 已知的問題
- 安裝、升級和解除安裝
- 與其他產品的相容性
- Alert Manager(TM)
- Common Management Agent
- ePolicy Orchestrator(R)
- GroupShield(TM)
- ProtectionPilot(TM)
- 協力廠商軟體
- 存取保護
- 新增檔案類型副檔名
- 自動更新
- 緩衝區溢位保護
- 記錄檔格式
- Lotus Notes
- 製作映像工作
- 掃描
- 不需要程式政策
- 說明文件
- 參加 McAfee Beta 版程式之測試
- 聯絡資訊
- 著作權和商標隸屬聲明
- 授權和專利資訊

[psac]

http://sdownload.nai.com/products/protected/viruss ... tiplatform/v8.0i/VSE80ilct.Zip


=======================================

這是集成補丁 patch10 的簡体版下載:

Mcafee VirusScan Enterprise 8.0i
http://sdownload.nai.com/products/protected/viruss ... tiplatform/v8.0i/VSE80iLCS.Zip

=================================
麥考啡_擴增病毒碼
站內連結:
http://hkp2p.shopping7.org/viewthrea...479053&fpage=1



官方對於增補病毒特徵碼文件(extra.dat)的解釋：
原文：Working with EXTRA.DAT files

使用方法：
解壓縮後複製到此目錄
C:\Program Files\Common Files\Network Associates\Engine

extra.dat：增補病毒特徵碼文件，為回應新病毒或現有病毒的新變體病毒的發作而新增。在緊急情況下，extra.dat 文件可以用於檢測新的威脅，直至新病毒特徵碼增加到每週的 dat 文件內。

2005/05/15離線病毒碼
McAfee DAT 4491
http://download.nai.com/products/lic...d/4491xdat.exe

McAfee Anti-Spyware Enterprise Module 8.0
http://sdownload.nai.com/products/PR....0/MASE80L.Zip
McAfee AVERT Stinger 2.5.3
http://download.nai.com/products/mca...rt/stinger.exe

http://rapidshare.de/files/1522896/extra_0501.rar.html

[psac]

mcafee8.0i+Spy+Firewall8.5p4企業版 MM組合的安裝步驟

安裝 McAfee VirusScan 8.0i+Patch13+Anti-Spyware整合優化版BY無聲的雨
http://www.leehare.cn/read.php/214.htm

升級McAfee VirusScan Enterprise 最新病毒庫
http://download.mcafee.com/us/update...Dat.asp?real=0

安裝McAfee Anti-Virus Scanning Engine 5.1.00 Release Candidate－McAfee 啟動後，v5100 可自動更新 - 2006-08-16
McAfee AutoUpdate functionality will update corporate products to the new 5100 engine on Thursday, 12 October 2006.
http://download.nai.com/products ... el/5100/5100eng.exe

規則
安裝程式附帶了「Mcafee啟動畫面去除.reg」和「optimize.reg」註冊表文件，手工雙擊匯入註冊表

McAfee VirusScan v8.0i 設置規則（060909b更新）
http://d4s.cn/viewthread.php?tid=573787
Mcafee抵禦流氓木馬病毒策略包9.13更新
http://d4s.cn/viewthread.php?tid=573784

McAfee 附加驅動（擴展病毒庫）更新專帖 - 5.100.0.194 引擎正式版發佈
http://d4s.cn/viewthread.php?tid=333475

安裝MCAFEE DESKTOP FIREWALL V8.5漢化授權版（MCAFEE企業版防火牆）

McAfee Desktop Firewall v8.5 英文版下載：
http://www.crsky.com/soft/3173.html

McAfee Desktop Firewall Version 8.5 Patch 4
http://bbs.crsky.com/read.php?tid=622937
http://zhubo.bokee.com/5615413.html

漢化下載
http://www.hanzify.org/index.php?Go=Show::List&ID=9734


修改你的MCAFEE的工作列圖示為咖啡工作列＋精美地球工作列＋瓢蟲精美工作列＋10.0工作列+瑞士工作列
http://bbs.crsky.com/read.php?tid=187303
http://zhubo.bokee.com/5355475.html

如果不安裝8.1的防火牆就一共應該有7個工作行程
UpdaterUI.exe (升級)
shstat.exe (圖示)
Tbmon.exe (錯誤報告)
Vstskmgr.exe (（Network Associates Task Manager）
Mcshield.exe (核心)
Frameworkservice.exe (後台框架工作行程)
naPrdMgr.exe (Frameworkservice後台)
Mcshield.exe必須執行，shstat.exe可選擇關閉，Frameworkservice.exe可選擇關閉，但是升級或者打開控制台需要手動開啟。其它可以關閉

[psac]

Mcafee抵禦流氓木馬病毒策略包9.13更新 by 愛蟲
9.13更新日誌
本次更新用意很簡單，變成普及版，喜歡強力防護的，自行打開
更新殺SUN JAVE2偽裝流氓
去掉USERINIT。exe預定防護，需要自行打開（以做好策略。方便菜鳥同學）如打開此策略，將防止任意流氓病毒開機修改
去掉SYSTEM32 任意文件寫入 ，需要自行打開（方便菜鳥同學）如打開此策略，將防止任意流氓病毒進入系統核心
去掉寫入WINDOWS，任意文件寫入 ，需要自行打開（方便菜鳥同學）如打開此策略，將防止任意流氓病毒進入系統核心
去掉寫入drivers，需要自行打開（方便菜鳥同學）如打開此策略，將防止任意流氓病毒進入系統核心
增加了不允許讀BAT文件，由於過多的流氓木馬都做成BAT，而殺毒軟件一般不會對BAT進行查殺，再由於WINDOWS的世界，大家基本也不太用，故此進行封殺
此封殺的好處，對電信您的流氓產生的去掉系統自帶的驅動BAT，有很好的作用，另對硬碟格式化的炸彈也進行封殺
增加對FORMAT。*進行大規模封殺
去掉SPOOL的目錄封所，主要咖啡以可以殺此流氓
增加ADS流的封禁
去掉SERVER-U的目錄排除，改成病毒庫排除，這樣更專業，就算你改成任何文件目錄也不會被殺
去掉了國外修改TCP/IP鏈接數工具的報警
去掉了遠端工具REDMIN的報警
修正了另一個由金山軟件引起的記憶體洩入的報警
對文件目錄PROGRAM的修正改為任何分區，防止菜鳥自行安裝
網路方面，進行TCP 135.145.445
波波攻擊，此次的策略將可以用在新裝電腦上，不在成為單一的防護策略
高手和菜鳥一樣使用
使用請4個註冊表都需要匯入,匯入後請重新啟動
------------------------------------------------------------------------------------------------------------------------------------------------------
更新日誌：
又更新10多個流氓，包括雞毛信等，縮減了些策略，讓一些文件變成可查殺
去掉了遠端啟動註冊表，策略（本來是防止黑客改動的，現在有些人覺得沒必要，想變成本機，我的安全意識，如果需要本機，根本用不到做這策略，優化軟件即可做到，而我的意識是防止有些人，利用灰鴿子遠端修改註冊表，大家不要，我就刪掉了）
把WINDOWS和SYSTEM32變成任何文件不能創建（記住除更新和驅動更新請關閉Mcafee掃瞄）以防不能更新
把WINDOWS\SYSTEM32\drivers下不能寫驅動（記住除更新和驅動更新請關閉Mcafee掃瞄）以防不能更新
增加不能對C:\下修改文件。對安裝程式沒任何關係，防止有些垃圾修改啟動文件
增加不能對C:\Program Files\Common Files\*.*創建新文件，但對正常程式沒衝突
增加禁止流氓木馬病毒修改userinit.exe
修改了下dm2005.exe
去掉了FLASHGET被查殺
在加條附註：對於HOST的保護，本人覺得還是沒必要，有些人，有時候自己需要更改，但改的時候忘了關咖啡，所以本人並沒有對此規則做出限定
增加了沒邊不查殺，請實用原本，或者修改沒邊為。，U.EXE或wj.exe
------------------------------------------------------------------------------------------------------------------
1.當然收集了2.30個流氓軟件侵略，包括電信的
2.封閉了WINDOWS和SYSTEM32，如需更新，驅動，和WINDOWS，請手動關閉，平時安裝軟件無需關閉
3.郵件發送方面增加了foxmail.exe,dreammail.exe
4.金山詞霸，溢出不會在報錯
5.不在查殺，沒邊，和SERVER-U
6.禁止遠端啟動REGEDIT,和REgedIT32.EXE
流氓軟件列表
[ 本帖最後由 zhubo393 於 2006-9-15 20:34 編輯 ]

圖片附件: 1.jpg (2006-9-3 21:44, 40.87 K)



圖片附件: 2.jpg (2006-9-3 21:44, 39.8 K)



圖片附件: 3.jpg (2006-9-3 21:44, 38.1 K)



圖片附件: 4.jpg (2006-9-3 21:44, 39.68 K)



圖片附件: 5.jpg (2006-9-3 21:44, 37.53 K)



圖片附件: 6.jpg (2006-9-3 21:44, 37.51 K)



圖片附件: 7.jpg (2006-9-3 21:44, 12.56 K)



圖片附件: 8.jpg (2006-9-3 21:44, 10.09 K)



圖片附件: 9.jpg (2006-9-3 21:44, 11.84 K)



圖片附件: 10.jpg (2006-9-3 21:44, 10.91 K)



圖片附件: 11.jpg (2006-9-3 21:45, 6.73 K)


McAfee VirusScan v8.0i 設置規則（060909b更新）

McAfee VirusScan v8.0i 設置規則（060909b更新）

McAfee VirusScan v8.0i設置起來比較麻煩，現把
一般常用的設置規則提取出來，直接匯入即可完成
設置，方便初次使用的新人和嫌設置麻煩的朋友。^_^

使用方法:解壓直接雙擊匯入,重起電腦即可


適用於簡體中文版，感謝wangk0998把規則翻譯成英文，所以英文版的也可以用了

說明：
rules_block是「訪問保護」的設置
主要特點有：
1.在「禁止大量大送郵件的蠕蟲病毒發送
郵件」中排除了foxmail,dreammail
2.禁止了本機135-139，445，90，5000等連接阜，如果需要開放
請重新設置（此功能預定關閉）
3.保持當前共享狀態
4.禁止了3721上網助手
5.禁止在C硬碟根目錄下建立新文件（防禦某些病毒／木馬）
6.禁止了在windows和system32下建立新的exe和dll（防禦某些病毒／木馬）如果要安裝軟件請關閉這些規則，否則可能無法完成安裝
7.禁止遠端修改系統
8.禁止3721網路實名
9.禁止網路豬\劃詞搜索
10.禁止DUDU
11.保護了system.ini、win.ini和hosts
12.禁止百度搜霸
13.禁止360度搜
14.禁止QQ廣告
15.禁止IInfo
16.禁止很棒小秘書
17.禁止青蛙娛樂
18.禁止一搜
19.禁止CNNIC
20.解決金山詞霸在螢幕取詞和緩衝區溢出保護的衝突

rules_virdefine是「有害程式策略」的設置
主要特點有：
1.打開了全部7項選擇
2.自定義了對「上網助手」、百度搜霸、珊瑚蟲QQ中頗有爭議的兩個文件（infomgr.exe和infonet.exe）、很棒小秘書、青蛙娛樂（寫入系統資料夾的dll）的查殺
3.排除了antispy對「網際快車」的查殺
4.排除了對Serv-U的查殺(安裝時請關閉按訪問掃瞄)

對按訪問掃瞄內容做了初級的設置，更適合於系統流暢的執行
計劃掃瞄裡排除了使用antispy掃瞄cookie

對瀏覽器劫持（比如ebay）咖啡還無能為力，請用hijackthis
請謹慎使用系統資料夾保護，特別是在windows更新和安裝需要向系統資料夾寫入文件的軟件時，請關禁用按訪問掃瞄或關閉保護系統資料夾

0903主要的改進有：
1.禁止在系統資料夾下建立新的bat,com,sys。
2.阻擋阿里巴巴商機直通車。
3.自定義有害程式新增阿里巴巴商機直通車。
4.設置了一個「監視系統資料夾」的規則，有一點類似tiny的這個功能，但是相對簡單，對於監視系統資料夾的新動作還是比較有幫助的（預定關閉）。
5.按訪問掃瞄進行了一點修改，修正了一些錯誤。
時間倉促，如果錯誤，歡迎指正
感謝hongkun1011朋友指出的失誤，有些規則使用了絕對路徑會造成win2000系統下規則不起作用，現已更證，請使用win2000系統的朋友注意

0909的更新有:
改變了在windows下的阻擋規則，包括子資料夾在內均阻擋exe,dll,com,bat,sys，這樣system32下的阻擋規則已成為多餘，但仍保留。現在包括灰鴿子在內很多木馬改變了寫入方式，改為在windows下建立子資料夾寫入病毒體，因此這樣的改動可以適應更多的情況。如果不喜歡這樣，只要把阻擋windows資料夾的規則去掉「**\」改回%windir%\*.dll（exe、dll、com、bat）即可

0921的更新有：
文件保護和有害程式策略阻擋新增了雅虎助手。
根據很多人的反映，分成了嚴厲版和普通版，區別很簡單，就是0909和0903的區別，嚴厲版阻擋了系統資料夾中子資料夾產生exe,dll,bat,sys,com。
按訪問掃瞄做了些許調整，修正了一些風險

1203的更新有：
阻擋了新浪點點通和新劃詞搜索
有些朋友設置很多自定義有害程式程式，這裡並沒有新增，原因在於只要設置了相關的阻擋，那些自定義的程式就不會寫入，本規則設置的自定義有害程式都是向系統資料夾寫入的文件，但也可能不完善。
這些規則經過一點一點的修改新增已經是到了黔驢技窮的地步了
以後基本不會有什麼大的更新了
mvse並不是神話，喜惡全在自己
希望通過這些膚淺的規則，幫助大家瞭解mvse的設置，能夠設置出適合自己的方案

1203_plus主要修改了一些規則漏洞，同時整理了規則順序

060114更新有：
禁止了中搜（searchnet）
關閉了「禁止廣告」（根據部分迅雷用戶反映）

060903更新有：
「禁止大量發送郵件的蠕蟲病毒發送郵件」中，排除了新版dreammail
禁止了Program Files\Common Files下的那個「update」
禁止系統硬碟Program Files根目錄下產生文件（個別後門利用這個路徑）
保護Internet Explorer資料夾（個別病毒利用這個路徑）
禁止百狗、網蜜

060909b更新有：
在整理順序時錯漏掉了兩個規則，現已補正，還請見諒...
增加了禁止向系統資料夾寫入PIF文件
根據實際發現，改進了對多多表情的封鎖
在TKABC的大力幫助和指導下，增加了禁止寫入資料流（ADS），對於新近出現的ROOTKIT/ADWARE通過此途徑感染系統進行有效的防禦，非常感謝！
PS：這個規則的初衷並不是用來封鎖「不良綁裝軟件」，所加入的專案無非是親身遇到的一些東西而已，真正的目的在於其FD的功能；同時，之所以不厭其煩的分別禁止向系統資料夾寫入特定延伸名的文件，而沒有直接一個「*」完事，主要在於一是全部封鎖不僅沒有必要且造成更多的「麻煩」，二是避免給察看log帶來麻煩。另外，偶也不認為存在什麼競爭，外尖中空，偶一直需要向各位高手學習


警告：安裝某些向系統資料夾寫入的軟件和使用windows update時請關閉保護系統資料夾的規則或者禁用按訪問掃瞄，否則可能造成不可預期的問題