史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-08-10, 02:52 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 MCAFee行程工作解釋

mcafee執行緒工作解釋



眾所周知咖啡的企業版工作繁多佔用記憶體大幾乎是它唯一比較讓人不爽的缺點,那一共7個工作到底各是幹什麼用的N久都沒人研究,所以我只好自己查來查去,有不對的請DX指出。
首先如果不安裝8.1的防火牆就一共應該有7個行程工作

UpdaterUI.exe
shstat.exe
Tbmon.exe


Vstskmgr.exe
Mcshield.exe
Frameworkservice.exe
naPrdMgr.exe

UpdaterUI.exe:自動昇級工作,處於註冊表內,由於咖啡一個星期才昇級一次我覺得完全沒必要讓他在記憶體裡待著,去註冊表裡把啟動項目KO就行了。當你昇級的時候這個工作會自己啟動的,升完了你再從工作管理器裡的工作管理把它關了就OK

shstat.exe:也就是你系統欄裡那個盾牌一樣的圖示,啟動項處於註冊表內,最好留著

Tbmon.exe:錯誤報告程序(我翻了80頁的帖子才讓我給查出來,置頂的經驗帖子裡居然沒說,問了N多人都不知道,超FT),啟動項處於註冊表內,我完全想不通這東西有何存在的必要,特別是對於個人用戶來說。去註冊表裡KO掉

Vstskmgr.exe:這個東西屬於系統服務。到底是幹什麼用的我不大清楚,460個帖子裡只有一個提到這個工作似乎和控制台有關。但有一點是肯定的,就是關閉它對系統掃瞄查毒殺毒都沒發現有影響,唯一需要它的地方就是當你開啟咖啡的控制台的時候,如果此時你關閉了該服務,那麼它會首先去啟動這個服務,然後才能開啟控制台。所以我平時一般就把服務調整為手動,反正你要用控制台的時候他會自己去啟動這個服務的,所以不用管。我是把這個服務給改成手動了的。平時不啟動,用完了就從工作管理器裡停掉

Mcshield.exe:咖啡的核心,系統服務,不動為妙,
PS:有沒有誰試驗過看能不能從控制台服務裡把這個服務在執行的時候給關閉掉,卡巴的工作保護很厲害,從服務裡在執行的時候是關不掉的,告訴你沒權限。不知道咖啡的工作保護如何。


Frameworkservice.exe:咖啡的後台框架工作,屬於服務。平時關閉的話,經過我測試是不影響普通使用的,但是會影響昇級,且這個工作和Vstskmgr.exe不一樣,他不能自動的去啟動服務,如果你調整成手動,那麼你非得自己動手去啟動這個服務,才能執行昇級程序,如果不在意麻煩的話就改成手動算了,反正咖啡一個星期才升一次........

naPrdMgr.exe:這個工作以前的版本就有,不知道是什麼東西,即不在註冊表啟動項裡也不在服務裡,翻完了600個帖子只有兩篇文章很含糊的提到說根據程序名字這似乎是用來傳送某種訊息的工作。這個工作通過我的試驗只證明了一點,就是他是個Frameworkservice.exe在一起的,如果Frameworkservice.exe被停止,則它絕對不會在工作管理器裡出現。

以上,請各位根據自己的性格選項要停止掉的工作,反正其實最核心的就兩個而已,清理以後再看看那工作管理器裡的工作數真有一種世界從此清靜了的感覺
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-08-16, 11:18 AM   #2 (permalink)
註冊會員
榮譽勳章
UID - 104428
在線等級: 級別:20 | 在線時長:511小時 | 升級還需:14小時級別:20 | 在線時長:511小時 | 升級還需:14小時級別:20 | 在線時長:511小時 | 升級還需:14小時級別:20 | 在線時長:511小時 | 升級還需:14小時級別:20 | 在線時長:511小時 | 升級還需:14小時
註冊日期: 2003-10-31
VIP期限: 2010-06
文章: 527
精華: 0
現金: 610 金幣
資產: 606725 金幣
預設

這一篇真是受益良多
感謝psac大大分享
來研究看看
smallear 目前離線  
送花文章: 704, 收花文章: 22 篇, 收花: 46 次
舊 2005-11-24, 08:53 PM   #3 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

基礎知識:瞭解病毒名稱(命名)及檢測方法-for McAfee User

瞭解病毒名稱

我們的防病毒軟體通常遵循業界通用的命名慣例來表示它檢測和
清除的病毒。某些病毒名稱偶爾也會有別於嚴格的業界標準。

如果某種新病毒具有一系列具體特徵並表明它是一個全新品種,我
們會將它冠名為某某「系列」。病毒研究人員根據病毒的某些特點
或表現(例如文本串或有效負載影響)來確定這一系列的名稱。

系列名稱可以包括用來指定病毒字元大小的數值型字串。研究人員
使用這個名稱來方便地區別類似的病毒變種。

在病毒系列中,變種的名稱由系列名稱和後面組成,例如
BadVirus.a。後面按字母順序排列,到 z 為止,然後再開始按 aa
形式排列,直到 az。再後來的病毒變種將使用後面 ba 到 bz,
依次類推,直到 zz。如果以後又出現新的變種,則使用後面 aaa。

隨著新病毒變形的不斷出現,業界的命名慣例也開始採用越來越多
的訊息。例如,某些名稱包括表示病毒執行平台的訊息。

防病毒廠商採用的病毒名稱可以包括前綴、中綴和後面。


前綴

前綴指明病毒感染的檔案類型或可能有害的軟體執行的平台。感染
DOS 可執行文件的病毒沒有前綴。我們的命名慣例包括下列前綴:

A97M/ 感染 Microsoft Access 97 文件的巨集病毒。

APM/ 感染 Ami Pro 文件和範本文件的巨集病毒或特洛
伊木馬程序。

Bat/ 批次處理文件病毒或特洛伊木馬程序。這些病毒通常
作為批次處理或指令碼文件執行,可能會影響需要解釋
指令碼或批次處理指令的某些程序。這些病毒流動性很
強,幾乎能夠影響可以執行批次處理或指令碼文件的所
有平台。這些文件本身通常使用 BAT 副檔名。

CSC/ 感染 Corel Draw 文件文件、範本文件和指令碼
的 Corel Script 病毒或特洛伊木馬程序。

IRC/ Internet Relay Chat 指令碼病毒。這種病毒使
用早期版本的 mIRC 客戶端軟體分發病毒或有效
負載。

JS/ 用 JavaScript 語言編寫的指令碼病毒或特洛伊
木馬程序。

JV/ 可能有害的 Java 應用程式或小程序。

Linux/以 ELF 文件格式編寫的、作用於 Linux 操作
系統的病毒或特洛伊木馬程序。

LWP/ 可能對 Lotus WordPro 有害的軟體。

MacHC/作用於 Apple Macintosh HyperCard 指令碼
語言的病毒或特洛伊木馬程序。

MacOS/作用於 Apple Macintosh OS 6 至 9 的病毒
或特洛伊木馬程序。

MSIL/ 用 Microsoft Intermediate Language 框
架(也稱為 .NET)編寫的應用程式。

P98M/ 感染 Microsoft Project 文件和範本的巨集病
毒或特洛伊木馬程序。

PalmOS/ 作用於 Palm Pilot 的病毒或特洛伊木馬程序。

PDF/ 感染 Adobe PDF 文件的程序。

Perl/ 用 Perl 語言編寫的指令碼病毒或特洛伊木馬程序。

PHP/ 用 PHP 語言編寫的指令碼病毒或特洛伊木馬程序。

PP97M/巨集病毒。感染 Microsoft PowerPoint 97 文
件。

SunOS/可能對 Sun Solaris 有害的軟體。

SWF/ 可能對 Shockwave 有害的軟體。

Unix/ 作用於某個版本的 UNIX 的程序或 Shell 指令碼。

V5M/ 感染 Visio VBA (Visual Basic for
Applications) 巨集或指令碼的巨集或指令碼病毒或特
洛伊木馬程序。

VBS/ 用 Visual Basic Script 語言編寫的指令碼病
毒或特洛伊木馬程序。

W16/ 在 16 位 Microsoft Windows 環境 (Windows
3.1x) 中執行的感染文件的病毒。

W2K/ 可能對 32 位 Microsoft Windows 環境(尤
其是 Windows NT、2000 或 XP)有害的軟體。

W32/ 在 32 位 Microsoft Windows 環境(Windows
95、Windows 98 或 Windows NT)中執行的
感染文件或啟始區的病毒。

W95/ 在 Microsoft Windows 95、Windows 98 和
Windows ME 環境中執行的感染文件的病毒。

W97M/ 感染 Microsoft Word 97 文件的巨集病毒。

WHLP/ 可能對 32 位 Microsoft Windows 環境中
Windows HLP 文件有害的軟體。

WM/ 感染 Microsoft Word 95 文件的巨集病毒。

X97M/ 感染 Microsoft Excel 97 文件的巨集病毒。

XF/ 通過 Excel 公式感染 Microsoft Excel 95 或
97 的巨集病毒。

XM/ 感染 Microsoft Excel 95 文件的巨集病毒。


特洛伊木馬程序類的前綴

BackDoor- 這樣的名稱表示屬於類似特洛伊木馬程序的可能有害
軟體。緊跟在類名稱後的附加字元表示一個系列(例如
BackDoor-JZ)或一個名稱(例如 BackDoor-Sub7)。

AdClicker-
重複訪問廣告贊助的網站。

Adware- 不經允許而安裝廣告軟體。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2005-11-24, 08:55 PM   #4 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

BackDoor-
通過 Internet 或網路進行遠端訪問或控制。

Dialer-
不經允許而播打電話。

DDoS- 作為「分佈式拒絕服務」元件執行。

Del- 移除文件。

Downloader-
從 Internet 下載軟體,通常傳送後門程序和密
碼盜竊程序,有時也傳送病毒。

Exploit- 利用某個薄弱環節或軟體的某個缺陷。

FDoS- 表示「資料氾濫拒絕服務」元件。

KeyLog-
記錄擊鍵以立即或以後傳送給攻擊者。

Kit- 表示為製造病毒或特洛伊木馬程序而設計的程序。

MultiDropper-
留下幾個特洛伊木馬程序或病毒(通常是幾個不同
的「後門」)。

Nuke- 利用遠端電腦上某個軟體的缺陷將電腦關閉。

ProcKill-
終止防病毒和安全產品的行程,並可能移除與這些
應用程式相關聯的文件。

PWS- 盜竊密碼。

Reboot- 重新啟動電腦。

Reg- 不加詢問而以您不需要的方式修改註冊表。例如,
降低安全性設定或產生異常關聯或設定。

Spam- 作為垃圾郵件傳送工具執行。

Spyware- 監控瀏覽行為或其他行為並向外傳送訊息,通常用
於未被請求的廣告。

Uploader-
向外傳送電腦中的文件或其他資料。

Vtool-表示病毒作者或黑客使用的軟體開發程序。

Zap- 清空硬碟的部分或全部內容。


中綴

這些名稱通常出現在病毒名稱的中間。AVERT 指定的這些名稱可
能與業界慣例不同。

.cmp. 被病毒增加到現有可執行文件中的伴隨文件。我們
的防病毒軟體會移除伴隨文件以防止它們進一步
感染。

.mp. DOS 下的古董級多重分裂病毒。

.ow. 覆蓋型病毒。表示會覆蓋文件資料而且造成無法挽
回的損失的病毒。必須移除這個文件。


後面

這些名稱通常出現在病毒名稱的最後。病毒名稱可以有多個後面。
例如,一個後面可能表示病毒變種,而其他後面負責提供附加訊息。

@M 速度比較慢的郵件傳送程序。這種病毒通過電子郵
件系統傳播。它通常會立刻回覆收到的郵件、將自
身附加在要傳送的郵件中或者只傳送到一個電子
郵件位址。

@MM 傳送大量郵件。這種病毒不但能用標準技術自行傳
播,也能通過電子郵件系統傳播。

.a - .zzz
病毒變種。


根據 CARO(電腦防病毒研究組織)命名慣例,廠商可以採用以!
字元開頭的後面。我們的軟體使用下列後面:


apd 附加的病毒。可以將其程式碼附加到文件中、但不能
正確複製的病毒。

bat 用 BAT 語言編寫的軟體元件。

cav 鑽空病毒。這表示將自己複製到程式文件「空洞」
部分(例如全是零的區域)中的病毒。

cfg Internet 特洛伊木馬程序(前綴通常為
BackDoor-)的組態元件。

cli Internet 特洛伊木馬程序(前綴通常為
BackDoor-)的客戶端元件。

dam 損壞的文件。因感染病毒而損壞或破壞的文件。

demo 執行可能有害的操作(例如如何利用安全隱患)的
程序。

dr 負責放置病毒的文件。這個文件負責將病毒引入到
宿主程序中。

gen 一般檢測。我們的軟體程序不使用特定的程式碼串即
可檢測到這種病毒。

ini 當它是另一種病毒的一個組成部分時,是一個
mIRC 或 pIRCH 指令碼。

intd 「故意」的病毒。這種病毒具有普通病毒的大部分
特徵,但不能正確複製。

irc 可能有害的軟體的 IRC 元件。

js JavaScript 中的可能有害的軟體元件。

kit 用「病毒設計工具」編寫的病毒或特洛伊木馬程序。

p2p 通過點對點通訊功能發揮作用的可能有害的軟體。
例如 Gnutella 和 Kazaa。

sfx 特洛伊木馬程序的自解壓縮安裝實用程序。

src 病毒來源碼。它通常不能複製或感染文件,但負責
放置病毒的某些程序會將這個文件增加到病毒中。
我們的產品通常會標記帶有這種附加程式碼的文件,
以便將其移除。

sub 替代病毒。它會替代宿主文件,這樣感染了病毒的
所有宿主都會具有同樣的大小,而且變成真正的病
毒。(即覆蓋型病毒的一個子類。)

svr Internet 特洛伊木馬程序(前綴通常為
BackDoor)的伺服器端元件。

vbs 用 Visual Basic Script 語言編寫的可能有
害的軟體元件。

worm 一種能夠自我複製的非寄生性病毒,或是一種可以
通過將自身複製到遠端電腦進行傳播或以任何
文件傳輸方式(例如遠端共享、點對點、即時通訊、
IRC 文件傳輸、FTP 以及 SMTP)在網路中傳
播的病毒。

一般檢測

我們的軟體能夠事先全面檢測到大量可能有害的軟體。大多數情況
下,即使 AVERT 沒有收到樣本,也能夠成功清除這些對象。檢測
到的這些病毒名稱中有 Generic 或 gen 後面。

要向 AVERT 提交樣本,請訪問 AVERT 主頁。請參閱「與 McAfee
Security 和 Network Associates 聯繫」。


啟發式檢測

我們的軟體能夠啟髮式地檢測到大量可能有害的新軟體。檢測到的
這些軟體名稱中有 New 前綴(例如 New Worm 和 New Win32)。


要提交由啟髮式掃瞄功能檢測到的樣本,請訪問 AVERT 主頁。請
參閱「與 McAfee Security 和 Network Associates 聯繫」。


應用程式檢測

我們的軟體能夠檢測到可能是您不需要的應用程式,但它們不屬於
病毒或特洛伊木馬程序。它們包括 Adware、Spyware、Dialer、
能隱藏自身的遠端訪問軟體以及許多用戶不想在電腦中使用的
其他類似應用程式。不需要的應用程式還包括「玩笑」程序,但您
可以使用掃瞄選項排除它們。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-02-04, 08:50 PM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

Mcafee EPO 3.5 佈署要點

-------------------------------------------------------------------------

本來是要發在那邊板塊的,不過這個東西一上來肯定就有人問版本什麼的,而且又是個大公司的解決方案。

1.首先安裝epo3.5+hotfix1

這裡會用到sql server,你可以用資料庫認證帳號,或者系統認證帳號,關鍵看你的sql server怎麼配。注意如果是系統帳號,驗證屬於administrator組,因為是sql server的內裝系統管理組。

安裝的時候會提示輸入管理密碼(我沒仔細看這一步,後來一直用預設admin密碼嘗試...),這個就是安裝完畢後登入時admin用戶的密碼。

如果不出意外的話,安裝應該沒什麼問題。關鍵還是和sqlserver的帳號問題。

2.規劃

實際上還是有必要做一定的規劃,按你的網路大小,做一定的規劃。server要能經過路由ping通相關客戶端網段(雖然一些客戶端機是xp,預設防火牆是關閉icmp ping的,但是似乎只用能正確解析mac位址即可,即廣播到該機即可,無所謂直接是否接收,和wol的機理有點像),做到了這一點,agent就能正常工作。

3.agent

先澄清一點,agent應該是佈署的最後一步,雖然我首先講agent方面。因為你在伺服器上做好所有設定,一安裝agent,相應的操作就能按照你事先規劃的進行了。

我翻閱了罈子裡古銅兄的文章,對我很有說明 。不過我改正一點,只要在客戶端正確佈署了agent,那麼就安裝相關軟體卸載什麼的,就可以都在伺服器端做,不是已經做了個遙控在客戶端機麼 :P 我覺得mcafee的精華之處就是在agent這裡,所有的軟體都能和它融合在一起,怪不得叫commmon framework。

agnet可以從伺服器端推入客戶端(域環境)或者手動式安裝(非域環境).

我在初期一直被agent搞混了。以為要重新產生agent安裝程序,才能達到正確自訂agent的目的,其實不然。利用額外的sitelist.xml文件就能達到這一點。(其實也就是個ip和連接阜訊息嘛) 如果你的客戶端和伺服器都在同一網段,那麼這個對你沒什麼用。但是像用防火牆外網IP映射局內網伺服器,N層路由的情況,肯定要用特別的指令執行agent安裝程序才可以達到正確佈署的目的。

framepkg.exe可以在getting started wizard裡面當,也可以搜尋安裝目錄直接拷貝出來。

我做的agent自訂安裝的教本,存成install.bat,主要是靜默自動安裝framepkg,sitelist.xml可以從console裡匯出,並根據你在客戶端對伺服器的對應關係,相應修改serverip那個字段。(因為有IP映射轉發 這些情況存在,可能不同的網段,相同的伺服器有不同的IP稱謂)。

下面這一句是安裝agent之後,馬上回call伺服器,不然你得等相應的時間設定後才能看到客戶端機主動聯繫伺服器。


@FRAMEPKG /INSTALL=AGENT /USELANGUAGE=0804 /SITEINFO=SiteList.xml /S
@"C:\Program Files\Network Associates\Common Framework\cmdagent" /c /e
卸載


@FRAMEPKG /REMOVE=AGENT
只要成功安裝了agent,那麼基本上可以說成功了一大半,接下來的工作,基本上都在伺服器上做就好了,客戶端機就不用再動了。

4.Repository

軟體倉庫用來匯入和管理epo的各種軟體,對於新佈署,你至少得做check in package這一步,把軟體包加進來。會用到軟體的PkgCatalog.z這個文件,如果你用那些重新封裝過的版本,會提示文件長度不對,得用官方發怖的版本匯入。(實際上也沒必要用什麼重新封裝版本,因為修正檔這些都能匯入,最後都能直接自動安裝)。 我匯入了vse8.0和spyware模組。

加完軟體,你可以pull now,拉回新的定義文件,並定義一下schedule,定期拉回dat。

5.Directory

在console左邊最上端

所有的客戶端機理論上都應該在這裡出現,只要他們call過伺服器。所有未經過一定ip filter的客戶端,都會出現在lost&found裡面,你應該根據網段建一些相應的site,用來對伺服器進行群組管理,還有軟體的安裝工作(Deployment task)。一旦客戶端回call伺服器,它會Directory的根lost&found和符合ip規則的site裡面出現,你可以把它拖到它該呆的site或者group裡。(這一步應該說也很重要,因為你最終要的是整合統一設定管理)。Directory下面每一個對象的task頁簽都會有一個Deployment task(不可移除),用來佈署軟體的。你要對自己的site設定該安裝工作,安裝些什麼,什麼時候安裝。(一般新佈署要設成馬上安裝,並enable起來)。設定完這個,再對policies進行相應的軟體設定,這些設定最終都會被套用到指定的客戶端去 。客戶端的軟體會自動把epo server加到更新列表裡。

做完所有這些,把agent安裝程序拿到客戶端一裝就完事了,以後就在伺服器端慢慢設定這些客戶端機就好了,需要時主動wakeup一下相應的客戶端機,讓它執行新的原則或者安裝卸載軟體。

後期管理還有很多,像superagent的佈署(和global update有關)這些就不一一列舉了,可以參考文件,有空再寫出來,大家探討一下。
具體路徑。


VirusScan Console-->>Tools-->>Edit AutoUpdate Repository List



_____________________________@
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-02-05, 07:44 PM   #6 (permalink)
長老會員
 
john74 的頭像
榮譽勳章
UID - 23242
在線等級: 級別:17 | 在線時長:367小時 | 升級還需:29小時級別:17 | 在線時長:367小時 | 升級還需:29小時級別:17 | 在線時長:367小時 | 升級還需:29小時級別:17 | 在線時長:367小時 | 升級還需:29小時級別:17 | 在線時長:367小時 | 升級還需:29小時級別:17 | 在線時長:367小時 | 升級還需:29小時級別:17 | 在線時長:367小時 | 升級還需:29小時
註冊日期: 2003-01-07
住址: 修真的地球
文章: 997
精華: 0
現金: 91 金幣
資產: 174930 金幣
預設

謝謝 大大分享到這麼好的經驗研究 可以讓MCAFEE企業版瘦身 又可以小心不影響到期功能作用
__________________
風無相,雲無常,無窮無盡,如天地般不知止境的力量...摩訶無量

牽手和分手 ,來自同一雙手
john74 目前離線  
送花文章: 466, 收花文章: 74 篇, 收花: 122 次
舊 2006-02-12, 02:18 AM   #7 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

McAfee Virusscan Enterprise 8.5I 預設存取保護規則簡析

為忠於原作者的願望,本文不貼英文原文,只把規則中的英文「描述」(description,即規則名)部分貼出,大家可以自己對照McAfee Virusscan Enterprise 8.5 軟體系統中的規則來比對。附件為TXT我的文件,方便大家下載。
希望此說明可以讓大家進一步瞭解McAfee,給大家編自訂規則帶來一些說明 。
wangk0998 於 霏凡論壇


Description "Prevent registry editor and Task Manager from being disabled"
阻止註冊表編輯器和工作管理器被以下程序關閉
監視所有程式
排除工作:rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
註冊表值(新增,寫入,移除):
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/SystemisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/SystemisableTaskMgr

Description "Prevent user rights policies from being altered"
保護用戶權限原則
監視所有工作
排除工作:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,amgrsrvc.exe,mmc.exe
註冊表項(新增,寫入,移除):
HKCCS/Control/LSA/**
HKCCS/Services/lanmanserver/parameters/**

Description "Prevent remote creation/modification of executable and configuration files"
防止遠端建立/修改可執行程序和組態文件
監視所有遠端程序
對像文件(新增,寫入,移除):**.exe **.scr **.ocx **.dll **.pif
文件路徑:windows目錄以及所有子目錄下文件,%systemdrive%\*.ini
排除工作:所有framepkg.exe文件

Description "Prevent remote creation of autorun files"
防止遠端建立autorun.inf文件
所有遠端工作
對像文件(新增): autorun.inf

Description "Prevent hijacking of .EXE and other executable extensions"
防止exe等可執行文件被劫持
監視所有程式
排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
註冊表值(寫入,移除):
HKULM/Software/Classes/.exe/**
HKULM/Software/Classes/exefile/**
HKULM/Software/Classes/.com/**
HKULM/Software/Classes/comfile/**
HKULM/Software/Classes/.bat/**
HKULM/Software/Classes/batfile/**
HKULM/Software/Classes/.cmd/**
HKULM/Software/Classes/cmdfile/**

Description "Prevent svchost executing non-Windows executables"
防止svchost執行任何非windows可執行程序
監視工作:svchost.exe
檔案類型(執行): 所有文件
排除文件:所有exe文件,windows目錄以及所有子目錄下的文件

Description "Prevent Windows Process spoofing"
防止windows工作欺騙
文件路徑(新增,讀取,執行,寫入):所有svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
排除文件:windows目錄及其所有子目錄下的svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe

Description "Protect phonebook files from password and email address stealers"
保護通訊錄的密碼和電子郵件位址
監視所有工作
排除工作:rasphone.exe explorer.exe svchost.exe
文件路徑(讀取,移除,新增,寫入):**/rasphone.pbk

Description "Prevent mass mailing worms from sending mail"
防止郵件蠕蟲傳送郵件
監視所有工作
排除工作:預設郵件客戶端,預設瀏覽器,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,nlnotes.exe,outlook.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,winpm-32.exe,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,ntaskldr.exe,nsmtp.exe,nrouter.exe,agent.exe,ebs.exe,firesvc.exe,modulewrapper*,msksrvr.exe,mskdetct.exe,mailscan.exe,rpcserv.exe
連接阜(向外):25,587

Description "Prevent IRC communication"
防止IRC通信
監視所有工作
連接阜(向內,向外):6666-6669

Description "Prevent use of tftp.exe"
防止使用tftp.exe
監視所有工作
排除工作:wuauclt.exe
文件路徑(讀取,執行):所有的tftp.exe

Description "Prevent alteration of all file extension registrations"
保護所有已註冊的檔案類型
監視所有工作
排除工作:explorer.exe
註冊表項(讀取,寫入):HKULM/Software/Classes/.*/**

Description "Protect cached files from password and email address stealers"
保護快取文件中的密碼和電子郵件位址
監視所有工作
排除工作:iexplore.exe,explorer.exe,rundll32.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe
文件路徑(讀取):所有content.ie5資料夾以及子資料夾中文件

Description "Make all shares read-only"
設定所有共享為只讀內容
監視所有遠端工作
文件路徑(新增,寫入,移除):所有文件

Description "Block read and write access to all shares"
阻止所有對共享資料的讀取和寫入
監視所有工作
文件路徑(新增,寫入,移除,執行,讀取):所有文件

Description "Prevent modification of McAfee files and settings"
保護McAfee的相關文件和設定
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,sdat*.exe,mfehidin.exe,svchost.exe,regsvc.exe,mmc.exe,vstskmgr.exe,scan32.exe,shstat.exe,mcupdate.exe,mcconsol.exe,ncdaemon.exe
文件路徑(新增,寫入,移除):mcafee下desktopproctection,antispyware,AntiSpyware Enterprise目錄以及所有子目錄下文件,drivers目錄下mfe*.sys文件。
排除工作(新增,寫入,移除):mcafee目錄中,AntiSpyware Enterprise目錄下,mid資料夾中asecfg.cab文件。
註冊表項:
HKLM/Software/McAfee
HKLM/Software/McAfee/DesktopProtection
HKLM/Software/McAfee/VSCore
HKLM/Software/McAfee/VSCore/NVP
HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
(以上為 移除)
HKLM/Software/McAfee/vscore/**
HKCCS/Services/McShield/**
HKCCS/Services/McTaskManager/**
HKCCS/Services/Mfeapfk/**
HKCCS/Services/Mfetdik/**
HKCCS/Services/Mfeavfk/**
HKCCS/Services/Mfebopk/**
HKCCS/Services/Mfehidk/**
HKLM/Software/McAfee/DesktopProtection/**
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
(以上為 新增,寫入,移除)
排除註冊表項(新增,寫入,移除):
HKLM/SOFTWARE/MCAFEE/VSCORE/ALERT CLIENT/VSE


Description "Prevent modification of McAfee Common Management Agent files and settings"
保護mcafee通用文件和設定
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,insfiretdi.exe,services.exe,firesvc.exe,scanner.exe
註冊表項(新增,寫入,移除):
HKLM/Software/Network Associates/ePolicy Orchestrator
HKLM/Software/Network Associates/TVD/Shared Components/Framework
HKCCS/Services/McAfeeFramework/**
文件路徑(新增,寫入,移除):
%ALLUSERSPROFILE%/*/Network Associates/Common Framework,%ALLUSERSPROFILE%/*/McAfee/Common Framework,%programfiles%/mcafee/Common Framework,%programfiles%/network associates/Common Framework,%CommonProgramFiles%/Cisco Systems/CiscoTrustAgent/plugins 目錄以及子目錄下文件

Description "Prevent modification of McAfee Scan Engine files and settings"
保護McAfee引擎文件和設定文件
監視所有工作
排除工作:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,svchost.exe,regsvc.exe,msi*.tmp,sdat*.exe,mcscript*,*xdat.exe,mcupdate.exe
註冊表項:
HKLM/Software/McAfee/AVEngine(移除)
HKLM/Software/McAfee/AVEngineAT
HKLM/Software/McAfee/AVEngine:szInstallDir
(以上為 新增,寫入,移除)
文件路徑(新增,寫入,移除):%CommonProgramFiles%/mcafee/Engine目錄以及子目錄下文件
排除文件:extra.dat

Description "Protect Mozilla & FireFox files and settings"
保護Mozilla&FireFox文件和設定
監視所有工作
排除工作:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,firefox*,mozilla*,*setup*.exe
註冊表值(新增,寫入,移除):
HKLM/Software/Mozilla**
HKCU/Software/Mozilla**
文件路徑(新增,寫入,移除):Mozilla*目錄以及子目錄下所有文件

Description "Protect Internet Explorer settings"
保護Internet Explorer設定
監視所有工作
排除工作:icwconn1.exe,configui.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp
註冊表項:
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
(以上為 新增,寫入,移除)
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Mainefault_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings:ProxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Mainefault_Search_URL
(以上為 寫入,移除)

Description "Prevent installation of Browser Helper Objects and Shell Extensions"
保護Browser Helper Objects和Shell增強
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,regsvcs.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe
註冊表項(新增,寫入,移除):
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/**
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved

Description "Protect network settings"
保護網路設定
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,mfehidin.exe,winmgmt.exe,winlogon.exe,svchost.exe,services.exe,setadapter.exe,sr_gui.exe,sr_service.exe,fwkern.exe,tcpsvcs.exe
註冊表項:
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**"
"HKCCS/Services/netbt/**
(以上 新增,移除)
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
(以上為 新增,寫入,移除)
排除註冊表項(新增,移除):
HKCCS/Services/tcpip/Performance
HKCCS/Services/netbt/Performance
文件路徑(寫入,新增,移除):hosts文件

Description "Prevent common programs from running files from the Temp folder"
防止通用程序從臨時資料夾啟動任何項目
監視工作:預設瀏覽器,預設郵件客戶端,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe neo20.exe nlnotes.exe outlook.exe pine.exe poco.exe thebat.exe thunderbird.exe winpm-32.exe packager.exe winzip32.exe winrar.exe
文件路徑(執行):名稱含有「temp」字樣的目錄以及所有子目錄中文件
排除文件(執行):任何臨時資料夾及其子資料夾中的FrmInst.exe,任何臨時資料夾中的iadhide?.dll,NAVSetup.exe,任何臨時資料夾下NAV資料夾中的NAVSetup.exe,以及文件{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/PiReg.exe和{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/setlicense.exe

Description "Prevent programs registering to autorun"
保護自啟動項
監視所有工作
排除工作:tbmon.exe,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,wuauclt.exe,update.exe,spuninst.exe,javatrig.exe,vbs56nen.exe,js56nen.exe,ieupdate.exe,dahotfix.exe,ie-kb*.exe,kb*.exe,fixccs.exe,sqlredis.exe,mdac_qfe.exe,dasetup.exe,setupre.exe,wintdist.exe,mmc.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,frminst.exe
註冊表項(新增,寫入):
HKULM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon:Shell
HKULM/Software/Microsoft/Windows NT/CurrentVersion/Windows:Load
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows:AppInit_Dlls
HKULM/Software/Microsoft/Windows/CurrentVersion/Run/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnce/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServices/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/**
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/*
排除註冊表項(新增,寫入):
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN:MCAFEEFIRETRAY
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/NAVLOGON
文件路徑(新增,寫入,移除,執行):startup資料夾下以exe,bat,scr,hta,pif,com為副檔名的文件,startup資料夾下檔案名中含有server字元的exe文件。

Description,"Prevent programs registering as a service"
防止增加服務項
監視所有工作
排除工作:tbmon.exe,mmc.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,wuauclt.exe,update.exe,spuninst.exe,javatrig.exe,vbs56nen.exe,js56nen.exe,ieupdate.exe,dahotfix.exe,ie-kb*.exe,kb*.exe,fixccs.exe,sqlredis.exe,mdac_qfe.exe,dasetup.exe,setupre.exe,wintdist.exe,frminst.exe
註冊表項(新增):
HKCCS/Services/**
排除註冊表項(新增):
HKCCS/Services/EventLog/Application/*
HKCCS/Services/EventLog/Security/*
HKCCS/Services/EventLog/System/*
HKCCS/Services/NAIMServInst/**
HKCCS/Services/traces/**
HKCCS/Services/RegMon/**
HKCCS/Services/FileMon/**
HKCCS/Services/McAfeeFramework/**
HKCCS/Services/W3SVC/PARAMETERS/**
HKCCS/Services/IDSINSTPRIVTEST/**
HKCCS/Services/SNDSRVC/**
HKCCS/Services/SYMEVENT/**
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**"
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**

Description "Prevent creation of new executable files in the Windows folder"
防止在windows目錄建立可執行文件
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,wuauclt.exe,update.exe,spuninst.exe,javatrig.exe,vbs56nen.exe,js56nen.exe,ieupdate.exe,dahotfix.exe,ie-kb*.exe,kb*.exe,fixccs.exe,sqlredis.exe,mdac_qfe.exe,dasetup.exe,setupre.exe,wintdist.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,winlogon.exe,mrtstub.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,fssm32.exe,tomcat.exe
文件路徑(新增):windows目錄下以exe和dll為後面的文件
排除文件(新增):windows目錄中downloaded program files目錄及其子目錄下任何文件,windows目錄中SoftwareDistribution目錄下Download和WebSetup資料夾中及其所有子資料夾中的任何文件。system32文件下muweb.dll,wuweb.dll,cdm.dll,iuengine.dll,wuapi.dll,wuauclt.exe,wuauclt1.exe,wuaclt.exe,wuaclt1.exe,wuaueng.dll,wuaueng1.dll,wucltui.dll,wups.dll,wups2.dll,FireNotify.dll,FireCNL.dll,FireCore.dll,FireCL.dll,FireEpo.dll,FireNHC.dll,FireSCV.dll。windows目錄下temp資料夾中的ZDATAI51.DLL以及_WUTL951.DLL文件。

Description "Prevent launching of files from the Downloaded Programs folder"
防止從downloaded programs folder資料夾下啟動任何項目
監視工作:iexplore.exe
文件路徑(執行):downloaded program files資料夾下任何以exe為後面的文件

Description "Prevent FTP communication"
防止FTP通信
監視所有工作
排除工作:預設瀏覽器,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,pasys*,google*,alg.exe,ftp.exe,agentnt.exe
連接阜(向外):20,21

Description "Prevent HTTP communication"
防止HTTP通信
監視所有工作
排除工作:預設瀏覽器,預設本機郵件客戶端,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,nlnotes.exe,outlook.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,winpm-32.exe,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,alg.exe,mobsync.exe,waol.exe,agentnt.exe,svchost.exe,runscheduled.exe,pasys*,google*,backweb-*,vmnat.exe,devenv.exe,windbg.exe,jucheck.exe,realplay.exe,acrord32.exe,acrobat.exe,wfica32.exe,mmc.exe,mshta.exe,dwwin.exe,wmplayer.exe,console.exe,wuauclt.exe,javaw.exe,ccmexec.exe,ntaskldr.exe,winamp.exe,realplay.exe,quicktimeplaye*
連接阜(向外):80,443

通配字元很強大 不知是否能像 RD 任意使用 還是咖啡一定需要在尾端
EX:
HKEY_LOCAL_MACHINE\System\*controlset*\Services\Tcpip\Parameters\Interfaces**


HKEY_LOCAL_MACHINE\System\*controlset*\Services\*



*controlset*\ 如此下通配字元通吃所有的 controlset controlset000 controlset001 controlset002 .............controlsetxxx 下對應的 Services

只要加在端尾就可以了。

RD 可以下如此的規則
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\*Zones\*

到咖啡裡是HKCU/Software/Microsoft/Windows/Currentversion/Internet*settings/Zones/**

但是一條規則只能負責key或value,項和值同時控制,需要2條規則。


說明一下,咖啡在註冊表上,不支持空格,有空的項,要用*或?取代,否則規則無效。




HKLM/Software/Mozilla**

應該沒有問題

EX1 :
RD 可以下如此的規則
blah/*controlset*/abc/def/


變形通通抓起來
blah/currentcontrolset/abc/def/
blah/controlset001/abc/def/
blah/controlset002/abc/def/
blah/controlset003/abc/def/

EX2 :

RD 可以下如此的規則
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\*Zones\*

變形通通抓起來
HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zones\0

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zones\1

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zones\2

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zones\3 CurrentLevel

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zones\3 Flags

HKEY_CURRENT_USER\Software\Microsoft\Windows\Currentversion\Internet settings\Zones\4

HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Internet Settings\Lockdown_Zones**


HKULM/Software/Classes/.*/**
*setup*.exe
**/rasphone.pbk

這幾個放到一起看的話,想必也應該可以。
psac 目前離線  
送花文章: 3, 收花文章: 1630 篇, 收花: 3204 次
舊 2006-02-12, 07:59 AM   #8 (permalink)
註冊會員
 
六翼黑帝斯 的頭像
榮譽勳章

勳章總數
UID - 216546
在線等級: 級別:4 | 在線時長:34小時 | 升級還需:11小時級別:4 | 在線時長:34小時 | 升級還需:11小時級別:4 | 在線時長:34小時 | 升級還需:11小時級別:4 | 在線時長:34小時 | 升級還需:11小時
註冊日期: 2005-12-02
VIP期限: 2007-03
住址: 真實的內心
文章: 746
精華: 0
現金: 799 金幣
資產: 799 金幣
預設

感謝大大分享~
雖然我不是用賣咖啡的@@
六翼黑帝斯 目前離線  
送花文章: 3, 收花文章: 5 篇, 收花: 8 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 11:01 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2020, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1