史萊姆論壇

返回   史萊姆論壇 > 教學文件資料庫 > 資訊系統安全備援防護技術文件
忘記密碼?
論壇說明 標記討論區已讀

歡迎您來到『史萊姆論壇』 ^___^

您目前正以訪客的身份瀏覽本論壇,訪客所擁有的權限將受到限制,您可以瀏覽本論壇大部份的版區與文章,但您將無法參與任何討論或是使用私人訊息與其他會員交流。若您希望擁有完整的使用權限,請註冊成為我們的一份子,註冊的程序十分簡單、快速,而且最重要的是--註冊是完全免費的!

請點擊這裡:『註冊成為我們的一份子!』

Google 提供的廣告


 
 
主題工具 顯示模式
舊 2005-08-17, 07:31 PM   #1
psac
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設 McAfee使用心得

許多人對咖啡不瞭解。先對咖啡略為介紹。


咖啡是國際上三大殺軟之一,也是下載使用率最高的殺軟。

它是迄今為止監控最靈敏的殺軟,也是監控最全面的殺軟。


下面是咖啡官方對咖啡殺軟的簡介:


McAfee防毒軟體,除了作界面更新外,也將該公司的WebScanX功能合在一起,增加了許多新功能! 除了幫你偵測和清除病毒,它還有VShield自動監視系統,會常駐在System Tray,當你從磁牒、網路上、E-mail夾文件中開啟文件時便會自動偵測文件的安全性,若文件內含病毒,便會立即警告,並作適當的處理,而且支持滑鼠右鍵的快速選單功能,並可使用密碼將個人的設定鎖住讓別人無法亂改你的設定。

這是咖啡殺軟下載位址:


新浪網(不含咖啡修正檔8.0i中文版): http://down1.tech.sina.com.cn/downlo...-16/8032.shtml
霏凡軟體站(整合咖啡最新修正檔10的8.0i中文版): http://www.crsky.com/soft/421.html

這裡有圖解咖啡使用的。


網址如下:http://tech.pcicp.com/safe/firewall/2004/11/25/1101363027d8183.html

安裝咖啡注意事項:


1、在安裝時,時間選項裡,請選項「永久」,不要選項預訂一年之類。


2、第一次昇級咖啡,會很慢,大約2~3小時才能完成。請耐心等待。


以後病毒庫昇級會

很快,一般1~3分鍾搞定。目前咖啡1~3天昇級一次。個別時,一天昇級3次以上。

咖啡安裝完成了,先對咖啡進行一些設定。


1、存取保護。雙按存取保護,開啟存取保護。



出現連接阜阻擋,文件保護,報告,三個選項。


(1)、更改連接阜設定。預設連接阜阻擋全部勾選。
增加阻擋連接阜新規則。連接阜總共有65535個。


好了,把1~65535連接阜全部進行設定。由於咖啡對連接阜的阻擋模式分為兩種:

阻止入站,阻止出站,這樣,對1~65535連接阜進行設定,需要分為兩組。一組阻止通過1~65535連接阜入站,一組阻止通過1~65535連接阜出站。


為了方便設定和檢視連接阜阻擋而影響的工作,可以這樣進行設定。1~1000,每隔100個連接阜設定一個規則,並進行規則標號。1000~10000,每隔1000個連接阜設定一個規則,也進行規則標號。

10000~65535設定成一個規則,同時進行標號。

這樣設定好了,可以連網進行測試,怎麼樣,不能上網咖?當然別人也進不來了。


好了,開啟咖啡日誌,檢視那些工作被阻止,阻止的具體規則是哪些。


比如,咖啡日誌標明,svchost.exe工作被新規則1阻止,好了,選新規則1,點擊「編輯」,彈出對話視窗,在已排除工作裡,增加svchost.exe,好了。


依次類推,將影響的工作增加進去。設定好了之後,可以上網了。


這樣進行連接阜設定,可以阻擋99%的連接阜。那些通過連接阜出入的木馬幾乎沒戲了。



(2)、更改存取保護設定。勾選所有預設設定。一一開啟編輯,檢視每個規則設定情況,凡是能夠選項「阻止並報告訪問嘗試」,一律選項。


——預設規則裡,許多都是警告模式,將它們更改(註:如果更改預設設定,請再三思量,否則出現意外情況,我不負責)。


將遠端對exe、ocx等文件保護規則合併。但凡遠端作,在新增文件、寫入文件、執行文件、讀取文件、移除文件前全部打勾。

(3)、更改咖啡日誌路徑。放在其他盤裡。


2、有害程式政策。預設規則裡,都沒有勾選。將他們全部勾選。

3、給咖啡殺軟設定密碼。


咖啡控制台——工具——用戶界面選項——密碼選項。選項使用密碼保護下面所有項目。

設定8位以上超強密碼。在用咖啡設定一系列規則之後,可以鎖定咖啡殺軟界面。

這樣,別人不能再更改您對咖啡的設定了。
__________________
http://bbsimg.qianlong.com/upload/01/08/29/68/1082968_1136014649812.gif
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-08-17, 07:32 PM   #2 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

4、共享資源的保護。開啟咖啡存取保護——文件保護——共享資源,將它設定成阻止並報告訪問嘗試。


這樣,共享資源就不能被別人共享了。


5、按訪問掃瞄程序設定。


一般——掃瞄——將啟始區,關機時掃瞄軟碟去掉。

其他設定,自己看著辦吧。


上面是咖啡本身攜帶的一些規則。為了安全,可以進行更加嚴格的設定。


1、用咖啡殺軟來防止3721、網路豬、中文郵、百度搜霸、一搜等流氓軟體。

目前,3721、網路豬、中文郵、百度搜霸、一搜經常偷偷溜進您的電腦,而且難以卸載乾淨。用咖啡殺軟可以阻止它們進入。


開啟咖啡殺軟存取保護,新增如下幾個規則:


1、禁止在本機新增、寫入、執行、讀取3721任何內容;
2、禁止在本機新增、寫入、執行、讀取網路豬任何內容;
3、禁止在本機新增、寫入、執行、讀取中文郵任何內容;
4、禁止在本機新增、寫入、執行、讀取百度搜霸任何內容;
5、禁止在本機新增、寫入、執行、讀取一搜任何內容。


好了,3721、網路豬、中文郵、百度搜霸、一搜等流氓軟體沒有理由呆在您的電腦裡了。


附上部分設定方法。比如,防止3721的方法:


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止在本機新增、寫入、執行、讀取3721任何內容
阻擋對像:*
要阻擋的文件或檔案名:**\3721*\**
要阻止的文件作:在新增文件、寫入文件、執行文件、讀取文件前全部打勾
回應方式:阻止並報告訪問嘗試


2、用咖啡殺軟來防止未知木馬病毒

我查了下相關資料,就目前來說,木馬、病毒基本都是三種檔案類型的,exe、dll、vxd

檔案類型。好了,只要我們新增如下三種保護機制:


1、禁止在本機任何地方新增、寫入任何exe文件
2、禁止在本機任何地方新增、寫入任何dll文件
3、禁止在本機任何地方新增、寫入任何vxd文件

這樣,現在出現的各種木馬病毒是進不來的。


當然,這條規則非常霸道,就是您更新咖啡病毒庫,對其他軟體進行昇級,下載exe、dll、vxd檔案類型文件,以及移動任何exe、dll、vxd檔案類型文件也不可能了。



所以,當您進行類似作時,暫時取消此規則,等作完成之後,再繼續使用。

部分規則新增如下所顯示:


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止在本機任何地方新增、寫入任何exe文件
阻擋對像:*
要阻擋的文件或檔案名:**\*.exe
要阻止的文件作:在新增文件、寫入文件前打勾
回應方式:阻止並報告訪問嘗試
其他的類似規則,參照設定即可。

3、阻擋肆意移除文件的行為

現在出現許多移除mp3格式的病毒。好了,為了杜絕此類事件發生,可以這樣做。開啟咖啡存取保護,新增如下規則:禁止移除本機任何mp3文件。


好了,那些病毒想移除mp3是不可能的了。即便是您自己也刪不掉mp3了!除非解禁!為了杜絕類似移除某些文件的病毒、木馬,好了。


我們再新增一條規則:

禁止移除本機任何內容。


好了,那些肆意移除各種文件的病毒、木馬,根本起不了什麼作用。


當然,如果這條規則起作用,您自己也不可能移除任何東西了。


當您自己需要移除某些內容,暫時取消這條規則,等移除作完成了,再開啟就是了。


這條規則保護自己電腦不被別人移除任何東西非常管用哦。而且別人莫名其妙的,他根本不會想到是咖啡在阻止移除作哦!

規則新增如下所顯示:
咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止移除本機任何mp3文件
阻擋對像:*
要阻擋的文件或檔案名:**\*.mp3
要阻止的文件作:在移除文件前打勾
回應方式:阻止並報告訪問嘗試

咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止移除本機任何內容
阻擋對像:*
要阻擋的文件或檔案名:**\*\**
要阻止的文件作:在移除文件前打勾
回應方式:阻止並報告訪問嘗試

個人也可以使用類似方法保護任何一個文件不被移除。比如rm文件等。自己照貓畫虎試試。

4、用咖啡殺軟保護註冊表。

目前許多木馬、病毒都喜歡在註冊表駐停留。好了。我們用咖啡新增這樣一條規則。

禁止對本機註冊表進行新增、寫入活動。



好了。除非您同意,否則,註冊表是不會無緣無故的被修改的。包括安裝軟體在內,如果咖啡依然開啟這條規則,哈哈,軟體雖然安裝完了,註冊表裡卻沒有寫入什麼東西。


雖然不少軟體需要寫入註冊表裡才成,可註冊表裡沒有被寫入也可以用的哦——不信的可以實驗下!當然,不寫入註冊表,軟體功能上會打折扣,尤其是殺軟、防火牆之類。我曾做過類似實驗。

不讓反間諜軟體寫入註冊表裡,結果它只能查到間諜,卻不能清除間諜(查到間諜數量與反間諜軟體安裝時是否寫入註冊表無關)。對比一下金山、瑞星的註冊表監視功能,金山、瑞星簡直差遠了。



他們對註冊表的監視不但煩人,而且意義不是很大。


比如,安裝一個軟體,點擊阻止寫入註冊表,那您就一直點下去吧。十年也點不完。有什麼意義?


規則新增如下所顯示:


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止對本機註冊表進行新增、寫入活動
阻擋對像:*
要阻擋的文件或檔案名:**\*.reg
要阻止的文件作:在新增文件、寫入文件前打勾
回應方式:阻止並報告訪問嘗試


5、用咖啡來保護主頁。

通過咖啡殺軟來防護瀏覽器主頁被修改完全可以。這樣不用在安裝其他軟體進行防護了。


其他瀏覽器防護軟體不但佔用一定資源,而且效果不一定好。


而咖啡防護效果相當理想。具體方法如下:


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止在本機新增/修改hosts文件
阻擋對像:IEXPLORE.EXE,或者*
要阻擋的文件或檔案名:**\etc*\**
要阻止的文件作:在新增文件、寫入文件、移除文件前打勾
回應方式:阻止並報告訪問嘗試
好了。惡意網站不能在更改您的主頁了。


6、阻止惡意指令碼入侵。

開啟咖啡殺軟存取保護中文件保護規則,新增這樣一些規則:


1、禁止在本機任何地方讀取、執行、新增、寫入任何js文件

2、禁止在本機任何地方讀取、執行、新增、寫入任何vbs文件

3、禁止在本機任何地方讀取、執行、新增、寫入任何htm文件

4、禁止在本機任何地方讀取、執行、新增、寫入任何html文件
好了,惡意網站通過指令碼而入侵本地的惡意程式碼、木馬基本滾蛋了。

部分規則新增如下所顯示:


咖啡控制台------存取保護------資料夾保護-----增加
規則名稱:禁止在本機任何地方讀取、執行、新增、寫入任何js文件
阻擋對像:*
要阻擋的文件或檔案名:**\*.js
要阻止的文件作:在讀取文件、執行文件、新增文件、寫入文件前打勾
回應方式:阻止並報告訪問嘗試
其他的類似規則,參照設定即可。

當然,這樣有些嚴厲,可能妨礙上網,可以將這些規則修改為阻止新增、寫入即可。

McAfee VirusScan Enterprise 8.0 之後開機關機比以前慢
寫個批處理文件,關機前把McAfee的咚咚關掉,呵呵,這樣就和平常一樣了
或者你把ip地址寫上會好點
如關機確實慢 關機前結束McAfee Framework Service服務 就恢復正常了
代碼:
@ECHO OFF
NET STOP MCSHIELD
NET STOP MCTASKMANAGER
NET STOP MCAFEEFRAMEWORK
至於開機,相反我覺得Kaspersky的變得更慢些
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
舊 2005-08-21, 05:40 PM   #3 (permalink)
註冊會員
榮譽勳章
UID - 20691
在線等級: 級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時級別:53 | 在線時長:3082小時 | 升級還需:50小時
註冊日期: 2003-01-01
VIP期限: 2010-07
文章: 272
精華: 0
現金: 5894 金幣
資產: 1516755 金幣
預設

哇!好豐富的資料,好詳盡的介紹!
lkk123456 目前離線  
送花文章: 717, 收花文章: 17 篇, 收花: 31 次
舊 2005-08-21, 09:32 PM   #4 (permalink)
lexuss320
榮譽勳章

勳章總數
UID -
在線等級:
文章: n/a
精華:
預設

前幾天
才使用者各軟體
還不知道
有如許多功能
看來要好好研究一下了
 
送花文章: 0, 收花文章: 0 篇, 收花: 0 次
舊 2006-02-16, 12:25 AM   #5 (permalink)
榮譽會員
 
psac 的頭像
榮譽勳章
UID - 3662
在線等級: 級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時級別:30 | 在線時長:1048小時 | 升級還需:37小時
註冊日期: 2002-12-07
住址: 木柵市立動物園
文章: 17381
現金: 5253 金幣
資產: 33853 金幣
預設

]【翻譯】McAfee Virusscan Enterprise 8.5I 預設存取保護規則簡析

為忠於原作者的願望,本文不貼英文原文,只把規則中的英文「描述」(description,即規則名)部分貼出,大家可以自己對照McAfee Virusscan Enterprise 8.5 軟體系統中的規則來比對。附件為TXT我的文件,方便大家下載。


Description "Prevent registry editor and Task Manager from being disabled"
阻止註冊表編輯器和工作管理器被以下程序關閉
監視所有程式
排除工作:rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
註冊表值(新增,寫入,移除):
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/SystemisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/SystemisableTaskMgr

Description "Prevent user rights policies from being altered"
保護用戶權限原則
監視所有工作
排除工作:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,amgrsrvc.exe,mmc.exe
註冊表項(新增,寫入,移除):
HKCCS/Control/LSA/**
HKCCS/Services/lanmanserver/parameters/**

Description "Prevent remote creation/modification of executable and configuration files"
防止遠端建立/修改可執行程序和組態文件
監視所有遠端程序
對像文件(新增,寫入,移除):**.exe **.scr **.ocx **.dll **.pif
文件路徑:windows目錄以及所有子目錄下文件,%systemdrive%\*.ini
排除工作:所有framepkg.exe文件

Description "Prevent remote creation of autorun files"
防止遠端建立autorun.inf文件
所有遠端工作
對像文件(新增): autorun.inf

Description "Prevent hijacking of .EXE and other executable extensions"
防止exe等可執行文件被劫持
監視所有程式
排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
註冊表值(寫入,移除):
HKULM/Software/Classes/.exe/**
HKULM/Software/Classes/exefile/**
HKULM/Software/Classes/.com/**
HKULM/Software/Classes/comfile/**
HKULM/Software/Classes/.bat/**
HKULM/Software/Classes/batfile/**
HKULM/Software/Classes/.cmd/**
HKULM/Software/Classes/cmdfile/**

Description "Prevent svchost executing non-Windows executables"
防止svchost執行任何非windows可執行程序
監視工作:svchost.exe
檔案類型(執行): 所有文件
排除文件:所有exe文件,windows目錄以及所有子目錄下的文件

Description "Prevent Windows Process spoofing"
防止windows工作欺騙
文件路徑(新增,讀取,執行,寫入):所有svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe
排除文件:windows目錄及其所有子目錄下的svchost.exe,explorer.exe,ctfmon.exe,lsass.exe,csrss.exe,winlogon.exe,services.exe,smss.exe

Description "Protect phonebook files from password and email address stealers"
保護通訊錄的密碼和電子郵件位址
監視所有工作
排除工作:rasphone.exe explorer.exe svchost.exe
文件路徑(讀取,移除,新增,寫入):**/rasphone.pbk

Description "Prevent mass mailing worms from sending mail"
防止郵件蠕蟲傳送郵件
監視所有工作
排除工作:預設郵件客戶端,預設瀏覽器,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,nlnotes.exe,outlook.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,winpm-32.exe,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,ntaskldr.exe,nsmtp.exe,nrouter.exe,agent.exe,ebs.exe,firesvc.exe,modulewrapper*,msksrvr.exe,mskdetct.exe,mailscan.exe,rpcserv.exe
連接阜(向外):25,587

Description "Prevent IRC communication"
防止IRC通信
監視所有工作
連接阜(向內,向外):6666-6669

Description "Prevent use of tftp.exe"
防止使用tftp.exe
監視所有工作
排除工作:wuauclt.exe
文件路徑(讀取,執行):所有的tftp.exe

Description "Prevent alteration of all file extension registrations"
保護所有已註冊的檔案類型
監視所有工作
排除工作:explorer.exe
註冊表項(讀取,寫入):HKULM/Software/Classes/.*/**

Description "Protect cached files from password and email address stealers"
保護快取文件中的密碼和電子郵件位址
監視所有工作
排除工作:iexplore.exe,explorer.exe,rundll32.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe
文件路徑(讀取):所有content.ie5資料夾以及子資料夾中文件

Description "Make all shares read-only"
設定所有共享為只讀內容
監視所有遠端工作
文件路徑(新增,寫入,移除):所有文件

Description "Block read and write access to all shares"
阻止所有對共享資料的讀取和寫入
監視所有工作
文件路徑(新增,寫入,移除,執行,讀取):所有文件

Description "Prevent modification of McAfee files and settings"
保護McAfee的相關文件和設定
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,sdat*.exe,mfehidin.exe,svchost.exe,regsvc.exe,mmc.exe,vstskmgr.exe,scan32.exe,shstat.exe,mcupdate.exe,mcconsol.exe,ncdaemon.exe
文件路徑(新增,寫入,移除):mcafee下desktopproctection,antispyware,AntiSpyware Enterprise目錄以及所有子目錄下文件,drivers目錄下mfe*.sys文件。
排除工作(新增,寫入,移除):mcafee目錄中,AntiSpyware Enterprise目錄下,mid資料夾中asecfg.cab文件。
註冊表項:
HKLM/Software/McAfee
HKLM/Software/McAfee/DesktopProtection
HKLM/Software/McAfee/VSCore
HKLM/Software/McAfee/VSCore/NVP
HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
(以上為 移除)
HKLM/Software/McAfee/vscore/**
HKCCS/Services/McShield/**
HKCCS/Services/McTaskManager/**
HKCCS/Services/Mfeapfk/**
HKCCS/Services/Mfetdik/**
HKCCS/Services/Mfeavfk/**
HKCCS/Services/Mfebopk/**
HKCCS/Services/Mfehidk/**
HKLM/Software/McAfee/DesktopProtection/**
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
(以上為 新增,寫入,移除)
排除註冊表項(新增,寫入,移除):
HKLM/SOFTWARE/MCAFEE/VSCORE/ALERT CLIENT/VSE


Description "Prevent modification of McAfee Common Management Agent files and settings"
保護mcafee通用文件和設定
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,insfiretdi.exe,services.exe,firesvc.exe,scanner.exe
註冊表項(新增,寫入,移除):
HKLM/Software/Network Associates/ePolicy Orchestrator
HKLM/Software/Network Associates/TVD/Shared Components/Framework
HKCCS/Services/McAfeeFramework/**
文件路徑(新增,寫入,移除):
%ALLUSERSPROFILE%/*/Network Associates/Common Framework,%ALLUSERSPROFILE%/*/McAfee/Common Framework,%programfiles%/mcafee/Common Framework,%programfiles%/network associates/Common Framework,%CommonProgramFiles%/Cisco Systems/CiscoTrustAgent/plugins 目錄以及子目錄下文件

Description "Prevent modification of McAfee Scan Engine files and settings"
保護McAfee引擎文件和設定文件
監視所有工作
排除工作:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,svchost.exe,regsvc.exe,msi*.tmp,sdat*.exe,mcscript*,*xdat.exe,mcupdate.exe
註冊表項:
HKLM/Software/McAfee/AVEngine(移除)
HKLM/Software/McAfee/AVEngineAT
HKLM/Software/McAfee/AVEngine:szInstallDir
(以上為 新增,寫入,移除)
文件路徑(新增,寫入,移除):%CommonProgramFiles%/mcafee/Engine目錄以及子目錄下文件
排除文件:extra.dat

Description "Protect Mozilla & FireFox files and settings"
保護Mozilla&FireFox文件和設定
監視所有工作
排除工作:rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,firefox*,mozilla*,*setup*.exe
註冊表值(新增,寫入,移除):
HKLM/Software/Mozilla**
HKCU/Software/Mozilla**
文件路徑(新增,寫入,移除):Mozilla*目錄以及子目錄下所有文件

Description "Protect Internet Explorer settings"
保護Internet Explorer設定
監視所有工作
排除工作:icwconn1.exe,configui.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp
註冊表項:
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
(以上為 新增,寫入,移除)
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Mainefault_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet Settings:ProxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Mainefault_Search_URL
(以上為 寫入,移除)

Description "Prevent installation of Browser Helper Objects and Shell Extensions"
保護Browser Helper Objects和Shell增強
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,regsvcs.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe
註冊表項(新增,寫入,移除):
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/**
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved

Description "Protect network settings"
保護網路設定
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,mfehidin.exe,winmgmt.exe,winlogon.exe,svchost.exe,services.exe,setadapter.exe,sr_gui.exe,sr_service.exe,fwkern.exe,tcpsvcs.exe
註冊表項:
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**"
"HKCCS/Services/netbt/**
(以上 新增,移除)
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
(以上為 新增,寫入,移除)
排除註冊表項(新增,移除):
HKCCS/Services/tcpip/Performance
HKCCS/Services/netbt/Performance
文件路徑(寫入,新增,移除):hosts文件

Description "Prevent common programs from running files from the Temp folder"
防止通用程序從臨時資料夾啟動任何項目
監視工作:預設瀏覽器,預設郵件客戶端,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe neo20.exe nlnotes.exe outlook.exe pine.exe poco.exe thebat.exe thunderbird.exe winpm-32.exe packager.exe winzip32.exe winrar.exe
文件路徑(執行):名稱含有「temp」字樣的目錄以及所有子目錄中文件
排除文件(執行):任何臨時資料夾及其子資料夾中的FrmInst.exe,任何臨時資料夾中的iadhide?.dll,NAVSetup.exe,任何臨時資料夾下NAV資料夾中的NAVSetup.exe,以及文件{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/PiReg.exe和{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/setlicense.exe

Description "Prevent programs registering to autorun"
保護自啟動項
監視所有工作
排除工作:tbmon.exe,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,wuauclt.exe,update.exe,spuninst.exe,javatrig.exe,vbs56nen.exe,js56nen.exe,ieupdate.exe,dahotfix.exe,ie-kb*.exe,kb*.exe,fixccs.exe,sqlredis.exe,mdac_qfe.exe,dasetup.exe,setupre.exe,wintdist.exe,mmc.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,frminst.exe
註冊表項(新增,寫入):
HKULM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon:Shell
HKULM/Software/Microsoft/Windows NT/CurrentVersion/Windows:Load
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows:AppInit_Dlls
HKULM/Software/Microsoft/Windows/CurrentVersion/Run/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnce/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServices/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/**
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/*
排除註冊表項(新增,寫入):
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN:MCAFEEFIRETRAY
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/NAVLOGON
文件路徑(新增,寫入,移除,執行):startup資料夾下以exe,bat,scr,hta,pif,com為副檔名的文件,startup資料夾下檔案名中含有server字元的exe文件。

Description,"Prevent programs registering as a service"
防止增加服務項
監視所有工作
排除工作:tbmon.exe,mmc.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,wuauclt.exe,update.exe,spuninst.exe,javatrig.exe,vbs56nen.exe,js56nen.exe,ieupdate.exe,dahotfix.exe,ie-kb*.exe,kb*.exe,fixccs.exe,sqlredis.exe,mdac_qfe.exe,dasetup.exe,setupre.exe,wintdist.exe,frminst.exe
註冊表項(新增):
HKCCS/Services/**
排除註冊表項(新增):
HKCCS/Services/EventLog/Application/*
HKCCS/Services/EventLog/Security/*
HKCCS/Services/EventLog/System/*
HKCCS/Services/NAIMServInst/**
HKCCS/Services/traces/**
HKCCS/Services/RegMon/**
HKCCS/Services/FileMon/**
HKCCS/Services/McAfeeFramework/**
HKCCS/Services/W3SVC/PARAMETERS/**
HKCCS/Services/IDSINSTPRIVTEST/**
HKCCS/Services/SNDSRVC/**
HKCCS/Services/SYMEVENT/**
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**"
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**

Description "Prevent creation of new executable files in the Windows folder"
防止在windows目錄建立可執行文件
監視所有工作
排除工作:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,wuauclt.exe,update.exe,spuninst.exe,javatrig.exe,vbs56nen.exe,js56nen.exe,ieupdate.exe,dahotfix.exe,ie-kb*.exe,kb*.exe,fixccs.exe,sqlredis.exe,mdac_qfe.exe,dasetup.exe,setupre.exe,wintdist.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,winlogon.exe,mrtstub.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,fssm32.exe,tomcat.exe
文件路徑(新增):windows目錄下以exe和dll為後面的文件
排除文件(新增):windows目錄中downloaded program files目錄及其子目錄下任何文件,windows目錄中SoftwareDistribution目錄下Download和WebSetup資料夾中及其所有子資料夾中的任何文件。system32文件下muweb.dll,wuweb.dll,cdm.dll,iuengine.dll,wuapi.dll,wuauclt.exe,wuauclt1.exe,wuaclt.exe,wuaclt1.exe,wuaueng.dll,wuaueng1.dll,wucltui.dll,wups.dll,wups2.dll,FireNotify.dll,FireCNL.dll,FireCore.dll,FireCL.dll,FireEpo.dll,FireNHC.dll,FireSCV.dll。windows目錄下temp資料夾中的ZDATAI51.DLL以及_WUTL951.DLL文件。

Description "Prevent launching of files from the Downloaded Programs folder"
防止從downloaded programs folder資料夾下啟動任何項目
監視工作:iexplore.exe
文件路徑(執行):downloaded program files資料夾下任何以exe為後面的文件

Description "Prevent FTP communication"
防止FTP通信
監視所有工作
排除工作:預設瀏覽器,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,pasys*,google*,alg.exe,ftp.exe,agentnt.exe
連接阜(向外):20,21

Description "Prevent HTTP communication"
防止HTTP通信
監視所有工作
排除工作:預設瀏覽器,預設本機郵件客戶端,explorer.exe,iexplore.exe,firefox.exe,mozilla.exe,netscp.exe,opera.exe,msn6.exe,tomcat.exe,tomcat5.exe,tomcat5w.exe,inetinfo.exe,amgrsrvc.exe,apache.exe,webproxy.exe,msexcimc.exe,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,eudora.exe,msimn.exe,msn6.exe,msnmsgr.exe,neo20.exe,nlnotes.exe,outlook.exe,pine.exe,poco.exe,thebat.exe,thunderbird.exe,winpm-32.exe,msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,lucoms*,luupdate.exe,lsetup.exe,idsinst.exe,lucoms*,sevinst.exe,nv11esd.exe,tsc.exe,v3cfgu.exe,ofcservice.exe,earthagent.exe,tmlisten.exe,inodist.exe,ilaunchr.exe,ii_nt86.exe,iv_nt86.exe,cfgeng.exe,f-secu*,fspex.exe,getdbhtp.exe,fnrb32.exe,f-secure automa*,sucer.exe,ahnun000.tmp,supdate.exe,autoup.exe,pskmssvc.exe,pavagent.exe,dstest.exe,paddsupd.exe,pavsrv50.exe,avtask.exe,giantantispywar*,boxinfo.exe,alg.exe,mobsync.exe,waol.exe,agentnt.exe,svchost.exe,runscheduled.exe,pasys*,google*,backweb-*,vmnat.exe,devenv.exe,windbg.exe,jucheck.exe,realplay.exe,acrord32.exe,acrobat.exe,wfica32.exe,mmc.exe,mshta.exe,dwwin.exe,wmplayer.exe,console.exe,wuauclt.exe,javaw.exe,ccmexec.exe,ntaskldr.exe,winamp.exe,realplay.exe,quicktimeplaye*
連接阜(向外):80,443
psac 目前離線  
送花文章: 3, 收花文章: 1631 篇, 收花: 3205 次
 


主題工具
顯示模式

發表規則
不可以發文
不可以回覆主題
不可以上傳附加檔案
不可以編輯您的文章

論壇啟用 BB 語法
論壇啟用 表情符號
論壇啟用 [IMG] 語法
論壇禁用 HTML 語法
Trackbacks are 禁用
Pingbacks are 禁用
Refbacks are 禁用


所有時間均為台北時間。現在的時間是 06:08 AM


Powered by vBulletin® 版本 3.6.8
版權所有 ©2000 - 2024, Jelsoft Enterprises Ltd.


SEO by vBSEO 3.6.1