麥咖啡McAfee 8.8企業版規則設置(高級篇)

原創 a807257775 2018-09-11 05:42

規則要點:
    1、深入挖掘默認規則,使默認規則威力發揮到極致,自定義規則只爲補充與強化。
    2、所有進程採用絕對路徑排除,部分規則分成系統組、軟件組兩條,解決了排除容量(計空格2599字符)的限制。
    3、安全性極高,可以做到帶毒不爆發,歡迎虛擬機測試,但不建議實機玩兒毒自虐。
    4、易用性稍差,視個人軟件情況,有的排除量可能較大。
    5、流暢性極好,飛一般的享受。
    6、支持系統自動監測更新,下載並安裝時最好關閉訪問保護。
    7、默認支持與金山網盾、毛豆純牆\HIP8.0(二選一)安全搭配,一般用戶單奔足矣。
    8、不直接分享規則,規則自己設置:
       (1)系統進程基本排除完畢,出現觸紅需要謹慎排除。
       (2)常用軟件已經排除,但路徑多爲E盤,請根據實際通過替換法修改盤符(如把E:\替換成C:\或D:\等)。

     友情提示:如果追求通用,可以把軟件路徑中的“E:\Program Files\”替換成“*\Program Files*\”即可,安全性影響很小。

       (3)沒有排除的軟件根據日誌排除,或自行整理後添加排除。

      排除技巧:一般軟件要想正常運行,需要在“禁止遠程創建/修改可執行文件和配置文件”、“將所有共享項設爲只讀”、“保護Windows下的文件”、“保護Windows註冊表_項”、“保護Windows註冊表_值”規則相應的系統組和軟件組同時排除,某些大型或耍點小流氓的軟件還需要在“保護電話簿文件免受密碼和電子郵件地址竊賊的***”、“保護緩存文件免受密碼和電子郵件地址竊賊的***”中排除。

       (4)排除原則:善用百度搜索,輔以http://www.virscan.org/掃描,放行已知安全,杜絕一切隱患。
       (5)請在相應操作系統下設置,不建議不同系統之間直接導入規則。
       (6)不同系統,規則設置有所區別,請詳細閱讀規則說明。
    9、獻給喜歡折騰朋友的終極規則,安全盡在自己掌控!不好折騰的朋友不建議使用!


規則設置:

----------------------------默認規則---------------------------------------

《防間諜程序標准保護》
規則名稱:保護Internet Explorer收藏夾和設置
要包含的進程:**
要排除的進程:C:\Windows\Explorer.EXE, C:\Program Files\Internet Explorer\iexplore.exe
是否勾選報告:否
----------------------------------------
    說明:排除C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是爲了自己能夠修改Internet Explorer收藏夾和設置。不勾選報告,避免大量日誌。

《防間諜程序最大保護》
規則名稱:禁止安裝新的 CLSID、APPID 和 TYPELIB
要包含的進程:**
要排除的進程:無
是否勾選報告:否
----------------------------------
    說明:該規則用於阻止新的 COM servers的安裝和註冊。某些廣告以及間諜程序能夠將自身添加到Microsoft Internet Explorer的COM 加載項中,或者附加到Microsoft Office。安裝某些程序時才需要加載新的COM,所以日常應用不排除,不勾選報告。

規則名稱:禁止所有程序從 Temp 文件夾運行文件
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-----------------------------
    說明:一個可執行文件在被Windows運行之前都要先被保存在磁盤上,其最普遍的運行方式是,先保存在user或者system賬號的 Temp 文件夾下,再運行。該規則其中之一的目的在於不斷地提醒用戶:“切勿從email中打開附件。”而另一個目的是防止應用程序bug(漏洞)導致的安全隱患危害電腦,比如老版本的Outlook以及Internet Explorer,就因爲未經用戶的許可則自動執行代碼以預覽email或者網頁內容而臭名昭著。排除咖啡相關進程是爲了正常升級和使用。

規則名稱:禁止從 Temp 文件夾執行腳本
要包含的進程:?script.exe
要排除的進程:無
是否勾選報告:否
-------------------------------
    說明:阻止Windows 腳本執行器從Temp文件夾中運行VBScript以及JavaScript文件,這樣能夠阻擋大部分的***,以及常被廣告和間諜程序利用的提問式的網頁安裝模式。沒必要勾選報告。

《防病毒標准保護》
規則名稱:禁止禁用註冊表編輯器和任務管理器
要包含的進程:**
要排除的進程:無
是否勾選報告:是
------------------------------------
    說明:保護Windows 註冊表中的部分鍵值,用以防止註冊表編輯器和任務管理器被禁用。不用排除。

規則名稱:禁止更改用戶權限策略
要包含的進程:**
要排除的進程:C:\Windows\system32\lsass.exe
是否勾選報告:是
------------------------------------
    說明:防止蠕蟲病毒獲知該賬號在網絡中是否擁有管理權限,防止惡意代碼修改用戶組的權限,同時亦會保護註冊表中包含Windows 安全信息的鍵值,譬如,某些病毒會藉助管理員賬號來移除某些重要的權限。排除應該極少。

規則名稱:禁止遠程創建/修改可執行文件和配置文件(系統組)
要包含的進程:**(Win7下用*.*)
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\System32\msdtc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾選報告:是
--------------------------------
    說明:該規則是規則“將所有共享項設爲只讀”的閹割版。保護了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按絕對路徑排除已知的安全程序,全局有效防止了對*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的創建、寫入、刪除。只此一條,就涵蓋了罈子裏原有規則自定義規則的N條。還有com、sys、drv、vxd、bat等,交給自定義規則補充吧。此處排除的是系統組進程,軟件組在自定義中補充。( 友情提示:如果軟件數量不多,完全可以不分組,這樣自定義規則就會少很多,下同。)
規則名稱:禁止遠程創建自動運行文件
要包含的進程:**
要排除的進程:無
要阻止的文件或文件夾名:autorun.inf
是否勾選報告:是
--------------------------------
    說明:禁止創建所有自動播放。

規則名稱:禁止攔截 .EXE 和其他可執行文件擴展名
要包含的進程:**
要排除的進程:無
是否勾選報告:是
--------------------------------------
    說明:禁止間諜和惡意程序修改操作系統的配置以及可執行文件。

規則名稱:禁止僞裝 Windows 進程
要包含的進程:**
要排除的進程:無
是否勾選報告:是
---------------------------------------
    說明:禁止針對Windows核心進程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作,防止渾水摸魚。啓用該規則能夠防止文件或者程序的名稱被僞造,以及僞造名稱的程序被執行,而真正的 Windows 文件不受該規則限制。切記不用排除。

規則名稱:禁止羣發郵件蠕蟲發送郵件
要包含的進程:**
要排除的進程:無
是否勾選報告:是
----------------------------
    說明:郵件客戶端,禁止通過SMTP 端口(25和587)出站發送email。需要排除所用郵件軟件的進程,否則軟件將無法使用。

規則名稱:禁止 IRC 通信
要包含的進程:**
要排除的進程:無
是否勾選報告:是
---------------------------
    說明:屏蔽了6666-6669端口,防止後門***連接到IRC服務器並接收來自其作者的命令。

規則名稱:禁止使用 tftp.exe
要包含的進程:**
要排除的進程:無
是否勾選報告:是
---------------------------------
    說明:防止通過利用脆弱的應用緩衝區溢出散播一些病毒。使用Windows的TFTP客戶端(tftp.exe)執行下載的用戶才需要排除。

《防病毒最大保護》
規則名稱:禁止 Svchost 執行非 Windows 可執行文件
要包含的進程:svchost.exe
要排除的進程:無
是否勾選報告:否
---------------------------------
    說明:禁止Svchost.exe加載非Windows服務.DLL文件。用則不要排除,也不用勾選報告。否則可以不用。

規則名稱:保護電話簿文件免受密碼和電子郵件地址竊賊的***
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
------------------------------------------
    說明:隱私保護規則。保護Rasphone.pbk文件存儲在用戶的配置文件的目錄,不被讀取和注入惡意代碼。排除已知的安全程序。

規則名稱:禁止更改所有文件擴展名的註冊
要包含的進程:**
要排除的進程:C:\WINDOWS\explorer.exe
是否勾選報告:否
------------------------------
    說明:這是一個嚴格的版本“反病毒標准保護:防止其他可執行的EXE和擴展劫持”規則,而不是隻保護的.EXE。這條規則可以防止通過保護登記處登記的文件擴展名擴展的選項鍵。排除C:\WINDOWS\explorer.exe是爲了只允許自己修改擴展名。不勾選報告,否則日誌量大。 

規則名稱:保護緩存文件免受密碼和電子郵件地址竊賊的***
要包含的進程:**
要排除的進程:C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
--------------------------------------
    說明:隱私保護規則。防止病毒、***讀取上網隱私。排除已知的安全程序,否則某些軟件無法啓動(這本身就是流氓行爲)。

《防病毒爆發控制》
規則名稱:將所有共享項設爲只讀(系統組)
要包含的進程:**(Win7下用*.*)
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾選報告:是
---------------------------------------
    說明:這是非常強大的全局禁改規則。按絕對路徑排除已知的安全程序,可以禁止一切未知程序的創建、寫入、刪除行爲,這樣就算病毒已經進入信任區,也無法搞破壞了。有效防止信任區病毒爆發。軟件組在自定義中補充。

規則名稱:阻止對所有共享資源的讀寫訪問 (即 禁止非信任區程序訪問-文件 )
要包含的進程:**(Win7下用*.*)
要排除的進程:*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
------------------------------------------------
    說明:這是非常強大的全局禁運規則。排除信任區後,非信任區一切程序的所有操作都無法進行。有效防止非信任區病毒爆發。註冊表在自定義中補充。

《通用標准保護》
規則名稱:禁止修改 McAfee 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
-------------------------------------------
    說明:只排除了咖啡本身和C:\Windows\system32\services.exe。

規則名稱:禁止修改 McAfee Common Management Agent 文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
------------------------------------------
    說明:只排除了咖啡本身和C:\Windows\system32\services.exe。

規則名稱:禁止修改 McAfee 掃描引擎文件和設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告:是
----------------------------------------
    說明:只排除了咖啡本身。

規則名稱:保護 Mozilla 及 FireFox 文件和設置
要包含的進程:**
要排除的進程:*\Program Files\**\*.*
是否勾選報告:是
-------------------------------
    說明:本人不用,常規排除。

規則名稱:保護 Internet Explorer 設置
要包含的進程:**
要排除的進程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE
是否勾選報告:是
----------------------------------
    說明:排除*\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是爲了自己能修改IE設置。

規則名稱:禁止安裝 Browser Helper Objects 和 Shell Extensions
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-----------------------------------------
    說明:防止廣告軟件、間諜軟件和一些***程序安裝運行瀏覽器助手、插件、工具欄等。只給咖啡這個權利。

規則名稱:保護網絡設置
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\svchost.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
----------------------------------------
    說明:反廣告規則。禁止發送、捕獲網絡流量並把它發送到第三方網站瀏覽行爲的數據。只給咖啡和svchost.exe這個權利。

規則名稱:禁止公用程序從 Temp 文件夾運行文件
要包含的進程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的進程:無
是否勾選報告:是
---------------------------
    說明:官方默認。

規則名稱:在 Internet Explorer 中禁用 HCP URL
要包含的進程:iexplore.exe, wmplayer.exe
要排除的進程:無
是否勾選報告:是
------------------------------------------------
    說明:官方默認。

規則名稱:防止終止 McAfee 進程
要包含的進程:**
要排除的進程:/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
是否勾選報告:是
------------------------------
    說明:官方默認。

《通用最大保護》
規則名稱:禁止將程序註冊爲自動運行
要包含的進程:**
要排除的進程:C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-------------------------------------
    說明:安全軟件給這個權利。

規則名稱:禁止將程序註冊爲服務
要包含的進程:**
要排除的進程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告:是
---------------------------------------
    說明:保護的註冊表項和目錄,也提供了一些針對新的內核模式rootkit安裝有限的保護。嚴格排除已知的安全進程。

規則名稱:禁止在 Windows 文件夾中創建新的可執行文件
要包含的進程:**
要排除的進程:C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
是否勾選報告:是
------------------------------
    說明:只防了EXE和DLL的創建,自定義規則還需要補充。

規則名稱:禁止在 Program Files 文件夾中創建新的可執行文件
要包含的進程:**
要排除的進程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告:是
-----------------------------
    說明:只防了EXE和DLL的創建,自定義規則還需要補充。

規則名稱:禁止從 Downloaded Program Files 文件夾啓動文件
要包含的進程:**
要排除的進程:無
是否勾選報告:是
--------------------------------
    說明:“要包含的進程”改成**,禁止所有程序從 Downloaded Program Files 文件夾啓動文件。

規則名稱:禁止 FTP 通信
要包含的進程:**
要排除的進程:agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾選報告:是
------------------------------
    說明:默認,到自定義規則中去詳細控制。

規則名稱:禁止 HTTP 通信
要包含的進程:**
要排除的進程:???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾選報告:是
--------------------------------
    說明:默認加簡單排除,到自定義規則中去詳細控制。

《虛擬機保護》
規則名稱:防止終止 VMWare 進程
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
--------------------------------------
    說明:本人不用,常規排除。

規則名稱:禁止修改 VMWare Workstation 文件和設置
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
----------------------------------------
    說明:本人不用,常規排除。

規則名稱:禁止修改 VMWare Server 文件和設置
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
-----------------------------------
    說明:本人不用,常規排除。

規則名稱:禁止修改 VMWare 虛擬機文件
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告:是
---------------------------------
    說明:本人不用,常規排除。


----------------------------用戶定義的規則-----------------------------------------

01 規則名稱:禁止非信任區程序訪問註冊表_項
要包含的進程:**
要排除的進程:*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保護的註冊表項目或註冊表值:HKALL  /**
要保護的註冊表項或註冊表值:項
要阻止的註冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“阻止對所有共享資源的讀寫訪問”規則的補充。

02 規則名稱:禁止非信任區程序訪問註冊表_值
要包含的進程:**
要排除的進程:*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保護的註冊表項目或註冊表值:HKALL  /**
要保護的註冊表項或註冊表值:項
要阻止的註冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“阻止對所有共享資源的讀寫訪問”規則的補充。

03 規則名稱:禁止未知程序訪問端口_入站
要包含的進程:**(Win7下用*.*)
要排除的進程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, svchost.exe
要阻止的端口:1-65535
方向:入站
是否勾選報告:是
-------------------------------------------------
    說明:程序入站自己控制。

04 規則名稱:禁止未知程序訪問端口_出站
要包含的進程:**(Win7下用*.*)
要排除的進程:C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口:1-65535
方向:出站
是否勾選報告:是
-------------------------------------------------
    說明:程序出站自己控制。

05 規則名稱:防病毒標准保護_禁止遠程創建/修改可執行文件和配置文件_軟件組
要包含的進程:**(Win7下用*.*)
要排除的進程:**\Windows\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\svchost.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:“禁止遠程創建/修改可執行文件和配置文件”規則的軟件組。全局防止對*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的創建、寫入、刪除。

06 規則名稱:防病毒爆發_將所有共享項設爲只讀_ 軟件組
要包含的進程:**(Win7下用*.*)
要排除的進程:*\WINDOWS\**\*.*, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Program Files\Angry Birds\Angry Birds\AngryBirds.exe, E:\Program Files\Program Files\WinRAR\WinRAR.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:“將所有共享項設爲只讀”規則的軟件組。防止信任區病毒爆發。

07 規則名稱:保護Windows下的文件
要包含的進程:**(Win7下用*.*)
要排除的進程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**\WINDOWS\**(Win7下用C:\WINDOWS\**)
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“禁止遠程創建/修改可執行文件和配置文件”、“禁止在 Windows 文件夾中創建新的可執行文件” 規則的補充,對“將所有共享項設爲只讀” 規則的強化。目的是嚴格控制,防止信任的WINDOWS區病毒爆發。

08 規則名稱:保護Windows註冊表_項_系統組
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保護的註冊表項目或註冊表值:HKALL  /**/Software/Microsoft/Windows/**
要保護的註冊表項或註冊表值:項
要阻止的註冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“保護Windows下的文件”規則的補充(系統組)。

09 規則名稱:保護Windows註冊表_值_系統組
要包含的進程:**
要排除的進程:*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保護的註冊表項目或註冊表值:HKALL  /**/Software/Microsoft/Windows/**
要保護的註冊表項或註冊表值:值
要阻止的註冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“保護Windows下的文件”規則的補充(系統組)。

10 規則名稱:保護Windows註冊表_項_軟件組
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保護的註冊表項目或註冊表值:HKALL  /**/Software/Microsoft/Windows/**
要保護的註冊表項或註冊表值:項
要阻止的註冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“保護Windows下的文件”規則的補充(軟件組)。

11 規則名稱:保護Windows註冊表_值_軟件組
要包含的進程:**
要排除的進程:*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保護的註冊表項目或註冊表值:HKALL  /**/Software/Microsoft/Windows/**
要保護的註冊表項或註冊表值:值
要阻止的註冊表:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“保護Windows下的文件”規則的補充(軟件組)。

12 規則名稱:保護AppData下的Windows文件(Win7下適用)
要包含的進程:**
要排除的進程:*\CCleaner\CCleaner*.exe, *\COMODO\COMODO Internet Security\cmdagent.exe, *\Kingsoft\webshield\KSWebShield.exe, *\Kingsoft\webshield\kwsupd.exe, *\McAfee\Common Framework\McScanCheck.exe, *\McAfee\Common Framework\FrameworkService.exe, *\McAfee\Common Framework\UdaterUI.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\system32\NOTEPAD.EXE
要阻止的文件或文件夾名:**\AppData\**\Windows\**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“禁止遠程創建/修改可執行文件和配置文件”規則的補充,對“將所有共享項設爲只讀”的強化。目的是嚴格控制,防止信任的AppData區病毒爆發。追求通用性者可以參照本條規則的通配符語法排除。

13 規則名稱:保護Program Files下的文件
要包含的進程:**
要排除的進程:C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\system32\NOTEPAD.EXE, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名:**\Program Files*\**
要禁止的文件:寫入 創建 刪除
是否勾選報告:是
-------------------------------------------------
    說明:對“禁止遠程創建/修改可執行文件和配置文件”、“禁止在 Program Files 文件夾中創建新的可執行文件” 規則的補充,對“將所有共享項設爲只讀”規則的強化。目的是嚴格控制,防止信任的Program Files區病毒爆發。

1、sandyyangjie :
    天諾兄不準備直接附上規則是不?~我覺得可以附上一個都沒開啓的規則,這樣可能別人好修改一些~~~從頭開始創建這麼多規則傷不起呀~~

        答覆:附上本人實機規則,方便導入修改:

          McAfee 8.8 天諾規則加強版 XP.rar 

              所有進程採用絕對路徑排除。


          McAfee 8.8 天諾規則加強版 32.rar 

              軟件採用相對路徑排除。不影響邊用邊改。


          McAfee 8.8 天諾規則加強版 64.rar 

              軟件採用相對路徑排除。不影響邊用邊改。


          McAfee 8.8 天諾規則加強版 XP_2.rar 

              需要修改的規則沒有勾選阻擋,方便修改,完成後不要忘了勾上。


2、bighead :
規則名稱:保護緩存文件免受密碼和電子郵件地址竊賊的***
要包含的進程:**
要排除的進程:C:\Program FilesE:\Program Files
這個是啥意思?應該是多了吧?
答覆:替換*\時出的錯誤,完整的應該是C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe,文中已經改正,規則已經重新上傳。
       

3、bmjp007
爲什麼
2011/5/20        17:58:37        已由訪問保護規則禁止         NT AUTHORITY\SYSTEM        C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe        C:\Program Files\Agnitum\Outpost Firewall Pro\log\netstat4.log        防病毒爆發控制:將所有共享項設爲只讀        已阻止的操作: 寫入這一項排除不了
      答覆:更正C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe,這個可能是Win7下排除無效。
        後補:根據bmjp007的實踐,Win7下似乎~1排除無效,請遇到的朋友說一下經驗。

4、bmjp007
好多要排除的,連排除項裏都放不下了,很惱火,倒不是怕麻煩,就是怕放不下。怎麼辦? 
      答覆:軟件很多就把軟件改成通配符路徑可以節省很多,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe寫成*\McAfee\Host Intrusion Prevention\FireSvc.exe,這樣還有32位、64位以及軟件裝在任意盤通用的好處。以此類推。  

5、bighead
這個規則樓主調試過多久了呢,怎麼好多系統進程都還沒排除掉用起來太辛苦了。換回自己的了呵呵(可能是系統問題,我的是win7 32位)
      答覆:文字版是在XP下做的,Win7有所不同。現在64位Win7下設了一個規則通用版,軟件採用通配符路徑,如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe寫成*\McAfee\Host Intrusion Prevention\FireSvc.exe,這樣既節省了很多排除空間,又可以通用。規則直接導入,可以邊用邊排除:

發表評論
所有評論
還沒有人評論,想成為第一個評論的人麼? 請在上方評論欄輸入並且點擊發布.
相關文章

bat記錄遠程桌面連接登錄信息

jason1982 2019-02-24 12:57:09

Exchange Server 2010 POP3&IMAP設置詳解

lingping 2019-02-23 14:05:54

虛擬化技術--服務器虛擬化

dawei818 2019-02-23 14:05:39

windows 2008 全新仲裁模式

qyh282110204 2019-02-23 14:05:36

軟路由建立PPPOE服務器

ct19871125 2019-02-23 14:04:24

MySQL性能優化的21個最佳實踐

fdb2b 2019-02-23 14:01:03

centos下簡單實現日誌切割,並上傳至日誌服務器。

隨風上升 2019-02-23 13:59:02

遠程訪問及控制

曉晶 2019-02-23 13:58:40

web網站服務1

曉晶 2019-02-23 13:58:27

郵件服務器

曉晶 2019-02-23 13:58:27

web網站服務2

曉晶 2019-02-23 13:58:27

iscsi存儲

samplelife 2019-02-23 13:57:35

Nagios 3.2 監控部署(一)

samplelife 2019-02-23 13:57:35

50元打造雙網卡負載均衡服務器

138web 2019-02-23 13:55:58

postdrop: create file maildrop/xxx: Permission denied

lingping 2019-02-23 14:05:54