McAfee企业版杀毒软件8587的简单说明和一些思路精

1、 本人玩杀毒软件已经有 1年多了, 刚开始是个不折不扣的杀毒软件狂热者, 装遍无数杀毒软 件,现在想想实在是阅历丰富啊 ,但是后来接触到了 McAfee 企业版,和 HIPS 概念,防 毒观念立马转变了过来, 接着就是不断地学习和试验。 使用麦咖啡系列软件已经有大半年了, 一直很坚定,对它很有信心,从 8.5开始,到 8.7,后来又试了 8.0,后来又回到 8.5,总算 是对这 3款软件的属性比较熟悉了,当然之间也学习了很多高手的文章和经验。 先给新手补个课吧: 首先介绍下 HIPS 也就是主动防御:HIPS 可以分为 3D :AD(Application Defend应用程序防御 体系 RD

2、(Registry Defend 注册表防御体系 FD(File Defend 文件防御体系 它通过可定制的规 则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。 McAfee 的访问保护个人觉得是一个相对不完整 (当然是相对于专业 HIPS 如 PS 和 EQ 等 但 是功能强大的主动防御体系, 大家所谓的规则就是访问保护部分。 最然说不完整, 但是还是 很安全。为什么这么说呢, McAfee 企业版有和专业 HIPS 一样完整的 FD 和 RD ,只是 AD 部 分没有专业 HIPS 软件细化,专业 HIPS 软件的 AD 有很多细致的条目可以供选择,过于细化 好

3、处当然有,但是对于新手和菜鸟来说简直就不知所云,那些条目都不知道。而 McAfee 企 业版的 AD 仅包括了 “ 执行 ” 一个功能,不要小看它,这个功能可以防止程序的运行,防止了 它的运行何谈插入线程,全局钩子一类的?其实 McAfee 实现了 AD 的主要功能,但是这种 单一的功能有种一刀切的感觉, 对于高手来说是一种限制但是对于大众来说, 就如我们这类 菜鸟来说其实功能完全能达到要求了, 对于我们防毒, 规范软件行为才是我们想要的, 而不 是繁琐的规则制定, 简单有效的规则制定不但能道道目的, 而且不会使我们感到厌烦, 在学 习规则,编辑规则时也会乐在其中。 主动防御的精髓在于规则,乐

4、趣也在于规则, 用恰当了 不但能防毒还可以防止软件的不轨行为。 只想套用别人的规则的朋友路过, 只想方便的朋友 也请路过。其实 McAfee 甚至有简单的 ND ,端口保护就是一个体现。 再说一下 McAfee 规则里的通配符因为这个太重要了是基础: * 表示任意个数的字符也可无字符包含 ? 表示单个字符或无字符,不包括 * = * = *表示全盘文件 ?:* 表示根目录下所有文件, *windows*表示 windows 根目录下所有文件,不包括子 文 件 夹 , *windows*表 windows 下 所 有 文 件 , 包 括 任 意 级 文 件 夹 及 根 目 录 。 C:WINDO

5、WS*.*,代表 windows 根目录下的所有带后缀的文件(不包含子目录 接下来是防毒策略的应用,简单而有效的思路就是防入口。一般所说的入口包括了 U 盘, 网页浏览, 和软件的安装, 其中主要是前两者。 软件安装只要是在正规网站下载安装前点右 键扫描没问题应该就没多大关系了, 如果规则严格些的话可以停用访问保护来实现安装, 如 果规则更加全面的话不停用访问保护也可以进行放心的安装。 一种方法就是按照大部分通用规则那样把程序都安装于 program files中, 然后整体排除而实 现补影响正常程序运行。 还有一种方法是我在组策略版讨论中看到的一种方法,也不失为一种好方法,其实和排除 pro

6、gram files是一个道理。但是鉴于病毒喜欢破环修改 C 盘文件的特点,可以对 C 盘进行封 锁。打个比方,我把所有程序都安装在 D 盘名为 “ 软件 ” 的文件夹内,个别只能装在 program files 里例如 mcafee 的主程序,我们不能调整,可以进行排除。还有更新程序也要排除,因 为更新安装于 C 盘,必须允许这类程序向 C 盘写入创建甚至删除。 防入口的做法 “ 深红的雪 ” 即 “ 气流 ” 已经做了详细的介绍和分析 网马浅释与浏览安全 /viewthread.php?tid=201027&highlight=引用一下该文章中关于 HI

7、PS 如何 防网马的方法:为了安全性和方便性的兼顾, 基本的原则是:允许浏览器创建文件的地方禁 止浏览器运行程序, 允许浏览器运行程序的地 方禁止新建文件例如, 可以允许浏览器在网页 缓存中创建文件, 但禁止浏览器从缓存中运行程序; 允许浏览器调用迅雷, 但必须保证浏览 器对迅雷的所在文件夹只读。 AD 方面, 由于浏览器需要运行的程序很少, 而且正常情况下, 只会运行 exe 格式的程序。所以可以阻止浏览器执行除 exe 以外的任何程序,而对于 exe 文 件,可以设置为询问。同时禁止浏览器使用 /nosplash /hidden等参数调用任何程序。同时, 如上面所提到的,禁止浏览器调用或加

8、载 cmd.exe , svchost.exe , wscript.exe , msado15.dll , wshom.ocx 、 scrrun.dll 、 msadco.dll 、 urlmon.dll 等。其实还有很多的 dll 都可以考虑禁止,大 家可以自行研究 FD 方面,禁止浏览器在关键的目录新建各种可执行文件,某些格式我们不 会去下载的, 可以考虑全盘禁止创建。 同时要保证浏览器对已有应用程序只读, 防止修改替 换。 RD 方面,不是那么重要,禁止浏览器写入新的 clsid 就差不多了另外,如果使用非 IE 核心的浏览器,中网马的可能性将大大降低,不过代价是兼容性将有所下降。而 I

9、E7的 UAC 下的保护模式也可以达到很好的防网马效果。防 U 盘病毒最可行的办法是禁止 *执行。也制 定全盘规则而对你所有的硬盘盘符进行排除,由于 U 盘不在排除行列固病毒不能执行。 McAfee 的规则也可以这样编辑,而且也可以完全实现。 下面举些例子: 另外用好 McAfee 企业版还可以防止软件的不轨行为。举例说明: 反跑跑卡丁车广告 。可以禁止 *对 *adballoonext.Exe的执行(当然也可以是禁止跑跑内 对其调用的程序对其的执行, 但是前提是你知道那个程序是什么, 百度一下应该会这道, 但 是个人觉得不会有其他正常程序贵跑跑的广告进行调用的,也不需要,所以用 *完全可行。

10、 下面相同 防迅雷右下角的小广告。可以禁止 *对 *TipsExtend.Exe的执行。 防浩方调用 IE ,可恶的浩方退出时老是会调用 IE 。禁止 gameclient.Exe 执行 *iexplore.Exe就可以了。 防迅雷资讯。禁止 *执行 *ThunderMinisite.Exe即可。 防 QQ 迷你网页。千方百计的调用 禁止 *执行 *QQexternal.exe就可以了,这里最好禁止 *,而不是 QQ ,因为 QQ 会另辟途径调用 QQexternal.exe 这个程序的。类似的规则大家可以 自己发挥,不知道的可以百度。 至 于 访 问 保 护 怎 样 设 置 才 能 流 畅

11、可 以 参 考 版 主 小 邪 邪 的 帖 子 /thread-141863-1-1.Html 8.5和 8.7一个道理差不多。 mcafee 的服务 (进程 优 化 教 程 (适 用 于 8.0i 和 8.5i 企 业 版 的 设 置 :/viewthread.p. BD?DD 再 推 荐 一 片 文 章 , “ 深 红 的 雪 ” 的 McAfee 规 则 设 置 技 巧 提 高 篇 : /viewthread.php?tid=178656&highlight= 另外一些辅助的策略大家可以通过学习自行发挥, 注册表保护可以采取全局保护, 个人认为 FD 防住了,