McAfee8.8默认规则详解
写在前面:
咖啡规则的确强大,本文一阅便知!本为自己
学习整理,不敢专私,与朋友共享,不亦乐乎,不亦君子乎!并且希望对咖啡规则的理解、设置以及发展有些许帮助!
墨池顿首
《防间谍程序标准保护》
规则名称:保护Internet Explorer收藏夹和设置 要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe,
C:\\Program Files\\Common Files\\McAfee\\SystemCore\\csscan.exe, C:\\Program Files\\Common iles\\McAfee\\SystemCore\\dainstall.exe,
C:\\Program
Files\\Common
Files\\McAfee\\SystemCore\\mcshield.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmd.exe, cmdagent.exe, console.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcadmin.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcconsol.exe, E:\\Program Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan
Enterprise\\mcupdate.exe, Enterprise\\scncfg32.exe,
E:\\Program E:\\Program E:\\Program
Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan
Enterprise\\restartVSE.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\scan32.exe, E:\\Program Enterprise\\shcfg32.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\shstat.exe, E:\\Program
Enterprise\\VSCore\\dainstall.exe,
Enterprise\\VSCore\\x64\\dainstall.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\vstskmgr.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\x64\\scan64.exe, earthagent.exe, EngineServer.exe, explorer.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, icwconn1.exe, idsinst.exe, ie-kb*.exe, ie4uinit.exe, ieupdate.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, jucheck.exe, kavsvc.exe, kb*.exe, LogonUI.exe,
lsetup.exe,
lucoms*,
luupdate.exe,
McAfeeFire.exe,
McAfeeHIP_Clie*,
mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, msimn.exe, msohtmed.exe, mue_inuse.exe,
naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, proxycfg.exe, pskmssvc.exe, regsvr32.exe,
RPCServ.EXE,
RSSensor.exe,
rtvscan.exe,
rundll32.exe,
SAEDisable.exe,
SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, sidebar.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, svchost.exe, TBMon.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, unregmp2.exe, update.exe, _ins*._mp
(墨池按:E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcadmin.exe等绝对路径为咖啡安装时根据安装路径自动生成,其它为内置排除白名单,下同。) 要阻止的注册表操作:写入 创建 删除 ----------------------------------------
意图:该规则用于防止未经信任(排除)的任何进程,对Microsoft Internet Explorer的设置以及文件进行修改。众所周知的,一般恶意程序的活动特征都会修改网页浏览器的开始页面,以及添加其网址到收藏夹中。因此,该规则旨在防止木马,广告程序以及间谍软件修改浏览器设置。 风险:启用这条规则可谓百利而无一弊。
《防间谍程序最大保护》
规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB 要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe,
fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp 要保护的注册表项目或注册表值:
HKEY_CLASSES_ROOT\\CLSID\\**(猜测) HKEY_CLASSES_ROOT\\AppID\\**(猜测) HKEY_CLASSES_ROOT\\TypeLib\\**(猜测) 要保护的注册表项或注册表值:项(猜测) 要阻止的注册表操作:写入 创建 ----------------------------------
意图:该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中,或者附加到Microsoft Office。
风险:如果你需要安装的软件中包含COM 加载项而又未在信任(排除)列表中,VSE将会自动拦截。某些常用的应用程序需要注册COM 加载项的,比如Macromedia Flash也可能被拦截。
updater.exe,
updaterui.exe,
userinit.exe,
v3cfgu.exe,
vbs56nen.exe,
VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmail.exe, wintdist.exe, wuauclt.exe,
规则名称:禁止所有程序从 Temp 文件夹运行文件 要包含的进程:*
要排除的进程:frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe 要阻止的文件或文件夹名:**\\temp*\\**(猜测) 要禁止的文件操作:执行 -----------------------------
意图:大部分电脑在真正感染病毒之前都需要人为地运行一次病毒。这种感染的途径是多种多样的,比如打开Email附件中的可执行文件,或者是从互联网上下载一个程序等等。具体地,譬如名为W32/Netsky.b@MM的病毒。
一个可执行文件在被Windows运行之前都要先被保存在磁盘上。最普遍的方式是保存在user或者system账号的 Temp 文件夹下,再运行。
该规则其中之一的目的在于不断地提醒用户:“切勿从email中打开附件”。而另一个目的是防止应用程序bug(漏洞)导致的安全隐患危害电脑。比如老版本的Outlook以及Internet Explorer,就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。
风险:对于受该规则保护的可执行文件,你可以先将其复制到磁盘的其他位置然后再执行。所以该规则的负面影响是使用户原先简单的操作变得繁琐了。 注意:启用该规则可能阻止某些程序的部分功能。
规则名称:禁止从 Temp 文件夹执行脚本 要包含的进程:?script.exe 要排除的进程:无
要阻止的文件或文件夹名:**\\temp** 要禁止的文件操作:执行 -------------------------------
意图:该规则阻止Windows 脚本执行器运行 Temp 文件夹中VBScript以及JavaScript文件。这样能够阻挡大部分的木马,以及常被广告和间谍程序利用的提问式的网页安装模式。当然,某些合法的第三方应用程序的安装亦可能会被该规则所阻挡。
风险:当邮件客户端下载脚本,然后通过合法的 Windows 程序(cscript或者wscript)来执行脚本的时候,该规则无法甄别该行为是否合法。因此某些合法的脚本也可能被阻挡。
《防病毒标准保护》
规则名称:禁止禁用注册表编辑器和任务管理器 要包含的进程:*
要排除的进程:avtask.exe, cfgwiz.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe 要保护的注册表项目或注册表值:
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr 要保护的注册表项或注册表值:值 要阻止的注册表操作:创建 写入 删除 ------------------------------------
意图:该规则保护Windows 注册表中的部分键值,用以防止注册表编辑器和任务管理器别禁用。我们知道当病毒感染电脑后,管理员可能需要通过修改注册表,或者打开任务管理器来终止某些活动进程。