本人玩杀毒软件已经有1年多了,刚开始是个不折不扣的杀毒软件狂热者,装遍无数杀毒软件,现在想想实在是阅历丰富啊 ……,但是后来接触到了McAfee企业版,和HIPS概念,防毒观念立马转变了过来,接着就是不断地学习和试验。使用麦咖啡系列软件已经有大半年了,一直很坚定,对它很有信心,从8.5开始,到8.7,后来又试了8.0,后来又回到8.5,总算是对这3款软件的属性比较熟悉了,当然之间也学习了很多高手的文章和经验。
先给新手补个课吧:
首先介绍下HIPS也就是主动防御:HIPS可以分为3D: AD(Application Defend)应用程序防御体系 RD(Registry Defend)注册表防御体系 FD(File Defend)文件防御体系 它通过可定制的规则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。
McAfee的访问保护个人觉得是一个相对不完整(当然是相对于专业HIPS如PS和EQ等)但是功能强大的主动防御体系,大家所谓的规则就是访问保护部分。最然说不完整,但是还是很安全。为什么这么说呢,McAfee企业版有和专业HIPS一样完整的FD和RD,只是AD部分没有专业HIPS软件细化,专业HIPS软件的AD有很多细致的条目可以供选择,过于细化好处当然有,但是对于新手和菜鸟来说简直就不知所云,那些条目都不知道。而McAfee企业版的AD仅包括了“执行”一个功能,不要小看它,这个功能可以防止程序的运行,防止了它的运行何谈插入线程,全局钩子一类的?其实McAfee实现了AD的主要功能,但是这种单一的功能有种一刀切的感觉,对于高手来说是一种限制但是对于大众来说,就如我们这类菜鸟来说其实功能完全能达到要求了,对于我们防毒,规范软件行为才是我们想要的,而不是繁琐的规则制定,简单有效的规则制定不但能道道目的,而且不会使我们感到厌烦,在学习规则,编辑规则时也会乐在其中。主动防御的精髓在于规则,乐趣也在于规则,用恰当了不但能防毒还可以防止软件的不轨行为。只想套用别人的规则的朋友路过,只想方便的朋友也请路过。其实McAfee甚至有简单的ND,端口保护就是一个体现。
再说一下McAfee规则里的通配符因为这个太重要了是基础:
\ 表示任意个数的字符也可无字符包含 \ 表示单个字符或无字符,不包括 \ **\\** = ** = **\\*\\**表示全盘文件
?\\:* 表示根目录下所有文件,**\\windows\\*表示windows根目录下所有文件,不包括子文件夹,**\\windows\\**表windows下所有文件,包括任意级文件夹及根目录。C:\\WINDOWS\\*.*,代表windows根目录下的所有带后缀的文件(不包含子目录)
接下来是防毒策略的应用,简单而有效的思路就是防入口。一般所说的入口包括了U盘,网页浏览,和软件的安装,其中主要是前两者。软件安装只要是在正规网站下载安装前点右键扫描没问题应该就没多大关系了,如果规则严格些的话可以停用访问保护来实现安装,如果规则更加全面的话不停用访问保护也可以进行放心的安装。
一种方法就是按照大部分通用规则那样把程序都安装于program files中,然后整体排除而实现补影响正常程序运行。
还有一种方法是我在组策略版讨论中看到的一种方法,也不失为一种好方法,其实和排除program files是一个道理。但是鉴于病毒喜欢破环修改C盘文件的特点,可以对C盘进行封
锁。打个比方,我把所有程序都安装在D盘名为“软件”的文件夹内,个别只能装在program files里例如mcafee的主程序,我们不能调整,可以进行排除。还有更新程序也要排除,因为更新安装于C盘,必须允许这类程序向C盘写入创建甚至删除。
防入口的做法“深红的雪”即“气流”已经做了详细的介绍和分析——《网马浅释与浏览安全》http://bbs.kafan.cn/viewthread.php?tid=201027&highlight= 引用一下该文章中关于HIPS如何防网马的方法:为了安全性和方便性的兼顾,基本的原则是:允许浏览器创建文件的地方禁止浏览器运行程序,允许浏览器运行程序的地方禁止新建文件例如,可以允许浏览器在网页缓存中创建文件,但禁止浏览器从缓存中运行程序;允许浏览器调用迅雷,但必须保证浏览器对迅雷的所在文件夹只读。AD方面,由于浏览器需要运行的程序很少,而且正常情况下,只会运行exe格式的程序。所以可以阻止浏览器执行除exe以外的任何程序,而对于exe文件,可以设置为询问。同时禁止浏览器使用/nosplash /hidden等参数调用任何程序。同时,如上面所提到的,禁止浏览器调用或加载cmd.exe,svchost.exe,wscript.exe,msado15.dll,wshom.ocx、scrrun.dll、msadco.dll、urlmon.dll等。其实还有很多的dll都可以考虑禁止,大家可以自行研究FD方面,禁止浏览器在关键的目录新建各种可执行文件,某些格式我们不会去下载的,可以考虑全盘禁止创建。同时要保证浏览器对已有应用程序只读,防止修改替换。RD方面,不是那么重要,禁止浏览器写入新的clsid就差不多了另外,如果使用非IE核心的浏览器,中网马的可能性将大大降低,不过代价是兼容性将有所下降。而IE7的UAC下的保护模式也可以达到很好的防网马效果。防U盘病毒最可行的办法是禁止*执行。也制定全盘规则而对你所有的硬盘盘符进行排除,由于U盘不在排除行列固病毒不能执行。
McAfee的规则也可以这样编辑,而且也可以完全实现。
下面举些例子:
另外用好McAfee企业版还可以防止软件的不轨行为。举例说明:
反跑跑卡丁车广告 。可以禁止*对 **\\adballoonext.Exe的执行(当然也可以是禁止跑跑内对其调用的程序对其的执行,但是前提是你知道那个程序是什么,百度一下应该会这道,但是个人觉得不会有其他正常程序贵跑跑的广告进行调用的,也不需要,所以用 *完全可行。下面相同)
防迅雷右下角的小广告。可以禁止*对**\\TipsExtend.Exe的执行。
防浩方调用IE,可恶的浩方退出时老是会调用IE。禁止gameclient.Exe执行**\\iexplore.Exe就可以了。
防迅雷资讯。禁止*执行**\\ThunderMinisite.Exe即可。
防QQ迷你网页。千方百计的调用……禁止*执行**\\QQexternal.exe就可以了,这里最好禁止*,而不是QQ,因为QQ会另辟途径调用QQexternal.exe这个程序的。类似的规则大家可以自己发挥,不知道的可以百度。
至于访问保护怎样设置才能流畅可以参考版主小邪邪的帖子
http://bbs.kafan.cn/thread-141863-1-1.Html 8.5和8.7一个道理差不多。mcafee的服务(进程)优化教程(适用于8.0i和8.5i企业版)的设置:http://bbs.kafan.cn/viewthread.p ... BD?D°D°
再推荐一片文章,“深红的雪”的McAfee规则设置技巧——提高篇:http://bbs.kafan.cn/viewthread.php?tid=178656&highlight=
另外一些辅助的策略大家可以通过学习自行发挥,注册表保护可以采取全局保护,个人认为FD防住了,AD禁止运行了,基本所有病毒都落马了,FD“意思”一下就行啦。本文没有现成的规则,只是提供了基本的使用方法和一些思路,毕竟个人觉得规则这个东西还是自己学自己做最好,不过大家当然可以学习高手的规则,其实规则也大同小异啦呵呵,规则的备份和病毒库的备份在下面附件的通鉴里都有。
附上McAfee8.5通鉴一篇希望对新人有帮助: