McAfee企業(yè)版殺毒軟件8.5、8.7的簡單說明和一些思路(精)

1、本人玩殺毒軟件已經(jīng)有 1 年多了，剛開始是個不折不扣的殺毒軟件狂熱者，裝遍 無數(shù)殺毒軟 件,現(xiàn)在想想實在是閱歷豐富啊 . ，但是后來接觸到了 McAfee 企業(yè) 版，和 HIPS 概念，防毒觀念立馬轉(zhuǎn)變了過來，接著就是不斷地學(xué)習(xí)和試驗。 使用麥 咖啡系列軟件已經(jīng)有大半年了 , 一直很堅定，對它很有信心，從 8.5 開始,到 8.7,后來又 試了 8.0 后來又回到 8.5,總算是對這 3 款軟件的屬性比較熟悉了，當(dāng)然之間也學(xué)習(xí)了 很多高手的文章和經(jīng)驗。 先給新手補個課吧： 首先介紹下 HIPS 也就是主動防御:HIPS 可以分為 3D :AD(Application Defend 應(yīng)用程序防御

2、 體系 RD(Registry Defend 注冊表防御體系 FD(File Defend 文件防御體 系它通過可定制的規(guī)則對本地的運行程序、注冊表的讀寫操作、以及文件讀寫操 作進行判斷并允許或禁止。 McAfee 的訪問保護個人覺得是一個相對不完整 (當(dāng)然是相對于專業(yè) HIPS 如 PS 和 EQ 等但是功能強大的主動防御體系，大家所謂的規(guī)則就是訪問保護部分。 最然說不完整，但是還是很安全。為什么這么說呢，McAfee 企業(yè)版有和專業(yè) HIPS 一樣完整的FD 和 RD ,只是 AD 部 分沒有專業(yè) HIPS 軟件細(xì)化，專業(yè) HIPS 軟件的 AD 有很多細(xì)致的條目可以供選擇，過于細(xì)化好處當(dāng)

3、然有，但是對于新手和菜鳥來說 簡直就不知所云，那些條目都不知道。而 McAfee 企業(yè)版的 AD 僅包括了 執(zhí)行” 一個功能，不要小看它,這個功能可以防止程序的運行，防止了它的運行何談插入線程 全局鉤子一類的？其實McAfee 實現(xiàn)了 AD 的主要功能，但是這種單一的功能有種一 刀切的感覺，對于高手來說是一種限制但是對于大眾來說，就如我們這類 菜鳥來說 其實功能完全能達(dá)到要求了，對于我們防毒，規(guī)范軟件行為才是我們想要的，而不是 繁瑣的規(guī)則制定，簡單有效的規(guī)則制定不但能道道目的，而且不會使我們感到厭煩， 在學(xué)習(xí)規(guī)則,編輯規(guī)則時也會樂在其中。主動防御的精髓在于規(guī)則，樂趣也在于規(guī)則 用恰當(dāng)了不但能防

4、毒還可以防止軟件的不軌行為。 只想套用別人的規(guī)則的朋友路 過,只想方便的朋友 也請路過。其實 McAfee 甚至有簡單的 ND ,端口保護就是一個 體現(xiàn)。 再說一下 McAfee 規(guī)則里的通配符因為這個太重要了是基礎(chǔ)： * 表示任意個數(shù)的字符也可無字符包含 ?表示單個字符或無字符，不 包括 * = * = * 表示全盤文件 ?:*表示根目錄下所有文件,*windows*表示 windows 根目錄下所有文件，不 包括子文件夾,*wi ndows*表 wi ndows 下所有文件,包括任意級文件夾 及根目錄。C:WINDOWS*,代表 windows 根目錄下的所有帶后綴的文件（不包 含子目錄

5、接下來是防毒策略的應(yīng)用，簡單而有效的思路就是防入口。一般所說的入口包 括了 U 盤,網(wǎng)頁瀏覽，和軟件的安裝，其中主要是前兩者。 軟件安裝只要是在正規(guī)網(wǎng) 站下載安裝前點右 鍵掃描沒問題應(yīng)該就沒多大關(guān)系了 ，如果規(guī)則嚴(yán)格些的話可以停 用訪問保護來實現(xiàn)安裝，如果規(guī)則更加全面的話不停用訪問保護也可以進行放心的 安裝。 一種方法就是按照大部分通用規(guī)則那樣把程序都安裝于 program files 中,然后 整體排除而實現(xiàn)補影響正常程序運行。 還有一種方法是我在組策略版討論中看到的一種方法 ，也不失為一種好方法，其 實和排除 program files 是一個道理。但是鑒于病毒喜歡破環(huán)修改 C 盤文件的特

6、點， 可以對C 盤進行封 鎖。打個比方，我把所有程序都安裝在 D 盤名為 軟件”的文件夾內(nèi)，個別只能 裝在 program files 里例如 mcafee 的主程序,我們不能調(diào)整，可以進行排除。還有更新 程序也要排除，因為更新安裝于 C 盤,必須允許這類程序向 C 盤寫入創(chuàng)建甚至刪 除。 防入口的做法深紅的雪”即氣流”已經(jīng)做了詳細(xì)的介紹和分析一一網(wǎng) 馬淺釋與瀏覽安全http:/bbs.kafa 一下該文章中關(guān)于 HIPS 如何防網(wǎng)馬的方法：為了安全性和方便性的兼顧，基本的原 則是:允許瀏覽器創(chuàng)建文件的地方禁止瀏覽器運行程序，允許瀏覽器運行程序的地 方禁止新建文件例如，可以允許瀏覽器在網(wǎng)頁 緩

7、存中創(chuàng)建文件，但禁止瀏覽器從緩 存中運行程序；允許瀏覽器調(diào)用迅雷，但必須保證瀏覽器對迅雷的所在文件夾只 讀。AD方面,由于瀏覽器需要運行的程序很少,而且正常情況下,只會運行 exe 格 式的程序。所以可以阻止瀏覽器執(zhí)行除 exe 以外的任何程序，而對于 exe 文件可以 設(shè)置為詢問。同時禁止瀏覽器使用 /nosplash /hidden 等參數(shù)調(diào)用任何程序。同時，如 上面所提到的，禁止瀏覽器調(diào)用或加載 cmd.exe , svchost.exe , wscript.exe , msado15.dll , wshom.ocx、scrrun.dll、msadco.dll、urlmon.dll 等。

8、其實還有很多 的 dll 都可以考慮禁止，大家可以自行研究 FD 方面，禁止瀏覽器在關(guān)鍵的目錄新建 各種可執(zhí)行文件，某些格式我們不 會去下載的，可以考慮全盤禁止創(chuàng)建。 同時要保 證瀏覽器對已有應(yīng)用程序只讀，防止修改替換。RD 方面,不是那么重要，禁止瀏覽 器寫入新的 clsid 就差不多了另外，如果使用非 IE 核心的瀏覽器，中網(wǎng)馬的可能性將 大大降低，不過代價是兼容性將有所下降。而 IE7 的 UAC 下的保護模式也可以達(dá)到 很好的防網(wǎng)馬效果。防 U 盤病毒最可行的辦法是禁止*執(zhí)行。也制 定全盤規(guī)則而 對你所有的硬盤盤符進行排除，由于 U 盤不在排除行列固病毒不能執(zhí)行。 McAfee 的規(guī)則

9、也可以這樣編輯，而且也可以完全實現(xiàn)。 下面舉些例子： 另外用好 McAfee 企業(yè)版還可以防止軟件的不軌行為。舉例說明： 反跑跑卡丁車廣告?？梢越?對*adballoonext.Exe 的執(zhí)行（當(dāng)然也可以是 禁止跑跑內(nèi)對其調(diào)用的程序?qū)ζ涞膱?zhí)行，但是前提是你知道那個程序是什么，百度 一下應(yīng)該會這道，但是個人覺得不會有其他正常程序貴跑跑的廣告進行調(diào)用的，也不 需要,所以用*完全可行。下面相同 防迅雷右下角的小廣告。可以禁止 *對*TipsExtend.Exe 的執(zhí)行。 防浩方調(diào)用 IE ,可惡的浩方退出時老是會調(diào)用 IE。禁止 gameclient.Exe 執(zhí)行 *iexplore.Exe 就可

10、以了。 防迅雷資訊。禁止*執(zhí)行*ThunderMinisite.Exe 即可 防 QQ 迷你網(wǎng)頁。千方百計的調(diào)用 禁止*執(zhí)行*QQexternal.exe 就可以 了，這里最好禁止*,而不是 QQ ,因為 QQ 會另辟途徑調(diào)用 QQexternal.exe 這個程序 的。類似的規(guī)則大家可以 自己發(fā)揮，不知道的可以百度。 至于訪問保護怎樣設(shè)置才能流暢可以參考版主小邪邪的帖子 http:/bbs.kafa /thread-141863-1-1.Html 8.5 和 8.7 個道理差不多。 mcafee 的服務(wù)（進程優(yōu)化教程（適用于 8.0i 和 8.5i 企業(yè)版的設(shè) 置:http:/bbs.kafa B%D0%A1%D0%B0%D0%B0 再推薦一片文章，深紅的雪”的 McAfee 規(guī)則設(shè)置技巧一一提高篇: http:/bbs.kafa 另外一些輔助的策略大家可以通過學(xué)習(xí)自行發(fā)揮，注冊表保護可以采取全局保 護，個人認(rèn)為 FD 防住了 , AD 禁止運行