分类: 网络与安全
2010-04-25 23:12:26
其实网上有,如果使用mcafee virusscan单机用直接导入注册表就行了,ePO下怎么操作老夫还没明白,不知道能不能单机导入了再从ePO把规则获取回去,算了,还是花了点时间,在单机上导入,再复制出来。
先看看规则中的一些写法
首先来了解一下自定义规则中几个常用的语法:
也就是通配符的一些理解
*或**–代表所有操作(进程)
**\*\**–代表硬盘里的所有文件
System:Remote–代表远程(非本地)操作,防黑客必用
**\mmc.exe–代表所有名为mmc.exe的文件
**\temp*\**–代表所有开头为temp的文件
C:\123\**–代表C盘123目录下的所有文件
双星号(**)表示在反斜杠(\)字符前后任意多个层级的目录,一个星号(*)表示任意一个或部分目录名称
?–代表一个字符
注册表保护中的HKALL表示所有的注册表项,其他的嘛,看注册项的开头几个字母就知道了
老夫的写法,注册表保护中的1,2,3就表示下面写创删三个都选中
文件保护中的就直接写明了,一行代表一个格子,如果空行表示该格子没有内容
RD 禁止可疑的程序访问注册表(项)
**
**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
HKALL/**
项
1,2,3
FD 禁止对本机EXE文件进行可疑的修改
**
?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*
**\*.exe
写
RD 禁止可疑的程序访问注册表(值)
**
**\SystemRoot\**\*.*, ?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
HKALL/**
值
1,2,3
FD 禁止windows下可疑的EXE文件操作
**
?:\Program Files\**\McAfee\**\*.*, ?:\WINDOWS\system32\Rundll32.exe
**\WINDOWS\**\*.exe
创,写
FD 禁止windows下可疑的DLL文件操作
**
?:\Program Files\**\McAfee\**\*.*
**\WINDOWS\**\*.dll
创,写
FD 禁止Program Files下可疑的EXE文件操作
**
?:\Program Files\**\McAfee\**\*.*
**\Program Files\**\*.exe
创
FD 禁止Program Files下可疑的DLL文件操作
**
?:\Program Files\**\McAfee\**\*.*
**\Program Files\**\*.dll
创,写
AD 禁止在本机执行可疑的TMP文件
**
?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\Windows\system32\svchost.exe
**\*.tmp
执行
AD 禁止在本机执行可疑的脚本文件
?script.exe
**\**
执行
FD 禁止windows下可疑的COM文件操作
**
**\windows\**\*.com
创,写
FD 禁止在windows下创建可疑的VXD驱动
**
**\windows\**\*.vxd
创
FD 禁止在windows下创建可疑的DRV驱动
**
**\windows\**\*.drv
创
FD 禁止windows下可疑的OCX控件操作
**
**\windows\**\*.ocx
创,写
FD 禁止对分区根目录进行可疑的操作
**
?:\Program Files\**\*.*, ?:\PROGRA~1\**\*.*, ?:\windows\**\explorer.exe, ?:\windows\**\MSConfig.exe, ?:\windows\**\NOTEPAD.EXE, ?:\windows\**\regedit.exe
?:\*
创,写,删
FD 禁止Program Files下可疑的COM文件操作
**
**\Program Files\**\*.com
创,写
FD 禁止Program Files下可疑的SCR文件操作
**
**\Program Files\**\*.scr
创,写
FD 禁止Program Files下可疑的PIF文件操作
**
**\Program Files\**\*.pif
创,写
FD 禁止windows下可疑的SCR文件操作
**
**\windows\**\*.scr
创,写
FD 禁止windows下可疑的PIF文件操作
**
**\windows\**\*.pif
创,写
FD 禁止在本机创建有风险的BAT文件
**
**\*.bat
创
FD 禁止在windows下创建可疑的SYS驱动
**
**\windows\**\*.sys
创