让你的 MCAFEE 更强大

爱我就我 · 发表于 2007-12-21 22:51:48

本人是用的杀毒软件是Mcafee 8.0企业版，但是它的默认设置不能满足需要，在安装完成后还要增加自定义规则，更改设置，很是麻烦。后来发现了Orca 它是一款由微软提供的用于 Windows Installer 数据库表编辑器。可用来编辑 Windows Installer 数据库文件 (.msi)，合并模块文件 (.msm)，补丁文件 (.msp)，内部一致性计算程序文件 (.cub) 和补丁创建属性文件 (.pcp)。是修改和本地化 Windows Installer 数据库的最佳辅助工具。Mcafeer的规则和设置是保存在注册表中的，我们可以通过Orca来修改安装程序。下面以增加禁止AUTORUN病毒规则为例，具体操作如下：

Mcafee的规则是保存在HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking子键下，我们增加了禁止AUTORUN病毒规则，在此子键下就生成了如下键值：

"FileBlockRuleName_31"="阻止 autorun 病毒"（这是规则名称）
"FileBlockProcess_31"="*"（定义了规则影响所有进程）
"FileBlockWildcard_31"="**\\autorun.*"（定义了阻挡的文件和文件夹名）
"FileBlockWhat_31"=dword:00010000（定义了访问保护的类型）
"FileBlockReport_31"=dword:00000001（表示启用此规则）
"FileBlockEnabled_31"=dword:00000001（表示启用此规则，这是用户自定义规则所特有的，系统自有的规则没有此键值）
运行Orca，打开Mcafee 的安装程序，在左边的窗格中找到Registry表，此表定义了安装程序要写入的注册表内容

在右边的窗格中点击右键，选择“增加行”，弹出下面的对话框，依次填入如下内容：

Registry：registry5154
Root：2

Key：SOFTWARE\Network Associates\TVD\Shared Components\On Access

Scanner\BehaviourBlocking

Name：FileBlockRuleName_31

Value：阻止 autorun 病毒

Component_：BehaviorBlocking_REG

完成后确定

重复以上步骤，继续输入以下内容：

Registry：registry5153
Root：2

Key：SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking

Name：FileBlockProcess_31

Value：*

Component_：BehaviorBlocking_REG

——————————————————————————————————

Registry：registry5152
Root：2

Key：SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking

Name：FileBlockWildcard_31

Value：**\autorun.*

Component_：BehaviorBlocking_REG

——————————————————————————————————

Registry：registry5151
Root：2

Key：SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking

Name：FileBlockWhat_31

Value：#65536

Component_：BehaviorBlocking_REG

——————————————————————————————————

Registry：registry5150
Root：2

Key：SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking

Name：FileBlockReport_31

Value：#1

Component_：BehaviorBlocking_REG

Registry：registry5149
Root：2

Key：SOFTWARE\Network Associates\TVD\Shared Components\On Access Scanner\BehaviourBlocking

Name：FileBlockEnabled_31

Value：#1

Component_：BehaviorBlocking_REG

最后保存修改。

[ 本帖最后由爱我就我于 2007-12-21 11:09 PM 编辑 ]

hwb9091 · 发表于 2007-12-22 01:35:16

“31”为该规则的号数。有几条规则，则有几个号数。
FileBlockRuleName表示规则的名称
FileBlockProcess表示规则阻挡的进程，*表示所有进程
FileBlockWildcard表示规则阻挡路径
FileBlockWhat表示规则阻挡的内容（参见下表）
FileBlockWhat
r=Read access to files  读取文件
w＝Write access to files  写入文件
e=Files being excuted  执行文件
c＝New files being created  创建文件
d=Files being deleted  删除文件
1:dword:00020000 r
dword:00040000 w
dword:00080000 e
dword:00010000 c
dword:00100000 d
2:dword:00060000 r+w
dword:000a0000 r+e
dword:00030000 r+c
dword:00120000 r+d
dword:000c0000 w+e
dword:00050000 w+c
dword:00140000 w+d
dword:00090000 e+c
dword:00180000 e+d
dword:00110000 c+d
3:dword:000e0000 r+w+e
dword:00070000 r+w+c
dword:00160000 r+w+d
dword:000d0000 w+e+c
dword:001c0000 w+e+d
dword:00190000 e+c+d
dword:000b0000 r+e+c
dword:001a0000 r+e+d
dword:00130000 r+c+d
dword:00150000 w+c+d

4:dword:000f0000 r+w+e+c
dword:001e0000 r+w+e+d
dword:001b0000 r+e+c+d
dword:001d0000 w+e+c+d
dword:00170000 r+w+c+d
5:dword:001f0000 r+w+e+c+d
FileBlockReport代表响应方式（参见下表）
FileBlockReport
dword:00000002  warning mode  警告模式，报告访问尝试，但不阻挡
dword:00000000 block access  but do not report  阻挡，但不报告
dword:00000001  block and report access attempts  阻挡，并且报告

以上部分都是从剑盟里的转来的，这样才好明白。本人也不很懂，但接触到了麦咖啡一直都只用这个杀软，喜欢它的规则的强大防护能力，所以现在自己转成用E盾了，但帮人装机时也就只装麦咖啡，绝对不是枪手但想大家试用用麦咖啡企业版来学学自己写点规则，什么病都是要预防为主的嘛，等中毒了再杀那叫亡羊补牢！

爱我就我 · 发表于 2007-12-22 10:37:37

谢谢楼上指出错误和补充，让我又学到不少

xinyubbl · 发表于 2007-12-22 14:23:26

学到了东西，谢谢楼主…………

		自动登录	找回密码
密码			注册