McAfee麦咖啡企业版8.8设置方法

McAfee大企业版规则之强,天诺时空现有规则之厉,相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤,相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点,引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则。
    既然是防毒,必须从病毒的行为特点出发,制定相应的规则进行防御。按照时间划分,病毒行为可以分为三个阶段:
    第一,前期行为,表现为创建病毒文件到本地,途径不外乎有两个,可移动设备和网络,其中病毒文件主体90%都是exe文件和dll文件,其它尚有sys、bat、com、pif、vbs、autorun.inf等;
    第二,中期行为,表现为从本地激活运行病毒,释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等;
    第三,后期行为,表现为修改、创建exe、dll、sys等文件,访问服务管理器添加服务或加载驱动,修改注册表以实现自启动,添加开机启动项目,添加任务计划,注入其它进程,底层访问磁盘、屏幕、键盘,修改hosts文件等。
    针对病毒的以上特点,规则必须做到:
    第一、前期防御:设置规则防止病毒创建文件到本地,即所谓的入口防御。入口规则设置可以有几种思路,一是分别设置全局规则禁止创建可执行文件,例如邪版8.8经典规则;二是分别设置浏览器、U盘规则禁止创建可执行文件,如猫版64位Win7规则;三是通过严格保护系统和软件文件夹来变相实现入口防御,如墨池镇版规则和storyhare的系列规则。
    第二、中期防御:设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行,而不是等着病毒去修改系统文件才阻止,这是目前所有规则的弱项。墨池镇版规则有这个意识,但没有完全实现。原因很简单,大家对咖啡的权限控制还没有完全搞懂,后面专门论述。
    第三,后期防御:设置规则防止病毒运行后的一系列破坏行为,这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点,而且效果很好。
    从防御效果方面而言,防御越靠前越主动,越靠后越被动。虽然最终效果可能一样,但时间长了机器的干净和正常程度可能会有区别,例如系统一切正常,而实际可能成了养马场、病毒库。所以前期入口规则一定要重视,中期禁运规则必须要加强。
    搞清楚咖啡提供的权限控制方法,是设置禁运规则的关键。下面先看以下两条规则的区别。
    规则名称:只读权限_Windows
    要包含的进程:*\Windows\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    规则名称:只读保护_Windows
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:写 创建 删除
    第一条规则的含义是禁止Windows文件夹下的所有文件修改所有文件,也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改Windows文件夹下的所有文件,即保护系统文件不被别人修改,排除者除外。由此可见,要想控制系统文件修改别人的权限——即中期防御,应该采用第一种写法。同理,要想控制Windows文件夹下的文件的运行权限,应该写成:
    规则名称:读写权限_Windows
    要包含的进程:*\Windows\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    这样就可以防止Windows文件夹下的未知文件运行,从而达到直接防止病毒激活并运行的目的,让它自娱自乐的机会都没有。
    归纳了一下,有意义的文件权限可以分为:
    1、读写权限——“读 写 执行 创建 删除”别人的权力;
    2、只读权限——“写 创建 删除”别人的权力;
    与以上相关的规则可以称之为“权限规则”。
    3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力;
    4、只读保护——别人“写 创建 删除”保护对象的权力
    与以上相关的规则可以称之为“保护规则”。
    5、双向读写——既管制程序读写别人的权限,又保护对象文件不可读写。
    6、双向只读——既管制程序修改别人的权限,又保护对象文件不被修改。
    以上规则只有全局通配符的规则可以做到,可以称之为“全局规则”。
    如果我们把不同权限与合理的分组结合起来,就可以严密控制,使任意位置的病毒、木马完全瘫痪,没有一丝爆发的机会。这里要特别说明一下,为什么要分组呢?两个原因,一个是咖啡的排除字符数有限制(2599),一个是分组容易区别控制。至于怎样分组为好、分组多少为好,视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架:
    一、读写双向权限(修改默认规则)
    规则名称:阻止对所有共享资源的读写访问
    要包含的进程:**
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\**\*.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    --------------------------------------------
    权限:运行权力+访问保护。
    作用:禁止一切非信任区文件的运行
    对所有本地文件进行访问保护
    禁止所有非exe文件的运行与访问
    禁止所有远程操作
    排除:不要使用绝对路径,目的有二:一是保证规则优先起作用(咖啡规则有一定的优先级,下面专门介绍),规则威力最大;二是方便自定义规则的分组;三是一旦排除就获得双向控制权,反而于安全不利。
    二、只读双向权限(修改默认规则)
    规则名称:将所有共享项设为只读
    要包含的进程:**
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    --------------------------------------------
    这种写法包含了修改与只读两种权限,作用有四:禁止一切非信任区的文件的修改文件,对所有本地文件进行只读保护,禁止所有非exe文件修改本地文件,禁止所有远程修改操作。这里的排除不要用绝对路径,原因同上。
    三、读写权限
    规则名称:读写权限_Windows
    要包含的进程:*\Windows\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除,内存进程参照*\WINDOWS\system32\winlogon.exe排除。
    规则名称:读写权限_C:\Program Files
    要包含的进程:C:\Program Files\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。
    规则名称:分组运行权限_E:\Program Files
    要包含的进程:E:\Program Files\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。这里是把软件装在E盘的写法。如果装在C盘,比较麻烦,可以把进程较多的软件单提出来分组,作为权变,例如C:\Program Files\McAfee\**、C:\Program Files\Microsoft Office\**、C:\Program Files\Common Files\**等。
    四、只读权限
    规则名称:只读权限_Windows
    要包含的进程:*\Windows\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。
    规则名称:只读权限_Program Files
    要包含的进程:*\Program Files*\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。
    五、读写保护
    规则名称:读写保护_Windows
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。需要分组。
    规则名称:读写保护_Program Files
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**\Program Files*\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。需要分组。
    六、只读保护
    规则名称:只读保护_Windows
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。
    规则名称:只读保护_Program Files
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**\Program Files*\**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    -------------------------------------------------
    排除:采用绝对路径排除。
    按权限分组防御系统至此完全形成。总体防护效果是:非信任区一切运行与修改都无法进行,“全局规则”起作用,止步于中期行为,拦截彻底,速度快,无弹窗,无遗漏,日志仅一条;信任区内未排除程序一切运行与修改都无法进行,“只读权限”规则先起作用,如有遗漏,“全局只读”以及相应的“分组访问保护”规则迅速补上,拦截彻底,速度快,无弹窗,日志较少,无遗漏。所以,以上“组以权分,分期防御”组成了一个强大的防御系统,可以完美拦截一切未知程序的所有行为。这种交叉火力防护,是纯后期防御无法达到的。
    下面补充几个问题:
    第一,咖啡规则的优先级。有人说咖啡没有优先级,这是片面的。咖啡规则的优先级很复杂,归纳如下(“>”表示优先于):
    1、杀毒 > 规则
    2、文件规则 > 注册表 > 端口规则
    3、注册表项规则 > 注册表值规则
    4、全局规则 > 权限规则 > 保护规则
    5、全通配符规则 > 带通配符相对路径规则 > 无通配符绝对路径规则 > 单文件规则
    所以,全局规则采用绝对路径排除会降低规则优先级,反而会在应该起作用的时候反应滞后,起不到应有的中期拦截的作用,故用通配符相对路径排除更好。
    第二、要想把规则打造成铁桶,还要做好入口防御和高危过滤。建议设置和补充如下规则:
    规则名称:禁止远程创建/修改可执行文件和配置文件
    要包含的进程:**
    要排除的进程:
    是否勾选报告:是
    --------------------------------
    采用绝对路径排除,只要不排除浏览器,入口就基本扎好了。
    规则名称:文件禁改_exe
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**.exe
    要禁止的文件操作:写入 创建
    -------------------------------------------------
    作用:弥补默认“最大保护”规则防护面积的不足(默认只防了C盘Windows与Program Files文件夹)
    规则名称:文件禁改_dll
    要包含的进程:**
    要排除的进程:
    要阻止的文件或文件夹名:**.dll
    要禁止的文件操作:写入 创建
    -------------------------------------------------
    作用:弥补默认“最大保护”规则防护面积的不足(默认只防了C盘Windows与Program Files文件夹)
    规则名称:高危过滤_文件
    要包含的进程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\Local Settings\Temporary Internet Files\**, *\RECYCLER*\**, *\System Volume Information\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe
    要排除的进程:无
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:否
    -------------------------------------------------
    要包含的进程可以自由添加,包括容易被病毒利用而又不常用的系统文件,以及已知的病毒文件名、双后缀文件名等,相当于黑名单。
    规则名称:高危过滤_注册表项
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
    要保护的注册表项目或注册表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
    要保护的注册表项或注册表值:项
    要阻止的注册表:写入 创建 删除
    是否勾选报告:否
    -------------------------------------------------
    一般不用添加排除。
    13 规则名称:高危过滤_注册表值
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
    要保护的注册表项目或注册表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
    要保护的注册表项或注册表值:值
    要阻止的注册表:写入 创建 删除
    是否勾选报告:否
    -------------------------------------------------
    一般不用添加排除。
    第三、设置规则必须全盘考虑,尽量做到滴水不漏。规则最好自己设置、排除,这样才能完全适合自己,排除容量才会够用。
    第四、一条规则误排除没有关系,全部误排除才会中毒,这就是分组分权限详细设置规则的优势,当然,打磨的难度的确大大增加。如果你是一个爱好折腾、追求高安全的人,其乐无穷!
    第五、打磨规则是有顺序的。尽量按照咖啡的优先级逐个打磨,即全局规则——>权限规则——>保护规则——>文件规则。打磨一个规则时,只勾选报告,完成后再勾选阻止,而其它规则一律不阻止、不报告。这样逐个磨出来的规则会减少许多重复排除,对系统运行的影响可以降到最低。
    最后的关键:其它的默认规则也尽量采用绝对路径排除,降低优先级,这样就把全局规则推到最高优先级别,使整套规则形成这样一种优先级别合理、按权限分组、分期行为交叉防御的高效的强大体系:
    全局规则——>分组权限规则——>分组保护规则——>文件权限规则——>文件保护规则。
    如果你详细阅读并理解了以上内容,就可以进入规则打磨了。
    下面把自己XP下的8.8实机规则完整贴出来,供大家打磨规则时参考,欢迎批评指正!
    ----------------------------默认规则---------------------------------------
    《防间谍程序标准保护》
    规则名称:保护Internet Explorer收藏夹和设置
    要包含的进程:**
    要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, E:\Program Files\CCleaner\CCleaner.exe
    是否勾选报告:否
    《防间谍程序最大保护》
    规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\Restore\rstrui.exe
    是否勾选报告:否
    规则名称:禁止所有程序从 Temp 文件夹运行文件
    要包含的进程:**
    要排除的进程:C:\Windows\System32\cleanmgr.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
    是否勾选报告:是
    规则名称:禁止从 Temp 文件夹执行脚本
    要包含的进程:?script.exe
    要排除的进程:无
    是否勾选报告:否
    《防病毒标准保护》
    规则名称:禁止禁用注册表编辑器和任务管理器
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:是
    规则名称:禁止更改用户权限策略
    要包含的进程:**
    要排除的进程:C:\Windows\system32\lsass.exe
    是否勾选报告:是
    规则名称:禁止远程创建/修改可执行文件和配置文件
    要包含的进程:*.*
    要排除的进程:*\Windows\system32\wbem\WMIADAP.EXE, *\Windows\system32\winlogon.exe, C:\Program Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\**\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\defrag.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\ie4uinit.exe, C:\Windows\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\system32\msdt.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\Windows\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\Windows\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee*.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\Macromedia\Flash*\Flash.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\**\*.exe
    是否勾选报告:是
    规则名称:禁止远程创建自动运行文件
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:否
    规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:否
    规则名称:禁止伪装 Windows 进程
    要包含的进程:**
    要排除的进程:C:\Windows\explorer.exe
    是否勾选报告:否
    规则名称:禁止群发邮件蠕虫发送邮件
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:是
    规则名称:禁止 IRC 通信
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:是
    规则名称:禁止使用 tftp.exe
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\wbem\wmiprvse.exe
    是否勾选报告:是
    《防病毒最大保护》
    规则名称:禁止 Svchost 执行非 Windows 可执行文件
    要包含的进程:svchost.exe
    要排除的进程:无
    是否勾选报告:否
    规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
    要包含的进程:**
    要排除的进程:C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\dwwin.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\Adobe\Adobe Photoshop CS*\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE
    是否勾选报告:是
    规则名称:禁止更改所有文件扩展名的注册
    要包含的进程:**
    要排除的进程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
    是否勾选报告:否
    规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
    要包含的进程:**
    要排除的进程:C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\explorer.exe, C:\Windows\helppane.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\system32\dwwin.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\powercfg.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchProtocolHost.exe, C:\Windows\System32\svchost.exe, C:\Windows\system32\verclsid.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\Macromedia\Flash 8\Flash.exe, E:\Program Files\McAfee\**\*.exe, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
    是否勾选报告:是
    《防病毒爆发控制》
    规则名称:将所有共享项设为只读
    要包含的进程:*.*
    要排除的进程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    是否勾选报告:是
    规则名称:阻止对所有共享资源的读写访问
    要包含的进程:*.*
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    是否勾选报告:是
    《通用标准保护》
    规则名称:禁止修改 McAfee 文件和设置
    要包含的进程:**
    要排除的进程:C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\VirusScan Enterprise\VsTskMgr.exe
    是否勾选报告:是
    规则名称:禁止修改 McAfee Common Management Agent 文件和设置
    要包含的进程:**
    要排除的进程:C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
    是否勾选报告:是
    规则名称:禁止修改 McAfee 扫描引擎文件和设置
    要包含的进程:**
    要排除的进程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
    是否勾选报告:是
    规则名称:保护 Mozilla 及 FireFox 文件和设置
    要包含的进程:**
    要排除的进程:C:\Program Files\**\*.*, E:\Program Files\**\*.*
    是否勾选报告:是
    规则名称:保护 Internet Explorer 设置
    要包含的进程:**
    要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe
    是否勾选报告:是
    规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
    要包含的进程:**
    要排除的进程:E:\Program Files\McAfee\**\*.exe
    是否勾选报告:是
    规则名称:保护网络设置
    要包含的进程:**
    要排除的进程:C:\Windows\system32\services.exe, C:\Windows\System32\svchost.exe, E:\Program Files\McAfee\**\*.exe
    是否勾选报告:是
    规则名称:禁止公用程序从 Temp 文件夹运行文件
    要包含的进程:eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
    要排除的进程:无
    是否勾选报告:是
    规则名称:在 Internet Explorer 中禁用 HCP URL
    要包含的进程:iexplore.exe, wmplayer.exe
    要排除的进程:无
    是否勾选报告:是
    规则名称:防止终止 McAfee 进程
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:是
    《通用最大保护》
    规则名称:禁止将程序注册为自动运行
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe
    是否勾选报告:是
    规则名称:禁止将程序注册为服务
    要包含的进程:**
    要排除的进程:C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DllHost.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\SearchIndexer.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\vssvc.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\**\*.exe, E:\Program Files\Kingsoft\webshield\*.exe, E:\Program Files\McAfee\**\*.exe
    是否勾选报告:是
    规则名称:禁止在 Windows 文件夹中创建新的可执行文件
    要包含的进程:*.*
    要排除的进程:C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe
    是否勾选报告:是
    规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
    要包含的进程:**
    要排除的进程:E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
    是否勾选报告:是
    规则名称:禁止从 Downloaded Program Files 文件夹启动文件
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:是
    规则名称:禁止 FTP 通信
    要包含的进程:**
    要排除的进程:无
    是否勾选报告:是
    规则名称:禁止 HTTP 通信
    要包含的进程:**
    要排除的进程:C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
    是否勾选报告:是
    《虚拟机保护》
    规则名称:防止终止 VMWare 进程
    要包含的进程:**
    要排除的进程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
    是否勾选报告:是
    规则名称:禁止修改 VMWare Workstation 文件和设置
    要包含的进程:**
    要排除的进程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
    是否勾选报告:是
    规则名称:禁止修改 VMWare Server 文件和设置
    要包含的进程:**
    要排除的进程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
    是否勾选报告:是
    规则名称:禁止修改 VMWare 虚拟机文件
    要包含的进程:**
    要排除的进程:C:\Program Files\**\*.*, C:\WINDOWS\**\*.*, E:\Program Files\**\*.*
    是否勾选报告:是
    ----------------------------用户定义的规则-----------------------------------------
    01 规则名称:全局只读保护_注册表项
    要包含的进程:**
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要保护的注册表项目或注册表值:HKALL /**
    要保护的注册表项或注册表值:项
    要阻止的注册表:写入 创建 删除
    是否勾选报告:是
    02 规则名称:全局只读保护_注册表项
    要包含的进程:**
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\**\*.exe, E:\AloneSbck\**\*.exe, E:\KangXiDict\**\*.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要保护的注册表项目或注册表值:HKALL /**
    要保护的注册表项或注册表值:值
    要阻止的注册表:写入 创建 删除
    是否勾选报告:是
    03 规则名称:全局控制端口_入站
    要包含的进程:*.*
    要排除的进程:cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe
    要阻止的端口:1-65535
    方向:入站
    是否勾选报告:是
    04 规则名称:全局控制端口_出站
    要包含的进程:*.*
    要排除的进程:C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
    要阻止的端口:1-65535
    方向:出站
    是否勾选报告:是
    05 规则名称:读写权限_Windows
    要包含的进程:*\Windows\**
    要排除的进程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\cleanmgr.exe, C:\WINDOWS\system32\cmd.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dumprep.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\IME\TINTLGNT\TINTSETP.EXE, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\ntbackup.exe, C:\WINDOWS\system32\Restore\rstrui.exe, C:\WINDOWS\system32\rsmsink.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\sndrec32.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\Taskmgr.exe, C:\WINDOWS\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\System32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    06 规则名称:读写权限_C:\Program Files
    要包含的进程:C:\Program Files\**
    要排除的进程:C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\Common Files\Microsoft Shared\IME\IMSC40A\IMSCMIG.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\LMS\LMS.exe, C:\Program Files\Intel\Intel(R) Management Engine Components\UNS\UNS.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    07 规则名称:读写权限_E:\Program Files
    要包含的进程:E:\Program Files\**
    要排除的进程:E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\MCUPDATE.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    08 规则名称:只读权限_Windows
    要包含的进程:*\Windows\**
    要排除的进程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, *\WINDOWS\system32\winlogon.exe. C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    09 规则名称:只读权限_Program Files
    要包含的进程:*\Program Files*\**
    要排除的进程:C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\setup_wm.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSeeQV10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cfplogvw.exe, E:\Program Files\COMODO\COMODO Internet Security\cfpupdat.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HA_GoldWave557_HZ\GoldWave.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\KWSMain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\Macromedia\Flash*\Flash.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\*.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    10 规则名称:读写保护Windows_W
    要包含的进程:**
    要排除的进程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\ctfmon.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\DfrgNtfs.exe, C:\WINDOWS\system32\logonui.exe, C:\WINDOWS\system32\lsass.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\spoolsv.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\WatchData\Watchdata CCB CSP v3.2\WDKeyMonitorCCB.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    11 规则名称:读写保护Windows_C:\P
    要包含的进程:**
    要排除的进程:*\Windows\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\Macrovision Shared\FLEXnet Publisher\FNPLicensingService.exe, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    12 规则名称:读写保护Windows_E:\P
    要包含的进程:**
    要排除的进程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe, H:\**\*.exe
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    13 规则名称:读写保护Program Files_W
    要包含的进程:**
    要排除的进程:*\WINDOWS\system32\csrss.exe, *\WINDOWS\system32\winlogon.exe, C:\Program Files\**\*.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\verclsid.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, E:\Program Files\**\*.exe
    要阻止的文件或文件夹名:**\Program Files*\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    14 规则名称:读写保护Program Files_C:\P
    要包含的进程:**
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Common Files\McAfee\SystemCore\EntVUtil.EXE, C:\Program Files\CyberLink\YouCam\YouCam.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\ScanDrv6\5000\ScanDrv.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\system32\NOTEPAD.EXE, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, , E:\Program Files\**\*.exe
    要阻止的文件或文件夹名:**\Program Files*\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    15 规则名称:读写保护Program Files_E:\P
    要包含的进程:**
    要排除的进程:*\WINDOWS\**\*.exe, C:\Program Files\**\*.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\naPrdMgr.exe, E:\Program Files\McAfee\Common Framework\udaterui.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\TTKN\CAJViewer 7.0\CAJViewer.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\WinRAR\WinRAR.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe, E:\Program Files\植物大战僵尸绿色版\PlantsVsZombies.exe
    要阻止的文件或文件夹名:**\Program Files*\**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    16 规则名称:只读保护_Windows
    要包含的进程:**
    要排除的进程:*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\Microsoft.NET\Framework\v2.0.50727\mscorsvw.exe, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\*\update\update.exe, C:\WINDOWS\system32\imapi.exe, C:\WINDOWS\system32\mmc.exe, C:\WINDOWS\system32\mspaint.exe, C:\WINDOWS\system32\notepad.exe, C:\WINDOWS\system32\rundll32.exe, C:\WINDOWS\system32\services.exe, C:\WINDOWS\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\ESET_VC52_Scan 1.0.1.0\ESET_VC52_Scan 1.0.1.0.exe
    要阻止的文件或文件夹名:**\Windows\**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    17 规则名称:只读保护_Program Files
    要包含的进程:**
    要排除的进程:C:\Program Files\CCBComponents\Detector\CCBDetector.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\WINDOWS\Explorer.EXE, E:\Program Files\Adobe\Adobe Photoshop CS3\Photoshop.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\工具\**\*.exe
    要阻止的文件或文件夹名:**\Program Files*\**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    18 规则名称:只读保护_exe
    要包含的进程:**
    要排除的进程:C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
    要阻止的文件或文件夹名:**.exe
    要禁止的文件:写 创建
    是否勾选报告:是
    19 规则名称:只读保护_dll
    要包含的进程:**
    要排除的进程:C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\system32\svchost.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScript_InUse.exe
    要阻止的文件或文件夹名:**.dll
    要禁止的文件:写 创建
    是否勾选报告:是
    20 规则名称:高危过滤_文件
    要包含的进程:*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\Local Settings\Temporary Internet Files\**, *\RECYCLER*\**, *\System Volume Information\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe
    要排除的进程:无
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    21 规则名称:高危过滤_注册表项
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
    要保护的注册表项目或注册表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
    要保护的注册表项或注册表值:项
    要阻止的注册表:写入 创建 删除
    是否勾选报告:是
    22 规则名称:高危过滤_注册表值
    要包含的进程:**
    要排除的进程:C:\WINDOWS\system32\ctfmon.exe, E:\Program Files\CCleaner\CCleaner.exe
    要保护的注册表项目或注册表值:HKCU /Software/Microsoft/Windows/CurrentVersion/Run/**
    要保护的注册表项或注册表值:值
    要阻止的注册表:写入 创建 删除
    是否勾选报告:是
    23 规则名称:全局双向读写_非P
    要包含的进程:**
    要排除的进程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    是否勾选报告:是
    24 规则名称:全局双向只读_非P
    要包含的进程:**
    要排除的进程:*\Windows\**\*.exe, C:\Program Files\**\*.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\**\*.exe, H:\**\*.exe
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    是否勾选报告:是
    写在后面:
    一、本文在理解与应用咖啡规则方面有几个基础性突破:
    1、分期防御,完美防止病毒爆发。
    2、廓清权限,程序控制更加方便。
    3、辨明优先级,使规则打造和防御更加高效。
    二、诚如版主所言,本文的规则是“按时间分组”,个人认为,这样做安全性高于“纵向分组”。要想纵向分组,可以对“权限规则”这样设置:
    规则名称:系统组:读写权限
    要包含的进程:*\Windows\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    规则名称:安全软件组:读写权限
    要包含的进程:*\McAfee\**, *\COMODO\**, *\Kingsoft\webshield\**
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:读 写 执行 创建 删除
    规则名称:浏览器组:只读权限
    要包含的进程:iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    规则名称:P2P软件组:只读权限
    要包含的进程:*\Thunder\**, ……
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    规则名称:常用软件组:只读权限
    要包含的进程:*\Microsoft Office\OFFICE*\**, ……
    要排除的进程:
    要阻止的文件或文件夹名:**
    要禁止的文件:写 创建 删除
    然后配合以合适的全局规则、保护规则。这样做效果一样,但设置更加复杂。
    三、本文规则要想安装程序,必须关闭“访问保护”,如果想要不关闭“访问保护”就安装程序,请参考叶知规则,加入相关排除,并设置“关闭程序安装管道”规则。在这里,首先要向叶知致敬!安装规则应该是他的专利,本人规则中永远不会加入,以示尊重。
    四、文中的Windows XP实机规则经过本人几个月的完善和测试,安全与性能很是理想,推荐追求高安全的有兴趣折腾的朋友参考打磨!