Mcafee 8.5i杀毒软件规则配置2008-01-27 19:06mcafee 8.5i杀毒软件规则配置

基本概念：
HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统：
FD：File Defend，文件防御体系
AD：Application Defend，应用程序防御体系
RD：Registry Defend，注册表防御体系

McAfee VirusScan Enterprise v8.5i通鉴

一、软件安装
一、安装流程：
1、安装McAfee VirusScan Enterprise v8.5i，安装的最后不要选择“立即更新”
2、安装反间谍模块McAfee Anti-Spyware Enterprise Module v8.5
3、设置McAfee，导入自定义规则
4、升级病毒库，第一次升级很慢，而且往往不成功，最好下载superDAT安装，或者在“AutoUpdate”中设置固定时间让McAfee在后台自动升级，至此，安装已基本完成。
5、安装附加病毒库Extra.DAT，选择C:/Program Files/Common Files/McAfee/Engine路径。需要说明的是，附加病毒库列举的病毒都是疑似病毒，可能造成误报，当McAfee确认是真正的病毒后，将在下一次的病毒库升级时自动下载并加入到最新的标准病毒库中。如果Extra.DAT是错误的，将导致McAfee无法打开“按访问扫描程序”，另外，McAfee不支持附加病毒库的按访问扫描（监控），即如果此病毒被列入附加病毒库中，当McAfee监控到此病毒时，McAfee不会报毒，只有“按需扫描”时才会报毒，综上，附加病毒库不必安装。
6、关闭“访问保护”，将帮助文件更名为Vse，复制到D:/security/mcafee/VirusScan Enterprise/Res0402中即可在控制台中调用官方帮助文件。

二、病毒库备份：
1、病毒库位置在“系统盘:/Program Files/Common Files/McAfee/Engine”目录中，备份其中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文件，重装McAfee后，将这三个备份的DAT文件copy回“系统盘:/Program Files/Common Files/McAfee/Engine”目录，重启即可。
2、官方病毒库：（其中1234为DAT版本）http://www.mcafee.com/apps/downl ... ;segment=enterprise
http://download.nai.com/products ... lified/sdat1234.exe
3、病毒库数量:http://vil.nai.com/vil/DATReadme.aspx

三、7个进程：Frameworkservice.exe（升级），Mcshield.exe（实时监控），Mctray.exe，naPrdMgr.exe，SHSTAT.exe（任务栏图标），UdaterUI.exe（升级），Vstskmgr.exe（控制台）

二、软件设置
以下设置中没提到的均按照默认设置?br /> 一、“控制台”－“工具”－“用户界面选项”，取消“允许此系统与其他系统建立远程控制台连接”。

二、Quarantine文件夹在C盘根目录下，实在是有碍观瞻，我们可以把文件夹移至C:/Documents and Settings/Quarantine下，在设置中，凡遇到需要这个选项时，均选择该文件夹。

三、日常使用中，所有的“报告”都可以关闭。

四、“电子邮件传递扫描”
1、“高级”－“启发式分析”中将“查找带有多个扩展名的附件”选中。
2、“操作”&“有害程序”－“发现威胁时”&“发现有害附件时”，“辅助操作”均选择“删除附件”。

五、“按访问扫描程序”：
1、“常规设置”—“常规”
1.1取消“在关机过程中扫描软盘”。
1.2“扫描时间”一栏中，“存档文件最长扫描时间”可以调成5秒，这样在进入含有大型程序的文件夹时，McAfee读取这些大型文件不会读取太久。“最长扫描时间”默认45秒即可。

2、“所有进程”
在“检测项”一栏中，如果在局域网上，可以选中“在网络驱动器上”。

六、“隔离管理器策略”中，“自动删除隔离数据”选择“1天”。

七、“完全扫描”和“目标扫描”，在“检测”－“压缩文件”一栏中，这里不是实时保护，所以需要检测压缩包，两个选项均须选中，除此以外的所有设置中，这两个选项都可以不选。

八、“AutoUpdate”中，点击“计划”—“计划”，McAfee每日更新，“起始时间”一般是调成比较频繁的上网时段，“启用随机选择”为开机10分钟即可。

三、访问保护
一、特别申明：系统升级、软（硬）件安装与卸载时，要暂停“访问保护”，切记切记！?/p>

二、说明
1、McAfee的杀毒凌驾于一切规则之上！即设置规则禁止对染毒文件做任何操作，在McAfee杀毒时，该规则失效。所以不要介意将规则中的“删除”选项选中，因为即使禁止删除该文件，若该文件染毒，McAfee一样照杀不误。
2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。
3、双星号(**)表示在反斜线(/)字符前后任意多个层级的目录，即文件夹可以新建，但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称，（*.*）表示任何文件，不包括文件夹，即只有一层文件夹内的文件被保护。
（/**）与（/**/*）均表示在当前目录下任意多个层级目录里的任何文件和文件夹。
4、在“要禁止的文件操作”里，除了“创建”外，其余四项都是对已有的文件进行操作，一般情况下，“写入”、“创建”和“删除”可以一同禁止，而且禁止“写入”有时需要禁止“创建”，否则系统会在此文件夹中创建TMP*.tmp的临时文件（垃圾文件）。
5、读取：对已有的文件进行读取操作，但不执行文件的内容；
写入：对已有的文件进行写入操作，即对文件的内容进行修改，删除等；
执行：对已有的文件进行执行操作，即执行文件的内容；
创建：在文件夹中创建一个新的文件；
删除：对已有的文件进行删除操作，包括修改文件名。
6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明：
空白项：默认状态，无任何意义。
HKLM：表示HKEY_LOCAL_MACHINE主键。
HKCU：表示HKEY_CURRENT_USER主键。
HKCR：表示HKEY_CLASSES_ROOT主键。
HKCCS：表示HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM：表示HKCU+HKLM+HKEY_USER三大主键。
HKALL：表示所有主键。可以近似地当作自定义项来使用。
7、将“访问保护”中所有的“报告”取消，则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止，且用户尚未查看报告。
8、“阻止”与“报告”若同时选中，则既阻止又报告；若只选中“阻止”，则只阻止不报告；若只选中“报告”，则只报告不阻止。
9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。
10、“访问保护”不支持环境变量。环境变量的出现，是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法，比如windows2000的系统文件夹是WINNT，而windows XP的系统文件夹是WINDOWS，如果在2000下使用绝对路径编写的规则，在XP下就会失效，为了解决这一问题，McAfee在8.0i版时允许使用环境变量，比如%windir%无论在任何系统内都表示系统文件夹，这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了，原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少，随着windows vista以及电脑高端配置的出现，使用XP以上系统的用户会越来越多，而XP系统已成为了最基本的操作系统，因此从8.5i版开始，McAfee将只认可XP以上的系统，规则的通用性自然就会以XP系统为底线来编写，所以环境变量的存在已失去意义，当然就会退出舞台咯。
11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名，该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件，而非监控软件，“访问保护”只是辅助杀毒的一种手段，通过McAfee的内置规则不难看出，McAfee只提供对系统文件夹的保护，而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的，所以对McAfee来说，他的内置规则是不受文件夹更名威胁的。前面也说了，McAfee不是做监控或者保密软件的，他不支持保护个人的隐私文件和文件夹，那是否McAfee就因此也不保护一些重要的文件呢，不是，McAfee会保护全盘下的某一类文件，如**/*.exe，但是这样又会给使用带来诸多不便，从而影响实用性，可操作性也大大降低，在此种情况下，排除进程应运而生，所以编写规则时应尽量避免非系统文件夹的出现，使用通配符*，再配合排除进程才是最完美的规则。
12、规则越多，监控的负担越大。规则的编写应该具有总结性，应该是某一类行为的概括，应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据，将所有的规则分为“层”，例如，当“访问保护”开启时，用户“执行”的任何操作，McAfee都会将之与所有包含“执行”的规则一一比对，如果此时规则很多，可想而知，监控的负担会变大，使用会变的迟缓，当然，对于高配置计算机，这个变化也许不是很明显，但系统资源仍会被消耗。
13、HIPS：Host Intrusion Prevent System 主机入侵防御系统，包括以下三种防御系统：
FD：File Defend，文件防御体系
AD：Application Defend，应用程序防御体系
RD：Registry Defend，注册表防御体系
 

三、访问保护中需要排除的进程
1、说明：
1.1以下未提及者排除项均为“空”！因为McAfee的内置规则中排除进程太多，安全性降低，绝大多数进程可删除。

1.2红字部分为应用软件，用户可根据不同的使用环境与自身需要情况而调整，为方便用户阅读，故显示为红色。

1.3排除进程中不赞成使用通配符*，因为病毒会伪装成任何进程，风险度提高，建议使用绝对路径。

1.4“用户自定义的规则”里的“2、禁止在计算机中创建新文件”，在“要排除的进程”中不必加入McScript.exe。原因如下：当McAfee升级病毒库时，需调用FrameworkService.exe和McScript_InUse.exe两个进程，这两个进程中任何一个被阻止，升级都将失败。当FrameworkService.exe被阻止时，McAfee会调用McScript.exe进程来做一些升级失败的善后事情，而当McScript_InUse.exe被阻止时，McAfee却不会再调用其他程序了，升级会直接失败。当升级成功，也就是说FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了，McScript.exe进程也不会被调用，因为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。

1.5对于部分应用软件进程排除的说明：
1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”，必要时需暂时停用“访问保护”。
1.5.2部分应用软件需开机运行的，如迅雷、鱼鱼桌面秀等，要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。
1.5.3如果将应用软件一一排除的话，不仅工作量大，且排除进程多了，安全性降低了，另外应用软件的设置一般都是一次性的工作，排除进程的话没有任何意义，因此，需要排除的进程，必然不是一次性的工作，比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时，就需要排除该进程了。
1.5.4应用软件的进程名有时会随着该软件版本的升级而改变，需要实时关注，比如迅雷，现在是Thunder5.exe，等版本升级到迅雷6时，可能进程会改名为Thunder6.exe。

1.6排除路径中有一种以“/??/”或“//?/”打头的路径，编写规则时若将“/??/”或“//?/”去掉的话便无法排除该进程，这是因为该进程已注入内存，所以在排除时已不是原路径，而是内存中的路径，所以需要以“/??/”或“//?/”打头。“/??/”表示内存中的单个进程，多为系统进程，如??/C:/WINDOWS/system32/csrss.exe；“//?/”表示在内存中除自身进程外，还注入在内存其他进程中，多为应用程序进程。

2、进程排除：
2.1“防间谍程序标准保护”：
氨；?Internet Explorer 收藏夹和设置”，排除C:/Program Files/Internet Explorer/IExplore.exe,C:/WINDOWS/system32/rundll32.exe,C:/WINDOWS/Explorer.exe,C:/Program Files/Maxthon/Maxthon.exe
说明：排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹；排除Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏；当rundll32.exe与Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置；排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。

2.2“防间谍程序最大保护”：
敖 顾 谐绦虼?Temp 文件夹运行文件”，排除D:/security/mcafee/Common Framework/McScript_InUse.exe。
说明：排除McScript_InUse.exe是允许McAfee升级病毒库。

2.3“防病毒最大保护”：
2.3.1“禁止更改所有文件扩展名的注册”，排除C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe。
说明：排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。

2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”，排除C:/Program Files/Maxthon/Maxthon.exe。
说明：排除Maxthon.exe是允许遨游浏览器可以进行网页（论坛）下载。

2.4“通用标准保护”：
2.4.1“禁止修改 McAfee 文件和设置”，排除D:/security/mcafee/VirusScan Enterprise/VsTskMgr.exe。
说明：排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。

2.4.2“禁止修改 McAfee Common Management Agent 文件和设置”，排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe。
说明：排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.4.3“禁止修改 McAfee 扫描引擎文件和设置”，排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe。
说明：排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中，以便回滚DAT之用

2.5“通用最大保护”：
2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”，排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe。
说明：排除McScript_InUse.exe是允许McAfee升级病毒库。

2.5.2“禁止在 Program Files 文件夹中创建新的可执行文件”，排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe。
说明：排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.5.3“禁止 FTP 通信”，
排除C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Internet Explorer/IExplore.exe,C:/Program Files/Maxthon/Maxthon.exe。
说明：排除Thunder5.exe是允许迅雷可以进行FTP下载；排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。

2.5.4“禁止 HTTP 通信”，
排除C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Maxthon/Maxthon.exe,C:/Program Files/Tencent/QQGAME/QQGame.exe,C:/Program Files/TTPlayer/TTPlayer.exe。
说明：排除FrameworkService.exe是允许McAfee升级病毒库；排除Thunder5.exe是允许迅雷可以进行HTTP下载；排除Maxthon.exe是允许遨游可以上网且不会无故中断；排除QQGame.exe是允许QQ游戏能够运行；排除TTPlayer.exe是允许千千静听可以下载歌词。

四、用户自定义的规则
1、对未知程序的行为控制
说明：该系列规则防护相当强大，使用时需根据使用环境随时调整，但因为排除进程太多，故安全性降低，以“1.1禁止未知程序的任何操作”为例，为了不影响日常使用，排除了浏览器和下载工具，所以并不能阻挡病毒从外部创建到计算机中，虽然可以禁止其执行，但病毒源已存在于计算机中，威胁依然存在，因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。
1.1禁止未知程序的任何操作
要包含的进程：*
要排除的进程：C:/WINDOWS/System32/alg.exe,C:/WINDOWS/system32/ctfmon.exe,/??/C:/WINDOWS/system32/winlogon.exe,/??/C:/WINDOWS/system32/csrss.exe,C:/WINDOWS/system32/lsass.exe,C:/WINDOWS/Explorer.EXE,C:/WINDOWS/System32/svchost.exe,C:/WINDOWS/system32/logonui.exe,C:/WINDOWS/system32/RUNDLL32.EXE,C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/services.exe,C:/Program Files/Internet Explorer/IExplore.exe,C:/WINDOWS/system32/IME/TINTLGNT/TINTSETP.EXE,C:/WINDOWS/IME/imjp8_1/IMJPMIG.EXE,C:/WINDOWS/system32/taskmgr.exe,C:/WINDOWS/system32/NOTEPAD.EXE,C:/Program Files/McAfee/Common Framework/McTray.exe,C:/Program Files/McAfee/Common Framework/UdaterUI.exe,C:/Program Files/McAfee/VirusScan Enterprise/VsTskMgr.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/McAfee/VirusScan Enterprise/shstat.exe,C:/Program Files/McAfee/Common Framework/naPrdMgr.exe,C:/Program Files/Thunder/Thunder.exe,C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Maxthon/Maxthon.exe,C:/Program Files/Stardock/Object Desktop/WindowBlinds/wbconfig.exe,C:/Program Files/Styler/Styler.exe,C:/Program Files/Stardock/Object Desktop/IconPackager/IconPackager.exe,C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe,C:/Program Files/Microsoft Office/OFFICE11/WINWORD.EXE,C:/Program Files/Microsoft Office/OFFICE11/EXCEL.EXE,C:/Program Files/Microsoft Office/OFFICE11/POWERPNT.EXE,C:/Program Files/WinRAR/WinRAR.exe,C:/Program Files/TTPlayer/TTPlayer.exe,C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe,C:/Program Files/Wopti/WoptiUtilities.exe,C:/Program Files/鱼鱼软件/鱼鱼桌面秀/XDeskShow.exe,C:/Program Files/Tencent/QQ/QQ.exe,C:/Program Files/Tencent/QQ/CoralQQ.exe,C:/Program Files/Tencent/QQGAME/QQGame.exe,C:/PROGRA~1/KMplayer/KMPlayer.exe,C:/PROGRA~1/NFSU2/speed2.exe
要阻止的文件或文件夹名：**/*
要禁止的文件操作：读取、写入、执行、创建、删除
说明：该规则属于FD的极致规则，类似于AD，利用FD模仿AD的行为控制，但并不如真正的AD完美与强大，若McAfee与具备AD的HIPS相配合，该规则就没有存在的意义了。排除进程中黑字为系统进程，蓝字为McAfee进程，这两种进程如无必要，无需调整，红字为应用软件，需根据用户使用环境调整。

1.2禁止未知程序的任何网络行为
要包含的进程：*
要排除的进程：C:/WINDOWS/system32/svchost.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/Tencent/QQ/QQ.exe,C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Maxthon/Maxthon.exe,C:/Program Files/Tencent/QQGAME/QQGame.exe,C:/Program Files/TTPlayer/TTPlayer.exe
要阻止端口：1～65535
方向：入站、出站
说明：该规则类似于防火墙，阻止了不信任程序对网络的访问。排除进程中黑字为系统进程，蓝字为McAfee进程，这两种进程如无必要，无需调整，红字为应用软件，需根据用户使用环境调整。

1.3禁止未知程序的任何注册表行为
说明：该系列规则属于RD的极致规则。需要注意的是，若“1.1禁止未知程序的任何操作”开启，则该系列规则毫无意义，因为排除进程是一样的，所以不被“1.1禁止未知程序的任何操作”阻挡的进程，也必然不会被该系列规则阻挡，反之，已经被“1.1禁止未知程序的任何操作”阻挡的进程，也没有能力再碰触到该系列规则了。因为“1.1禁止未知程序的任何操作”是FD模仿了AD的行为控制，反之AD却无法模仿FD，总体来说FD应该是HIPS中最强大的防御系统，如果FD与AD相配合达到对计算机的完全保护，那么即使是RD中属于极致的规则都变得多余了，因此可以得出FD强于AD，AD强于RD，但三者其实各有所长，对于不同的用户群，FD、AD和RD都发挥着各自的能力。
1.3.1禁止未知程序的任何注册表行为(项)
要包含的进程：*
要排除的进程：同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值：HKALL/**
规则类型：项
要阻止的注册表操作：写入、创建、删除

1.3.2禁止未知程序的任何注册表行为(值)
要包含的进程：*
要排除的进程：同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值：HKALL/**
规则类型：值
要阻止的注册表操作：写入、创建、删除

2、禁止在计算机中创建新文件
说明：该系列规则对部分格式文件禁止写入、创建和删除，以主要操作“创建”而命名这一系列规则，同时也为了与内置规则“禁止在 Windows 文件夹中创建新的可执行文件”相对应，该系列规则在“要禁止的文件操作”中不可选中“执行”，因为“执行”的操作在排除进程上要比“写入、创建、删除”的操作多的多，故从安全性考虑，该系列规则与“1、对未知程序的行为控制”系列规则相配合，才能使“访问保护”趋于完善。
2.01禁止在计算机中创建新的.exe文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/WinRAR/WinRAR.exe,C:/Program Files/Thunder/Program/Thunder5.exe
要阻止的文件或文件夹名：**/*.exe
要禁止的文件操作：写入、创建、删除
说明：排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库；排除Explorer.exe是为了日常使用时不受该规则限制，例如复制、粘贴、移动、删除等等的操作；排除WinRAR.exe是允许压缩软件释放压缩包，尤其是绿色软件；排除Thunder5.exe是允许迅雷下载软件。

2.02禁止在计算机中创建新的.dll文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.dll
要禁止的文件操作：写入、创建、删除
说明：该规则的排除进程基本与2.01规则一样，仅仅去除了对Thunder5.exe的排除，因为日常使用中，一般不会用迅雷下载DLL文件，以下的规则中不排除Thunder5.exe皆是此理。

2.03禁止在计算机中创建新的.bat文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.bat
要禁止的文件操作：写入、创建、删除
说明：排除WinRAR.exe是允许绿色软件可以直接解压使用；排除Explorer.exe也是允许绿色软件可以复制、粘贴、移动、删除等等的日常操作。

2.04禁止在计算机中创建新的.chm文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.chm
要禁止的文件操作：写入、创建、删除

2.05禁止在计算机中创建新的.com文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.com
要禁止的文件操作：写入、创建、删除

2.06禁止在计算机中创建新的.cpl文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.cpl
要禁止的文件操作：写入、创建、删除

2.07禁止在计算机中创建新的.ini文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/WinRAR/WinRAR.exe,C:/Program Files/Styler/Styler.exe,C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe,C:/Program Files/Wopti/WoptiUtilities.exe
要阻止的文件或文件夹名：**/*.ini
要禁止的文件操作：写入、创建、删除
说明：该规则有些特殊，需要排除FrameworkService.exe与McScript_InUse.exe进程，目的是允许McAfee升级病毒库；除此，还需要排除一些常用的应用软件，许多应用软件在使用中都需要写入ini文件，为方便日常使用，因此加以排除。

2.08禁止在计算机中创建新的.msc文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.msc
要禁止的文件操作：写入、创建、删除

2.09禁止在计算机中创建新的.msi文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.msi
要禁止的文件操作：写入、创建、删除

2.10禁止在计算机中创建新的.ocx文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.ocx
要禁止的文件操作：写入、创建、删除

2.11禁止在计算机中创建新的.pif文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.pif
要禁止的文件操作：写入、创建、删除

2.12禁止在计算机中创建新的.scr文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.scr
要禁止的文件操作：写入、创建、删除

2.13禁止在计算机中创建新的.sys文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.sys
要禁止的文件操作：写入、创建、删除

2.14禁止在计算机中创建新的.vbs文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.vbs
要禁止的文件操作：写入、创建、删除

2.15禁止在计算机中创建新的.vxd文件
要包含的进程：*
要排除的进程：C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名：**/*.vxd
要禁止的文件操作：写入、创建、删除

2.16禁止在计算机中创建新的autorun.inf文件
要包含的进程：*
要阻止的文件或文件夹名：**/autorun.inf
要禁止的文件操作：读取、写入、执行、创建、删除
说明：该规则不同于该系列规则中的其他规则，目的是禁止某些病毒的自动运行

3、禁止部分系统工具的操作
3.1禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程：*
要阻止的文件或文件夹名：**/regedit.exe
要禁止的文件操作：读取、写入、执行、创建、删除
说明：只此一条，就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作，需要注意的是，该规则不属于RD，只通过FD对注册表外部进行保护，RD是对注册表内部进行的保护。

3.2禁止管理工具的操作
要包含的进程：*
要阻止的文件或文件夹名：**/mmc.exe
要禁止的文件操作：读取、写入、执行、创建、删除
说明：管理工具里都是重要的系统工具

3.3禁止格式化命令format的运行
要包含的进程：*
要阻止的文件或文件夹名：**/format.*
要禁止的文件操作：读取、写入、执行、创建、删除
说明：针对一些格式化病毒的防护措施

3.4禁止net命令的运行
要包含的进程：*
要阻止的文件或文件夹名：**/net*.exe
要禁止的文件操作：读取、写入、执行、创建、删除
说明：对远程攻击的防护措施

3.5禁止at命令的运行
要包含的进程：*
要阻止的文件或文件夹名：**/at.exe
要禁止的文件操作：读取、写入、执行、创建、删除
说明：对远程攻击的防护措施

4、保护部分重要的系统文件
4.1保护系统盘根目录下的文件
要包含的进程：*
要阻止的文件或文件夹名：C:/*.*
要禁止的文件操作：写入、创建、删除
说明：系统盘根目录下都是重要的系统文件

4.2保护ghost文件
要包含的进程：*
要阻止的文件或文件夹名：**/*.GHO
要禁止的文件操作：读取、写入、执行、创建、删除
说明：对系统备份进行防护

5、禁止任何远程操作
要包含的进程：System:Remote
要阻止的文件或文件夹名：**/*
要禁止的文件操作：读取、写入、执行、创建、删除
说明：通过文件保护禁止了远程的一切行为

四．保存设置和规则
说明：将HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore和HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection两个注册表项全部导出，包含子项目，即保存了所有设置和规则，再将导出的两个注册表文件合并到一个文件中，若使用时只须导入即可。
一、HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore中包含的规则设置
1.1访问保护：（这个值只有在访问保护关闭时才能访问，一旦导入也将覆盖所有以前的访问保护设置！）
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/On Access Scanner/BehaviourBlocking/AccessProtectionUserRules

1.2缓冲区溢出保护：（其中*表示数字0、1、2、3、4、5……）
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/On Access Scanner/BehaviourBlocking/BOPExclusionProcess_*

1.3电子邮件传递扫描程序：HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/Email Scanner

1.4有害程序策略：（其中*表示数字0、1、2、3、4、5……）
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/NVP/UserDefinedDetection_*

1.5按访问扫描程序：HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/On Access Scanner/McShield/Configuration以及Default（默认设置）、High（高风险进程）、Low（低风险进程）

二、HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection中包含的规则设置
2.1隔离管理器策略：HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection

2.2按需扫描（完全扫描、目标扫描）：
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection/Tasks/{21221C11-A06D-4558-B833-98E8C7F6C4D2}和HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection/DefaultTask（默认）

2.3AutoUpdate：HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection/Tasks/{A14CD6FC-3BA8-4703-87BF-E3247CE382F5}（默认）