mcafee 杀毒软件防火墙下载和病毒库升级及设置教程

 

mcafee 8.5杀毒软件下载

地址https://secure.nai.com/apps/downloads/my_products/login.asp
在Grant Number那里输入
1359125-NAI
可下载到企业版的杀毒(VirusScan Enterprise)和防火墙(Desktop Firewall)
输入
1359155-NAI
可下载到反间谍模块(AntiSpyware).

备用下载地址(12月1日修正版):
(打开页面后需要倒数15秒才会出现下载地址)
http://www.live-share.com/files/106246/McAfee.VirusScan.Enterprise.v8.5i.12.01.rar.html

另一个备用下载地址:
http://jp1888.viptwo99.25idc.com/download/VSE850LML(1).Zip

电驴下载(emule):
ed2k://|file|%5B%E9%BA%A6%E5%92%96%E5%95%A1%E5%8F%8D%E7%97%85%E6%AF%92%E8%BD%AF%E4%BB%B6%E4%BC%81%E4%B8%9A%E7%89%88%5D.VSE850LML.Zip|21074787|b00653bb49406ead9beb99349fb5980e|/

SuperDAT(全部病毒库的安装包)下载
http://www.newhua.com/soft/1763.htm

McAfee VirusScan DAT (最后一次升级的病毒库)下载
http://www.newhua.com/soft/1762.htm

把帮助文档安装到控制台中的方法:
禁用访问保护
解压到 x:/Program Files/McAfee/VirusScan Enterprise/Res0402
开启访问保护

yidabu.com的下载文件放置路径:D:/security/mcafee
在D:/security/mcafee下建立setup目录,把安装文件全部放在这里:
VSE850LML——mcafee8.5i杀毒软件安装文件
VSE850_HelpFile——mcafee8.5i杀毒软件帮助文件
ASEM850LALL——AntiSpyware Enterprise 反间谍软件模块
MDF850_RTW_LEN——mcafee防火墙软件

mcafee 8.5i杀毒软件安装

打开D:/security/mcafee/setup/VSE850LML目录
双击setup.exe开始安装。
许可期类型——永久
国家或地区——中国
安装到,http://www.yidabu.com设置安装到D:/security/mcafee/VirusScan Enterprise/
安装过程让你选择是否“立即更新”,如果防火墙没有挡住的话,可以自动完成更新。
选择“运行按需扫描”,在更新病毒库结束后自动扫描所有硬盘。(知识若不分享 实在没有意义 http://www.yidabu.com)

接下来安装反间谍软件模块。
打开目录D:/security/mcafee/setup/ASEM850LALL
点击VSE85MAS.exe开始安装。安装注意事项同上。

mcafee 8.5i杀毒软件规则配置

基本概念:
HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:
FD:File Defend,文件防御体系
AD:Application Defend,应用程序防御体系
RD:Registry Defend,注册表防御体系

McAfee VirusScan Enterprise v8.5i通鉴
yidabu.com按:很不错的 mcafee配置教程,不知道作者是谁。

一、软件安装
一、安装流程:
1、安装McAfee VirusScan Enterprise v8.5i,安装的最后不要选择“立即更新”
2、安装反间谍模块McAfee Anti-Spyware Enterprise Module v8.5
3、设置McAfee,导入自定义规则
4、升级病毒库,第一次升级很慢,而且往往不成功,最好下载superDAT安装,或者在“AutoUpdate”中设置固定时间让McAfee在后台自动升级,至此,安装已基本完成。
5、安装附加病毒库Extra.DAT,选择C:/Program Files/Common Files/McAfee/Engine路径。需要说明的是,附加病毒库列举的病毒都是疑似病毒,可能造成误报,当McAfee确认是真正的病毒后,将在下一次的病毒库升级时自动下载并加入到最新的标准病毒库中。如果Extra.DAT是错误的,将导致McAfee无法打开“按访问扫描程序”,另外,McAfee不支持附加病毒库的按访问扫描(监控),即如果此病毒被列入附加病毒库中,当McAfee监控到此病毒时,McAfee不会报毒,只有“按需扫描”时才会报毒,综上,附加病毒库不必安装。
6、关闭“访问保护”,将帮助文件更名为Vse,复制到D:/security/mcafee/VirusScan Enterprise/Res0402中即可在控制台中调用官方帮助文件。

二、病毒库备份:
1、病毒库位置在“系统盘:/Program Files/Common Files/McAfee/Engine”目录中,备份其中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文件,重装McAfee后,将这三个备份的DAT文件copy回“系统盘:/Program Files/Common Files/McAfee/Engine”目录,重启即可。
2、官方病毒库:(其中1234为DAT版本)http://www.mcafee.com/apps/downloads/security_updates/superdat.asp?region=us&segment=enterprise
http://download.nai.com/products/licensed/superdat/nai/Chinese/simplified/sdat1234.exe
3、病毒库数量:http://vil.nai.com/vil/DATReadme.aspx

三、7个进程:Frameworkservice.exe(升级),Mcshield.exe(实时监控),Mctray.exe,naPrdMgr.exe,SHSTAT.exe(任务栏图标),UdaterUI.exe(升级),Vstskmgr.exe(控制台)

二、软件设置
以下设置中没提到的均按照默认设置?br /> 一、“控制台”-“工具”-“用户界面选项”,取消“允许此系统与其他系统建立远程控制台连接”。

二、Quarantine文件夹在C盘根目录下,实在是有碍观瞻,我们可以把文件夹移至C:/Documents and Settings/Quarantine下,在设置中,凡遇到需要这个选项时,均选择该文件夹。

三、日常使用中,所有的“报告”都可以关闭。

四、“电子邮件传递扫描”
1、“高级”-“启发式分析”中将“查找带有多个扩展名的附件”选中。
2、“操作”&“有害程序”-“发现威胁时”&“发现有害附件时”,“辅助操作”均选择“删除附件”。(知识若不分享 实在没有意义 http://www.yidabu.com)

五、“按访问扫描程序”:
1、“常规设置”—“常规”
1.1取消“在关机过程中扫描软盘”。
1.2“扫描时间”一栏中,“存档文件最长扫描时间”可以调成5秒,这样在进入含有大型程序的文件夹时,McAfee读取这些大型文件不会读取太久。“最长扫描时间”默认45秒即可。

2、“所有进程”
在“检测项”一栏中,如果在局域网上,可以选中“在网络驱动器上”。

六、“隔离管理器策略”中,“自动删除隔离数据”选择“1天”。

七、“完全扫描”和“目标扫描”,在“检测”-“压缩文件”一栏中,这里不是实时保护,所以需要检测压缩包,两个选项均须选中,除此以外的所有设置中,这两个选项都可以不选。

八、“AutoUpdate”中,点击“计划”—“计划”,McAfee每日更新,“起始时间”一般是调成比较频繁的上网时段,“启用随机选择”为开机10分钟即可。

三、访问保护
一、特别申明:系统升级、软(硬)件安装与卸载时,要暂停“访问保护”,切记切记!?/p>

二、说明
1、McAfee的杀毒凌驾于一切规则之上!即设置规则禁止对染毒文件做任何操作,在McAfee杀毒时,该规则失效。所以不要介意将规则中的“删除”选项选中,因为即使禁止删除该文件,若该文件染毒,McAfee一样照杀不误。
2、“访问保护”支持绝对路径。通鉴中所有规则均以系统盘为C盘编写。
3、双星号(**)表示在反斜线(/)字符前后任意多个层级的目录,即文件夹可以新建,但任何文件夹中的文件均被保护。
一个星号(*)表示任意一个或部分目录名称,(*.*)表示任何文件,不包括文件夹,即只有一层文件夹内的文件被保护。
(/**)与(/**/*)均表示在当前目录下任意多个层级目录里的任何文件和文件夹。
4、在“要禁止的文件操作”里,除了“创建”外,其余四项都是对已有的文件进行操作,一般情况下,“写入”、“创建”和“删除”可以一同禁止,而且禁止“写入”有时需要禁止“创建”,否则系统会在此文件夹中创建TMP*.tmp的临时文件(垃圾文件)。
5、读取:对已有的文件进行读取操作,但不执行文件的内容;
写入:对已有的文件进行写入操作,即对文件的内容进行修改,删除等;
执行:对已有的文件进行执行操作,即执行文件的内容;
创建:在文件夹中创建一个新的文件;
删除:对已有的文件进行删除操作,包括修改文件名。
6、对注册表保护中“要保护的注册表项或注册表值”里面主键的说明:
空白项:默认状态,无任何意义。
HKLM:表示HKEY_LOCAL_MACHINE主键。
HKCU:表示HKEY_CURRENT_USER主键。
HKCR:表示HKEY_CLASSES_ROOT主键。
HKCCS:表示HKEY_LOCAL_MACHINE/SYSTEM/CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM:表示HKCU+HKLM+HKEY_USER三大主键。
HKALL:表示所有主键。可以近似地当作自定义项来使用。
7、将“访问保护”中所有的“报告”取消,则任务栏图标中的红框就会消失。这个红框的出现是提醒用户当前“访问保护”有规则阻止,且用户尚未查看报告。
8、“阻止”与“报告”若同时选中,则既阻止又报告;若只选中“阻止”,则只阻止不报告;若只选中“报告”,则只报告不阻止。
9、“通用最大保护”中的“禁止在 Windows 文件夹中创建新的可执行文件”与“禁止在 Program Files 文件夹中创建新的可执行文件”两个规则中项名所谓的“可执行文件”包括.exe和.dll两种格式的文件。
10、“访问保护”不支持环境变量。环境变量的出现,是McAfee为了解决规则在不同的操作系统下由于路径的问题而失效的一种办法,比如windows2000的系统文件夹是WINNT,而windows XP的系统文件夹是WINDOWS,如果在2000下使用绝对路径编写的规则,在XP下就会失效,为了解决这一问题,McAfee在8.0i版时允许使用环境变量,比如%windir%无论在任何系统内都表示系统文件夹,这样就使得规则具有了通用性。但是McAfee在8.5i版时将环境变量取消了,原因是因为McAfee认为现在使用2000以下系统的用户已逐步减少,随着windows vista以及电脑高端配置的出现,使用XP以上系统的用户会越来越多,而XP系统已成为了最基本的操作系统,因此从8.5i版开始,McAfee将只认可XP以上的系统,规则的通用性自然就会以XP系统为底线来编写,所以环境变量的存在已失去意义,当然就会退出舞台咯。
11、“访问保护”不支持对文件夹的保护。即只要将规则中保护的文件夹更名,该规则失效。McAfee不支持对文件夹的保护的原因是McAfee从一开始就只是杀毒软件,而非监控软件,“访问保护”只是辅助杀毒的一种手段,通过McAfee的内置规则不难看出,McAfee只提供对系统文件夹的保护,而系统盘下的三个系统文件夹WINDOWS、Program Files、Documents and Settings都是不允许更名的,所以对McAfee来说,他的内置规则是不受文件夹更名威胁的。前面也说了,McAfee不是做监控或者保密软件的,他不支持保护个人的隐私文件和文件夹,那是否McAfee就因此也不保护一些重要的文件呢,不是,McAfee会保护全盘下的某一类文件,如**/*.exe,但是这样又会给使用带来诸多不便,从而影响实用性,可操作性也大大降低,在此种情况下,排除进程应运而生,所以编写规则时应尽量避免非系统文件夹的出现,使用通配符*,再配合排除进程才是最完美的规则。
12、规则越多,监控的负担越大。规则的编写应该具有总结性,应该是某一类行为的概括,应该以不影响日常使用为原则。McAfee以“要禁止的文件操作”为依据,将所有的规则分为“层”,例如,当“访问保护”开启时,用户“执行”的任何操作,McAfee都会将之与所有包含“执行”的规则一一比对,如果此时规则很多,可想而知,监控的负担会变大,使用会变的迟缓,当然,对于高配置计算机,这个变化也许不是很明显,但系统资源仍会被消耗。
13、HIPS:Host Intrusion Prevent System 主机入侵防御系统,包括以下三种防御系统:
FD:File Defend,文件防御体系
AD:Application Defend,应用程序防御体系
RD:Registry Defend,注册表防御体系

三、访问保护中需要排除的进程
1、说明:
1.1以下未提及者排除项均为“空”!因为McAfee的内置规则中排除进程太多,安全性降低,绝大多数进程可删除。

1.2红字部分为应用软件,用户可根据不同的使用环境与自身需要情况而调整,为方便用户阅读,故显示为红色。

1.3排除进程中不赞成使用通配符*,因为病毒会伪装成任何进程,风险度提高,建议使用绝对路径。(知识若不分享 实在没有意义 http://www.yidabu.com)

1.4“用户自定义的规则”里的“2、禁止在计算机中创建新文件”,在“要排除的进程”中不必加入McScript.exe。原因如下:当McAfee升级病毒库时,需调用FrameworkService.exe和McScript_InUse.exe两个进程,这两个进程中任何一个被阻止,升级都将失败。当FrameworkService.exe被阻止时,McAfee会调用McScript.exe进程来做一些升级失败的善后事情,而当McScript_InUse.exe被阻止时,McAfee却不会再调用其他程序了,升级会直接失败。当升级成功,也就是说FrameworkService.exe和McScript_InUse.exe两个进程都顺利运行了,McScript.exe进程也不会被调用,因为McScript_InUse.exe会代替McScript.exe来做升级成功之后的事情。

1.5对于部分应用软件进程排除的说明:
1.5.1部分应用软件在设置时需要暂时停用“用户自定义的规则”中的“2.07禁止在计算机中创建新的.ini文件”,必要时需暂时停用“访问保护”。
1.5.2部分应用软件需开机运行的,如迅雷、鱼鱼桌面秀等,要暂时停用“通用最大保护”中的“禁止将程序注册为自动运行”。
1.5.3如果将应用软件一一排除的话,不仅工作量大,且排除进程多了,安全性降低了,另外应用软件的设置一般都是一次性的工作,排除进程的话没有任何意义,因此,需要排除的进程,必然不是一次性的工作,比如某软件每次运行时都会遭到访问保护阻挡并影响了使用时,就需要排除该进程了。
1.5.4应用软件的进程名有时会随着该软件版本的升级而改变,需要实时关注,比如迅雷,现在是Thunder5.exe,等版本升级到迅雷6时,可能进程会改名为Thunder6.exe。

1.6排除路径中有一种以“/??/”或“//?/”打头的路径,编写规则时若将“/??/”或“//?/”去掉的话便无法排除该进程,这是因为该进程已注入内存,所以在排除时已不是原路径,而是内存中的路径,所以需要以“/??/”或“//?/”打头。“/??/”表示内存中的单个进程,多为系统进程,如??/C:/WINDOWS/system32/csrss.exe;“//?/”表示在内存中除自身进程外,还注入在内存其他进程中,多为应用程序进程。

2、进程排除:
2.1“防间谍程序标准保护”:
氨;?Internet Explorer 收藏夹和设置”,排除C:/Program Files/Internet Explorer/IExplore.exe,C:/WINDOWS/system32/rundll32.exe,C:/WINDOWS/Explorer.exe,C:/Program Files/Maxthon/Maxthon.exe
说明:排除IExplore.exe是允许IE浏览器更改IE设置和收藏夹;排除Explorer.exe是允许windowblinds以及手动更改windows窗口的工具栏;当rundll32.exe与Explorer.exe同时排除时就可以通过桌面IE图标右键更改IE设置;排除Maxthon.exe是允许遨游浏览器更改IE设置和收藏夹。

2.2“防间谍程序最大保护”:
敖顾谐绦虼?Temp 文件夹运行文件”,排除D:/security/mcafee/Common Framework/McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.3“防病毒最大保护”:
2.3.1“禁止更改所有文件扩展名的注册”,排除C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe。
说明:排除SknStdio.exe是允许SkinStudio编辑windowblinds主题。

2.3.2“保护缓存文件免受密码和电子邮件地址窃贼的攻击”,排除C:/Program Files/Maxthon/Maxthon.exe。
说明:排除Maxthon.exe是允许遨游浏览器可以进行网页(论坛)下载。

2.4“通用标准保护”:
2.4.1“禁止修改 McAfee 文件和设置”,排除D:/security/mcafee/VirusScan Enterprise/VsTskMgr.exe。
说明:排除VsTskMgr.exe是允许通过控制台更改McAfee的设置。

2.4.2“禁止修改 McAfee Common Management Agent 文件和设置”,排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.4.3“禁止修改 McAfee 扫描引擎文件和设置”,排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee在升级病毒库的时候可以将老病毒库备份到OldEngine文件夹中,以便回滚DAT之用。(知识若不分享 实在没有意义 http://www.yidabu.com)

2.5“通用最大保护”:
2.5.1“禁止在 Windows 文件夹中创建新的可执行文件”,排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe。
说明:排除McScript_InUse.exe是允许McAfee升级病毒库。

2.5.2“禁止在 Program Files 文件夹中创建新的可执行文件”,排除C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe。
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库。

2.5.3“禁止 FTP 通信”,
排除C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Internet Explorer/IExplore.exe,C:/Program Files/Maxthon/Maxthon.exe。
说明:排除Thunder5.exe是允许迅雷可以进行FTP下载;排除IExplore.exe与Maxthon.exe是允许IE浏览器与遨游浏览器可以浏览FTP网页。

2.5.4“禁止 HTTP 通信”,
排除C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Maxthon/Maxthon.exe,C:/Program Files/Tencent/QQGAME/QQGame.exe,C:/Program Files/TTPlayer/TTPlayer.exe。
说明:排除FrameworkService.exe是允许McAfee升级病毒库;排除Thunder5.exe是允许迅雷可以进行HTTP下载;排除Maxthon.exe是允许遨游可以上网且不会无故中断;排除QQGame.exe是允许QQ游戏能够运行;排除TTPlayer.exe是允许千千静听可以下载歌词。

四、用户自定义的规则
1、对未知程序的行为控制
说明:该系列规则防护相当强大,使用时需根据使用环境随时调整,但因为排除进程太多,故安全性降低,以“1.1禁止未知程序的任何操作”为例,为了不影响日常使用,排除了浏览器和下载工具,所以并不能阻挡病毒从外部创建到计算机中,虽然可以禁止其执行,但病毒源已存在于计算机中,威胁依然存在,因此就需要“2、禁止在计算机中创建新文件”系列规则来加以配合。
1.1禁止未知程序的任何操作
要包含的进程:*
要排除的进程:C:/WINDOWS/System32/alg.exe,C:/WINDOWS/system32/ctfmon.exe,/??/C:/WINDOWS/system32/winlogon.exe,/??/C:/WINDOWS/system32/csrss.exe,C:/WINDOWS/system32/lsass.exe,C:/WINDOWS/Explorer.EXE,C:/WINDOWS/System32/svchost.exe,C:/WINDOWS/system32/logonui.exe,C:/WINDOWS/system32/RUNDLL32.EXE,C:/WINDOWS/system32/userinit.exe,C:/WINDOWS/system32/services.exe,C:/Program Files/Internet Explorer/IExplore.exe,C:/WINDOWS/system32/IME/TINTLGNT/TINTSETP.EXE,C:/WINDOWS/IME/imjp8_1/IMJPMIG.EXE,C:/WINDOWS/system32/taskmgr.exe,C:/WINDOWS/system32/NOTEPAD.EXE,C:/Program Files/McAfee/Common Framework/McTray.exe,C:/Program Files/McAfee/Common Framework/UdaterUI.exe,C:/Program Files/McAfee/VirusScan Enterprise/VsTskMgr.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/McAfee/VirusScan Enterprise/shstat.exe,C:/Program Files/McAfee/Common Framework/naPrdMgr.exe,C:/Program Files/Thunder/Thunder.exe,C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Maxthon/Maxthon.exe,C:/Program Files/Stardock/Object Desktop/WindowBlinds/wbconfig.exe,C:/Program Files/Styler/Styler.exe,C:/Program Files/Stardock/Object Desktop/IconPackager/IconPackager.exe,C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe,C:/Program Files/Microsoft Office/OFFICE11/WINWORD.EXE,C:/Program Files/Microsoft Office/OFFICE11/EXCEL.EXE,C:/Program Files/Microsoft Office/OFFICE11/POWERPNT.EXE,C:/Program Files/WinRAR/WinRAR.exe,C:/Program Files/TTPlayer/TTPlayer.exe,C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe,C:/Program Files/Wopti/WoptiUtilities.exe,C:/Program Files/鱼鱼软件/鱼鱼桌面秀/XDeskShow.exe,C:/Program Files/Tencent/QQ/QQ.exe,C:/Program Files/Tencent/QQ/CoralQQ.exe,C:/Program Files/Tencent/QQGAME/QQGame.exe,C:/PROGRA~1/KMplayer/KMPlayer.exe,C:/PROGRA~1/NFSU2/speed2.exe
要阻止的文件或文件夹名:**/*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:该规则属于FD的极致规则,类似于AD,利用FD模仿AD的行为控制,但并不如真正的AD完美与强大,若McAfee与具备AD的HIPS相配合,该规则就没有存在的意义了。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.2禁止未知程序的任何网络行为
要包含的进程:*
要排除的进程:C:/WINDOWS/system32/svchost.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/Tencent/QQ/QQ.exe,C:/Program Files/Thunder/Program/Thunder5.exe,C:/Program Files/Maxthon/Maxthon.exe,C:/Program Files/Tencent/QQGAME/QQGame.exe,C:/Program Files/TTPlayer/TTPlayer.exe
要阻止端口:1~65535
方向:入站、出站
说明:该规则类似于防火墙,阻止了不信任程序对网络的访问。排除进程中黑字为系统进程,蓝字为McAfee进程,这两种进程如无必要,无需调整,红字为应用软件,需根据用户使用环境调整。

1.3禁止未知程序的任何注册表行为
说明:该系列规则属于RD的极致规则。需要注意的是,若“1.1禁止未知程序的任何操作”开启,则该系列规则毫无意义,因为排除进程是一样的,所以不被“1.1禁止未知程序的任何操作”阻挡的进程,也必然不会被该系列规则阻挡,反之,已经被“1.1禁止未知程序的任何操作”阻挡的进程,也没有能力再碰触到该系列规则了。因为“1.1禁止未知程序的任何操作”是FD模仿了AD的行为控制,反之AD却无法模仿FD,总体来说FD应该是HIPS中最强大的防御系统,如果FD与AD相配合达到对计算机的完全保护,那么即使是RD中属于极致的规则都变得多余了,因此可以得出FD强于AD,AD强于RD,但三者其实各有所长,对于不同的用户群,FD、AD和RD都发挥着各自的能力。
1.3.1禁止未知程序的任何注册表行为(项)
要包含的进程:*
要排除的进程:同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值:HKALL/**
规则类型:项
要阻止的注册表操作:写入、创建、删除

1.3.2禁止未知程序的任何注册表行为(值)
要包含的进程:*
要排除的进程:同“1.1禁止未知程序的任何操作”
要保护的注册表项或注册表值:HKALL/**
规则类型:值
要阻止的注册表操作:写入、创建、删除

2、禁止在计算机中创建新文件
说明:该系列规则对部分格式文件禁止写入、创建和删除,以主要操作“创建”而命名这一系列规则,同时也为了与内置规则“禁止在 Windows 文件夹中创建新的可执行文件”相对应,该系列规则在“要禁止的文件操作”中不可选中“执行”,因为“执行”的操作在排除进程上要比“写入、创建、删除”的操作多的多,故从安全性考虑,该系列规则与“1、对未知程序的行为控制”系列规则相配合,才能使“访问保护”趋于完善。
2.01禁止在计算机中创建新的.exe文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/WinRAR/WinRAR.exe,C:/Program Files/Thunder/Program/Thunder5.exe
要阻止的文件或文件夹名:**/*.exe
要禁止的文件操作:写入、创建、删除
说明:排除FrameworkService.exe与McScript_InUse.exe是允许McAfee升级病毒库;排除Explorer.exe是为了日常使用时不受该规则限制,例如复制、粘贴、移动、删除等等的操作;排除WinRAR.exe是允许压缩软件释放压缩包,尤其是绿色软件;排除Thunder5.exe是允许迅雷下载软件。

2.02禁止在计算机中创建新的.dll文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.dll
要禁止的文件操作:写入、创建、删除
说明:该规则的排除进程基本与2.01规则一样,仅仅去除了对Thunder5.exe的排除,因为日常使用中,一般不会用迅雷下载DLL文件,以下的规则中不排除Thunder5.exe皆是此理。(知识若不分享 实在没有意义 http://www.yidabu.com)

2.03禁止在计算机中创建新的.bat文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.bat
要禁止的文件操作:写入、创建、删除
说明:排除WinRAR.exe是允许绿色软件可以直接解压使用;排除Explorer.exe也是允许绿色软件可以复制、粘贴、移动、删除等等的日常操作。

2.04禁止在计算机中创建新的.chm文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.chm
要禁止的文件操作:写入、创建、删除

2.05禁止在计算机中创建新的.com文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.com
要禁止的文件操作:写入、创建、删除

2.06禁止在计算机中创建新的.cpl文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.cpl
要禁止的文件操作:写入、创建、删除

2.07禁止在计算机中创建新的.ini文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/McAfee/Common Framework/FrameworkService.exe,C:/Program Files/McAfee/Common Framework/McScript_InUse.exe,C:/Program Files/WinRAR/WinRAR.exe,C:/Program Files/Styler/Styler.exe,C:/Program Files/Stardock/Object Desktop/SkinStudio/SknStdio.exe,C:/Program Files/Wopti/WoptiUtilities.exe
要阻止的文件或文件夹名:**/*.ini
要禁止的文件操作:写入、创建、删除
说明:该规则有些特殊,需要排除FrameworkService.exe与McScript_InUse.exe进程,目的是允许McAfee升级病毒库;除此,还需要排除一些常用的应用软件,许多应用软件在使用中都需要写入ini文件,为方便日常使用,因此加以排除。

2.08禁止在计算机中创建新的.msc文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.msc
要禁止的文件操作:写入、创建、删除

2.09禁止在计算机中创建新的.msi文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.msi
要禁止的文件操作:写入、创建、删除

2.10禁止在计算机中创建新的.ocx文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.ocx
要禁止的文件操作:写入、创建、删除

2.11禁止在计算机中创建新的.pif文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.pif
要禁止的文件操作:写入、创建、删除

2.12禁止在计算机中创建新的.scr文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.scr
要禁止的文件操作:写入、创建、删除(知识若不分享 实在没有意义 http://www.yidabu.com)

2.13禁止在计算机中创建新的.sys文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.sys
要禁止的文件操作:写入、创建、删除

2.14禁止在计算机中创建新的.vbs文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.vbs
要禁止的文件操作:写入、创建、删除

2.15禁止在计算机中创建新的.vxd文件
要包含的进程:*
要排除的进程:C:/WINDOWS/Explorer.exe,C:/Program Files/WinRAR/WinRAR.exe
要阻止的文件或文件夹名:**/*.vxd
要禁止的文件操作:写入、创建、删除

2.16禁止在计算机中创建新的autorun.inf文件
要包含的进程:*
要阻止的文件或文件夹名:**/autorun.inf
要禁止的文件操作:读取、写入、执行、创建、删除
说明:该规则不同于该系列规则中的其他规则,目的是禁止某些病毒的自动运行

3、禁止部分系统工具的操作
3.1禁止通过注册表编辑器与.reg文件对注册表进行任何操作
要包含的进程:*
要阻止的文件或文件夹名:**/regedit.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:只此一条,就可以一次性禁止通过regedit.exe、regedt32.exe、.reg文件三种方式对注册表进行操作,需要注意的是,该规则不属于RD,只通过FD对注册表外部进行保护,RD是对注册表内部进行的保护。

3.2禁止管理工具的操作
要包含的进程:*
要阻止的文件或文件夹名:**/mmc.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:管理工具里都是重要的系统工具

3.3禁止格式化命令format的运行
要包含的进程:*
要阻止的文件或文件夹名:**/format.*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:针对一些格式化病毒的防护措施

3.4禁止net命令的运行
要包含的进程:*
要阻止的文件或文件夹名:**/net*.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对远程攻击的防护措施

3.5禁止at命令的运行
要包含的进程:*
要阻止的文件或文件夹名:**/at.exe
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对远程攻击的防护措施

4、保护部分重要的系统文件
4.1保护系统盘根目录下的文件
要包含的进程:*
要阻止的文件或文件夹名:C:/*.*
要禁止的文件操作:写入、创建、删除
说明:系统盘根目录下都是重要的系统文件(知识若不分享 实在没有意义 http://www.yidabu.com)

4.2保护ghost文件
要包含的进程:*
要阻止的文件或文件夹名:**/*.GHO
要禁止的文件操作:读取、写入、执行、创建、删除
说明:对系统备份进行防护

5、禁止任何远程操作
要包含的进程:System:Remote
要阻止的文件或文件夹名:**/*
要禁止的文件操作:读取、写入、执行、创建、删除
说明:通过文件保护禁止了远程的一切行为

四.保存设置和规则
说明:将HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore和HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection两个注册表项全部导出,包含子项目,即保存了所有设置和规则,再将导出的两个注册表文件合并到一个文件中,若使用时只须导入即可。
一、HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore中包含的规则设置
1.1访问保护:(这个值只有在访问保护关闭时才能访问,一旦导入也将覆盖所有以前的访问保护设置!)
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/On Access Scanner/BehaviourBlocking/AccessProtectionUserRules

1.2缓冲区溢出保护:(其中*表示数字0、1、2、3、4、5……)
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/On Access Scanner/BehaviourBlocking/BOPExclusionProcess_*

1.3电子邮件传递扫描程序:HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/Email Scanner

1.4有害程序策略:(其中*表示数字0、1、2、3、4、5……)
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/NVP/UserDefinedDetection_*

1.5按访问扫描程序:HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/VSCore/On Access Scanner/McShield/Configuration以及Default(默认设置)、High(高风险进程)、Low(低风险进程)

二、HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection中包含的规则设置
2.1隔离管理器策略:HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection

2.2按需扫描(完全扫描、目标扫描):
HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection/Tasks/{21221C11-A06D-4558-B833-98E8C7F6C4D2}和HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection/DefaultTask(默认)

2.3AutoUpdate:HKEY_LOCAL_MACHINE/SOFTWARE/McAfee/DesktopProtection/Tasks/{A14CD6FC-3BA8-4703-87BF-E3247CE382F5}(默认)(知识若不分享 实在没有意义 http://www.yidabu.com)

写给准备用mcafee8.5i企业版的朋友

http://www.3qu.org/archives/2006/10786.html

写给准备用mcafee8.5i企业版的朋友
mcafee是最受公认的监控最灵敏的防病毒软件
但是真正的精髓部分应该是它的文件访问保护部分(以及端口阻挡,注册表防护等等)(知识若不分享 实在没有意义 http://www.yidabu.com)

首先,若您想使用mcafee
我建议您要学会自己动手DIY最适合自己的规则
为自己的机器“量身定做”一套属于自己的,独一无二的细密而强大的保护规则
(别人做的规则不一定是适合您的)
您对系统的熟悉度越高,mcafee就越强大
反之,如果您对此一窍不通的话,mcafee也就发挥不出它应有的强大保护力了

可以说这样:只要您懂得并会熟练的运用好mcafee(8.5i)的访问保护
无论什么新型病毒,什么变种木马,加了什么壳,加了多少层壳
在您开着监控的情况下基本上都是无法对您的系统造成任何侵害的

附上我自己编写的部分规则:

(仅供参考)
禁止在C盘根目录创建文件
禁止在WINDOWS目录中新建任何文件
禁止修改WINDOWS目录中的任何文件
禁止删除WINDOWS目录中的任何文件
禁止在WINDOWS根目录下新建任何文件
禁止在system32根目录下新建任何文件
禁止在C盘中新建,修改任何SCR文件(防范某些木马)
禁止cscript.exe运行
禁止mshta.exe运行
禁止format.com运行(防范恶意格式化行为)
禁止hh.exe运行
禁止cmd.exe运行
禁止修改文件访问控制权限
禁止私自启用计划运行任务程序
防范远程注册表操作,禁止调用regsvc.dll
禁止在C盘中新建任何VXD文件
禁止私自创建共享文件夹
禁止telnet.exe运行
禁止在C盘中新建任何EXE可执行文件
禁止在C盘中新建任何COM可执行文件
禁止在C盘中新建任何DLL动态连接库文件
防范脚本病毒,禁止scrrun.dll
禁止在C盘中新建任何批处理BAT文件
禁止在C盘中新建任何VBS脚本文件
禁止访问TEMP文件夹,防止恶意安装程序
禁止在C盘中新建任何JS脚本文件
禁止在C盘中新建任何JSE脚本文件
禁止对Access数据库文件进行任何操作
禁止在C盘中新建任何VBE文件
禁止C盘中新建,运行任何WSH文件
禁止C盘中新建任何WSF文件
禁止在本地新建,修改,执行任何AUTORUN.INF文件
禁止在C盘中新建任何SYS文件
禁止在Downloaded Program Files目录中新建任何文件
禁止添加桌面文件
禁止启用远程桌面程序
禁止在开始菜单中添加项目
禁止在C盘中新建ZIP文件(防范某些蠕虫)
禁用NetMeeting网络会议程序
禁止在system.ini中创建和写入内容
禁止在win.ini中创建和写入内容
禁止在wininit.ini中创建和写入内容
禁止在本地新建任何*desktop.ini文件
禁止java目录下的程序私自运行
禁止在C盘中新建CHM文件
保护本机所有EXE可执行文件(防止修改)
禁止私自在Program Files根目录下新建文件
禁止nwscript.exe运行
禁用自动下载连接管理器
禁止未经许可的控件注册
禁止script.dll运行
禁用SQL Server 客户端网络工具
禁止创建,修改或删除磁盘的卷标(名称)
禁止调用路由跟踪命令
防范某些网络蠕虫扩散,禁止私自运行PING命令
禁止私自用源目录中的同名文件替换目标目录中的文件
禁止私自更改当前登录用户的权限
禁止私自调用文件属性修改工具
禁止对Boot.ini配置文件执行编辑操作
防止多用户同时登陆,禁用termsrv.dl
禁止使用NetMeeting功能访问远程桌面
禁止“私自指定某些程序在指定的时间运行”
禁止在C盘中新建任何PIF文件
禁止私自修改本地用户帐户数据库
禁止在Default User目录下新建任何文件
禁止在LocalService目录下新建任何文件
禁止在NetworkService目录下新建任何文件
禁止在Application Data目录下新建任何项目
保护本机所有EXE可执行文件(防止删除)
禁止网络检测命令net.exe运行
禁止在PCHEALTH目录中新建,修改,删除任何文件
禁止Config目录下新建,修改,删除任何文件
禁止在security目录下新建,修改,删除任何文件
禁止在system目录下新建,修改,删除任何文件
禁止在Registration目录下新建,修改,删除任何文件
禁止在drivers目录下新建,修改,删除任何文件
禁止启用系统还原程序
禁止控制台程序tlntsvr.exe运行
禁止私自调用系统配置编辑器
禁止在C盘中新建CMD文件(防范某些蠕虫)
禁止在C盘中新建HTT文件(防范某些病毒)
保护WINDOWS的"系统文件替换"备份目录
保护WINDOWS的"最后一次正确启动配置"备份文件目录
禁止在C盘中新建,修改任何CPL文件(防范某些木马)
禁止在C盘中新建,修改任何DOT文件(防范宏病毒)
禁止在C盘中新建,修改任何DOC文件(防范宏病毒)
禁止运行Windows脚本宿主工具
禁止在C盘中新建,修改任何BFF文件(防止宏病毒寄生)
禁止读取Cookies文件
禁止创建新的Cookies文件

这些规则看起来似乎让人很头晕,但其实这还只是属于框架部分(我们还需要制定一些特定规则)
这些规则看似复杂,但是却不会对我电脑的以及机器上程序的正常使用造成任何妨碍

您必须学会用两至三条的规则对某个区域形成一个防护体系
并且能够使电脑最终在这些复杂而强悍的规则的防护下运行自如

有些用户发现他们使用了mcafee后的“主要工作”就是需要不停的添加排除进程
好在这些规则是可以逐渐积累的,而且是可以将其最终保存起来的
(终将会形成一套属于您自己的强大的防护体系)

我喜欢用mcafee的另一个原因是它让我感觉到了自己是自己电脑真正的“主宰者”
什么程序(甚至后台服务)可以被运行,什么程序不可以被运行
什么文件可以被修改,删除,什么文件不可以
什么地方可以被写入(创建)新文件,什么地方不可以新建任何文件
什么地方只可以被写入什么格式的文件,全都由我说了算,呵呵。(知识若不分享 实在没有意义 http://www.yidabu.com)

能用好mcafee您就会明白其顶尖的监控和强大的保护规则配合起来的好处
而对于那些不懂得如何设置和运用好mcafee的保护规则的初级用户来讲
呵呵,mcafee同样是一个令人头疼的“梦魇”。

mcafee自定义规则在系统中表示

使用工具可以查看注册表自定义规则,随意导入、修改和合并自定义规则,见我的另一帖子。
对于显示的结果各项含义举例如下:
文件规则:
UserString(用户命名) UR14(系统使用名称) "A47 禁止私自启用命令行运行工具"(用户规则名称)
UserEnforce(阻止) UR14 1(选)
UserReport(报告) UR14 0(不选)
UserProcess(用户进程) UR14 {Include(包含) *;Exclude(排除) Explorer.EXE}
UserRule(用户规则) UR14 G_User {File(文件) R(读)W(写)X(执行)C(创建)D(删除) { Include C://WINDOWS//system32//cmd.exe }
}
端口规则:
UserString UR126 "A32 禁止(监视)一切高端动态//私有端口的连接尝试行为"
UserEnforce UR126 1
UserReport UR126 1
UserProcess UR126 {Include *}
UserRule UR126 G_User {Port(端口) I(入)O(出)UT {Include 49152 65535}
}
注册表规则:
UserString UR70 "8-401 RD 淇濇姢/[鏄剧ず鎵鏈夋枃浠/] K"
UserEnforce UR70 1
UserReport UR70 1
UserProcess UR70 {Include *}
UserRule UR70 G_User {Key(注册表) CWD {Include HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Advanced/Folder/Hidden/**}
}
没有技术含量,只为比我更菜的人能读懂。只发卡饭,其它坛子不发了。

麦咖啡设置指南------详细介绍访问保护的设置方法抵御未知病毒

特别是自定义规则,功能强大,使用得当几乎百毒不侵
不过正常功能也会受到影响,用咖啡的人自己定义安全级别把

1、访问保护。

双击访问保护,打开访问保护。出现端口阻挡,文件保护,报告,三个选项。
(1)更改端口设置。
默认端口阻挡全部勾选。添加阻挡端口新规则。端口总共有65535个。好了,把1~65535端口全部进行设置。由于咖啡对端口的阻挡模式分为两种:阻止入站,阻止出站,这样,对1~65535端口进行设置,需要分为两组。一组阻止通过1~65535端口入站,一组阻止通过1~65535端口出站。为了方便设置和查看端口阻挡而影响的进程,可以这样进行设置。1~1000,每隔100个端口设置一个规则,并进行规则标号。1000~10000,每隔1000个端口设置一个规则,也进行规则标号。10000~65535设置成一个规则,同时进行标号。这样设置好了,可以连网进行测试,怎么样,不能上网吧?当然别人也进不来了。好了,打开咖啡日志,查看那些进程被阻止,阻止的具体规则是哪些。比如,咖啡日志标明,svchost.exe进程被新规则1阻止,好了,选中新规则1,点击“编辑”,弹出对话框,在已排除进程里,添加svchost.exe,好了。依次类推,将影响的进程添加进去。设置好了之后,可以上网了。这样进行端口设置,可以阻挡99%的端口。那些通过端口出入的木马几乎没戏了。
(2)更改访问保护设置。
勾选所有默认设置。一一打开编辑,查看每个规则设置情况,凡是能够选择“阻止并报告访问尝试”,一律选择。——默认规则里,许多都是警告模式,将它们更改(注:如果更改默认设置,请再三思量,否则出现意外情况,我不负责)。将远程对exe、ocx等文件保护规则合并。但凡远程操作,在创建文件、写入文件、执行文件、读取文件、删除文件前全部打勾。
(3)更改咖啡日志路径。放在其他盘里。

2、有害程序策略。默认规则里,都没有勾选。将他们全部勾选。

3、给咖啡杀软设置密码。咖啡控制台——工具——用户界面选项——密码选项。选择使用密码保护下面所有项目。设置8位以上超强密码。在用咖啡设置一系列规则之后,可以锁定咖啡杀软界面。这样,别人不能再更改您对咖啡的设置了。

4、共享资源的保护。打开咖啡访问保护——文件保护——共享资源,将它设置成阻止并报告访问尝试。这样,共享资源就不能被别人共享了。

5、按访问扫描程序设置。常规——扫描——将引导区,关机时扫描软盘去掉。

其他设置,自己看着办吧。(知识若不分享 实在没有意义 http://www.yidabu.com)

上面是咖啡本身携带的一些规则。为了安全,可以进行更加严格的设置。

1、用咖啡杀软来防止3721、网络猪、中文邮、百度搜霸、一搜。

目前,3721、网络猪、中文邮、百度搜霸、一搜经常偷偷溜进您的电脑,而且难以卸载干净。用咖啡杀软可以阻止它们进入。
打开咖啡杀软访问保护,创建如下几个规则:
1、禁止在本地创建、写入、执行、读取3721任何内容;
2、禁止在本地创建、写入、执行、读取网络猪任何内容;
3、禁止在本地创建、写入、执行、读取中文邮任何内容;
4、禁止在本地创建、写入、执行、读取百度搜霸任何内容;
5、禁止在本地创建、写入、执行、读取一搜任何内容。
好了,3721、网络猪、中文邮、百度搜霸、一搜没有理由呆在您的电脑里了。
附上部分设置方法。比如,防止3721的方法:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地创建、写入、执行、读取3721任何内容
阻挡对象:*
要阻挡的文件或文件名:**/3721*/**
要阻止的文件操作:在创建文件、写入文件、执行文件、读取文件前全部打勾
响应方式:阻止并报告访问尝试

2、用咖啡杀软来防止未知木马病毒

我查了下相关资料,就目前来说,木马、病毒基本都是三种类型的,exe、dll、vxd类型。好了,只要我们创建如下三种保护机制:
1、禁止在本地任何地方创建、写入任何exe文件
2、禁止在本地任何地方创建、写入任何dll文件
3、禁止在本地任何地方创建、写入任何vxd文件

这样,现在出现的各种木马病毒是进不来的。当然,这条规则非常霸道,就是您更新咖啡病毒库,对其他软件进行升级,下载exe、dll、vxd类型文件,以及移动任何exe、dll、vxd类型文件也不可能了。所以,当您进行类似操作时,暂时取消此规则,等操作完成之后,再继续使用。

部分规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地任何地方创建、写入任何exe文件
阻挡对象:*
要阻挡的文件或文件名:**/*.exe
要阻止的文件操作:在创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
其他的类似规则,参照设置即可。

3、阻挡肆意删除文件的行为

现在出现许多删除mp3格式的病毒。好了,为了杜绝此类事件发生,可以这样做。打开咖啡访问保护,创建如下规则:禁止删除本地任何mp3文件。好了,那些病毒想删除mp3是不可能的了。即便是您自己也删不掉mp3了!除非解禁!为了杜绝类似删除某些文件的病毒、木马,好了。我们再创建一条规则:禁止删除本地任何内容。好了,那些肆意删除各种文件的病毒、木马,根本起不了什么作用。当然,如果这条规则起作用,您自己也不可能删除任何东西了。当您自己需要删除某些内容,暂时取消这条规则,等删除操作完成了,再打开就是了。这条规则保护自己电脑不被别人删除任何东西非常管用哦。而且别人莫名其妙的,他根本不会想到是咖啡在阻止删除操作哦?
规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止删除本地任何mp3文件
阻挡对象:*
要阻挡的文件或文件名:**/*.mp3
要阻止的文件操作:在删除文件前打勾
响应方式:阻止并报告访问尝试

咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止删除本地任何内容
阻挡对象:*
要阻挡的文件或文件名:**/*/**
要阻止的文件操作:在删除文件前打勾
响应方式:阻止并报告访问尝试(知识若不分享 实在没有意义 http://www.yidabu.com)

个人也可以使用类似方法保护任何一个文件不被删除。比如rm文件等。自己照猫画虎试试。

4、用咖啡杀软保护注册表。

目前许多木马、病毒都喜欢在注册表驻留。好了。我们用咖啡创建这样一条规则。禁止对本地注册表进行创建、写入活动。好了。除非您同意,否则,注册表是不会无缘无故的被修改的。包括安装软件在内,如果咖啡依然开启这条规则,哈哈,软件虽然安装完了,注册表里却没有写入什么东西。虽然不少软件需要写入注册表里才成,可注册表里没有被写入也可以用的哦——不信的可以实验下!当然,不写入注册表,软件功能上会打折扣,尤其是杀软、防火墙之类。我曾做过类似实验。不让反间谍软件写入注册表里,结果它只能查到间谍,却不能清除间谍(查到间谍数量与反间谍软件安装时是否写入注册表无关)。对比一下金山、瑞星的注册表监视功能,金山、瑞星简直差远了。他们对注册表的监视不但烦人,而且意义不是很大。比如,安装一个软件,点击阻止写入注册表,那您就一直点下去吧。十年也点不完。有什么意义?
规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对本地注册表进行创建、写入活动
阻挡对象:*
要阻挡的文件或文件名:**/*.reg
要阻止的文件操作:在创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试

5、用咖啡来保护主页。

通过咖啡杀软来防护浏览器主页被修改完全可以。这样不用在安装其他软件进行防护了。其他浏览器防护软件不但占用一定资源,而且效果不一定好。而咖啡防护效果相当理想。具体方法如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地创建/修改hosts文件
阻挡对象:IEXPLORE.EXE,或者*
要阻挡的文件或文件名:**/etc*/**
要阻止的文件操作:在创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
好了。恶意网站不能在更改您的主页了。

6、阻止恶意脚本入侵。

打开咖啡杀软访问保护中文件保护规则,创建这样一些规则:
1、禁止在本地任何地方读取、执行、创建、写入任何js文件
2、禁止在本地任何地方读取、执行、创建、写入任何vbs文件
3、禁止在本地任何地方读取、执行、创建、写入任何htm文件
4、禁止在本地任何地方读取、执行、创建、写入任何html文件
好了,恶意网站通过脚本而入侵本机的恶意代码、木马基本滚蛋了。

部分规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地任何地方读取、执行、创建、写入任何js文件
阻挡对象:*
要阻挡的文件或文件名:**/*.js
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
其他的类似规则,参照设置即可。

当然,这样有些严厉,可能防碍上网,可以将这些规则修改为阻止创建、写入即可。

7、用咖啡来防止插件入侵。(知识若不分享 实在没有意义 http://www.yidabu.com)

现在上网越来越不安全。恶意插件越来越多了。好了。我们用咖啡来对付他们。由于那些插件是绑架到Internet Explorer文件里的,好了,我们用咖啡把Internet Explorer文件保护起来。
规则创建如下所示:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在Internet Explorer文件夹中进行创建写入活动
阻挡对象:*
要阻挡的文件或文件名:**/Internet Explorer*/**
要阻止的文件操作:在创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
好了,那些插件不能进来了。

8、防止黑客破坏活动。
目前,黑客越来越多,也越来越喜欢入侵个人主机。黑客入侵个人主机不外乎两个原因:
1、炼手。学习怎么入侵别人。
2、种植后门。控制他人。
好了。废话少说。黑客入侵,很难阻挡。那对于入侵的黑客破坏行为如何进行阻挡呢?看咖啡的手段。我们用咖啡建立这样的规则:禁止远程行为对本地任何文件/文件夹进行任何操作。这样,黑客即便入侵了您的主机,他所能做的还有什么呢?
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止远程行为对本地任何文件/文件夹进行任何操作
阻挡对象:System:Remote
要阻挡的文件或文件名:**/*/**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试

如果还不放心,可以将系统盘里每个根目录文件夹都创建一个规则。禁止黑客对他们进行任何操作。具体就不一一列举里。这样设置,除非黑客能破坏咖啡,或者黑客知道咖啡密码,更改咖啡设置,才能进行进一步破坏活动。如果黑客想破坏咖啡,决非易事。用过咖啡的人知道,咖啡不能被退出进程,只会持续工作。当然黑客可以通过卸载咖啡来破坏,问题是,黑客进行远程卸载,必定调用exe之类文件,而咖啡是不允许黑客远程对exe之类文件进行任何操作的。偶使用咖啡不久,曾被一个黑客入侵,那时还不懂得设置如此严厉的规则,只是打开咖啡默认的对exe、dll文件保护规则,那个黑客都没有干成什么。如果能建立这样严厉的规则,黑客所能做的事情将会非常非常少哦。

9、防止程序运行。

咖啡具有强大的阻止功能,几乎可以阻止任何一个程序运行。比如,tftp.exe这个程序,一般用户是用不上的。可以用咖啡来阻止他运行。注:咖啡默认规则里已经设置,就不列举了。这个功能非常有用。如果某天,不想运行某个程序,可以参照这个规则,将那个程序终止。或者,某天中了木马、病毒,又清除不掉,怎么办呢?这时咖啡这个功能就突显出来了。将那个木马、病毒程序用咖啡阻止起来即可。这样,那个木马不能运行也等于死悄悄了。

10、建立最严厉的规则。

在到黑客网站、破解基地、黄色网站去,往往难免中木马。虽然我不去那些网站,但为了那些常去黑客网站、破解基地、黄色网站的人的安全,特意为其创建如下规则。禁止在本地进行任何创建、写入、删除活动。这样,中招的几率将会是0。
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止在本地进行任何创建、写入、删除活动
阻挡对象:*
要阻挡的文件或文件名:**/*/**
要阻止的文件操作:在创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
由于这条规则非常严厉,建议只在黑客网站、破解基地、黄色网站浏览时开启。这条规则会产生大量日志,一分钟往往就有几百条详细日志,非常占用空间。所以,移动咖啡日志到其他盘非常重要。当然,这条规则,也适合那些对安全性非常高的人使用。

此上许多规则,会影响到许多进程,所以,当您出现不解问题时,请及时查看咖啡日志,会找到相关答案的。具体解决办法,请斟酌行事。

mcafee杀毒软件编写规则时通配符使用方法

我们都知道,咖啡可以应用通配符 * 和 ? :
(喜欢咖啡的友情帮顶下啊)
1.问号 (?) : 用于排除单个字符) ,比如, 排除项 w?? 排除 www,但不排除 ww 或wwww
2.星号 (*) : 用于排除多个字符
双星号 (**) : 表示零个或多个含有反斜杠的字符,这样允许多层次排除。
比如, **/temp*/** ,双星号 (**) 表示在反斜线 (/) 字符前后任意多个
层级的目录,一个星号 (*) 表示任意一个或部分目录名称。
3.**/*和**有什么不同?---看完测试就知道了
4.排除规则 : C:/quarantine/** 和 C:/quarantine/ 这2条有区别吗?没有区别吗?---前者排除C:/quarantine/目录下的所有文件,包括排除子文件夹,后者只包括C:/quarantine/下的文件,不排除子文件夹,即C:/quarantine/** 的排除范围 > C:/quarantine/ ,看下边我的测试会就明白。

以下是我自己作的测试,还望高手指教,不过我觉得应该是100%正确了的吧xixi
我在E:/110下创建了一些文件和文件夹,其中patch.rar为病毒文件,在165、265文件夹中我把patch.rar分别更名为02.rar,03.rar,以便查看测试结果。
文件夹结构为:(知识若不分享 实在没有意义 http://www.yidabu.com)

E:/110
---125
---265
---03.rar
---02.rar
---patch.rar

下面我把我的测试结果奉上以飨朋友们--------没兴趣看测试的,直接看最后1句我总结的一条(不过这只是测试中的其中一个结果)
在做此测试时,必须按如下图做些改动:临时禁用按访问扫描,把辅助操作改成继续扫描,以防咖啡进行隔离等动作,

规则为E:/110/ ,排除E:/110/ 下的所有文件,但不排除子文件夹。

规则为E:/110/**,细心的人会发现,**并没有出现在“设置排除项中”,但后边的“排除子文件夹”变成“是”了,其实在“添加排除设置中”输入**(仅限于最后出现的**字符),咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示**,这个地方中文咖啡似乎有歧义,大家仔细思考下就明白其真正的意思了。(另:在咖啡的访问保护中可以出现**为最后结尾的,因为那里咖啡没有这个打勾的选项, )

规则为E:/110 ,这个规则就是“什么也没有排除” 哈哈哈哈,

规则E:/110/* 等价于 E:/110/

规则为E:/110/** /(最后2条规则其实和这条规则的作用是一样的),排除E:/110/下的文件夹,但不排除E:/110/的文件。通过这里大家可以悟出点什么吧,呵呵,我就不多说了。

规则为E:/110/**/**和E:/110/**/只是多了个显式地“排除子文件夹”(是E:/110/**/的子集而已),是但真正的作用是一样的-----排除E:/110/下的文件夹,但不排除E:/110/的文件

规则为E:/110/**/*和E:/110/**/的作用是一样的(是E:/110/**/的子集而已) ,意思是排除E:/110/下的“文件夹中的任何文件”[

看懂以上这些,大家应该什么都明白了,不用我作总结了喜喜。那么大家对咖啡的规则设置,比如“访问保护”等等都轻而易举了吧
不过还是总结1句吧:要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义,严重注意哦),或者在/后边添加2个星号(**),咖啡会自动帮你打勾(知识若不分享 实在没有意义 http://www.yidabu.com)

另外,就咖啡规则使用情况,说点个人经验。
一、在咖啡默认规则里有这样几条规则:
1、禁止在 Windows 文件夹中创建新文件 (.dll)
2、禁止在 Windows 文件夹中创建新文件 (.exe)
3、禁止在 System32 文件夹中创建新文件 (.dll)
4、禁止在 System32 文件夹中创建新文件 (.exe)
这几条规则,一般情况下都开启没有什么问题。一般的软件,在安装时往往会在Windows 文件夹和System32 文件夹创建exe文件和dll文件。不用管它。即便没有在Windows 文件夹和System32 文件夹创建exe文件和dll文件,也可以使用的。但是惟独在给系统打补丁时例外!某些系统补丁,即便阻止了,也没有什么,可有些系统补丁如果阻止往Windows 文件夹和System32 文件夹创建exe文件和dll文件,那就意味着系统瘫痪!您不能再登陆系统了!切记!所以,在打系统补丁时,要暂停使用这些规则。

二、同样一条保护规则,不要过于频繁的打开关闭。否则很容易出现失灵。原本阻止在某地创建某个文件,咖啡可能变的创建行为也不阻止了。偶甚至碰到咖啡密码失灵的情况,密码正确都不能解禁。所以,不要经常性打开关闭某条规则。这样可以避免此类失灵事件发生。

经过以上设置,再中木马、病毒、广告、间谍、恶意代码······几率将会是0。当然,最有可能中招的就是个人下载不安全软件,而后进行安装导致中招。如果注意安全,那另当别论了。 上面,是偶使用咖啡几个月的一点心得,大家交流一下。如果有更好的技巧,请不吝赐教?
偶再补充一些内容。某些网站或/和黑客,会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件,可以这样做。用咖啡建立Cookies保护机制。

具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对Cookies文件进行某些操作
阻挡对象:*
要阻挡的文件或文件名:**/Cookies*/**
要阻止的文件操作:在读取文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试

好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然,这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制,不太好操作。用禁止,好多网站不能去。不禁止,又有危险。与咖啡相比,显然咖啡更加人性化。希望大家喜欢。

使用咖啡来防护个人隐私文件。
这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密,起到防护作用。如果您使用咖啡,那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉,根本不会想到是一个杀软来保护的。而且,咖啡防护文件,在他人读取、打开文件时,根本不提密码,也不提咖啡,只是提示:请确认磁盘没有写保护之类。对于一般人来说,还以为文件损毁了而打不开哈。哈哈。是否有些意思?
下面简单介绍一下,如何实现这个功能。首先,请将您所有需要保护的个人文件都放在某个根目录里,比如,起名为,流星雨。然后将这个文件保护起来即可。

具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对流星雨文件/文件夹进行任何操作
阻挡对象:*
要阻挡的文件或文件名:**/流星雨*/**
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试

附录:

一步一步教你用好mcafee 8.5i+Mcafee8.5i新规则如何备份、新技巧集合贴:

http://star1020.qq.topzj.com/thread-365771-1-1.html

McAfee8.5i企业版(安装程序+最新病毒库+详细教程+大众版→增强版→超级版规则包)(知识若不分享 实在没有意义 http://www.yidabu.com)

http://www.kpfans.com/bbs/viewthread.php?tid=33726&extra=page%3D1

McAfee文章:

http://www.kpfans.com/bbs/viewthread.php?tid=37742&extra=page%3D1

mcafee8.0i设置图解完善版:

http://bbs.deepin.org/read.php?tid=95269&page=1

MCAFEE防病毒软件说明及安装方法:

http://antivirus.hust.edu.cn/mcafee/readme.htm

McAfee8.0 启动 修改 注册表 设置:

http://hi.baidu.com/shengyi168/blog/item/e10c9523983ad444ac34dea7.html

McAfee无法自动更新病毒库及运行报错的彻底解决方法:(知识若不分享 实在没有意义 http://www.yidabu.com)

http://bbs.kpfans.com/redirect.php?tid=45843&goto=newpost

  • 0
    点赞
  • 0
    评论
  • 1
    收藏
  • 一键三连
    一键三连
  • 扫一扫,分享海报

McAfee(R) VirusScan(R) Enterprise 8.0i 版 发行说明 Copyright (C) 2004 Networks Associates Technology, Inc. 保留所有权利 ==================================================================== - DAT 版本: 4382 - 引擎版本: 4.3.20 ==================================================================== 感谢您使用 VirusScan Enterprise 软件。 本文件包含有关这一版本的重 要信息。我们强烈建议您阅读整篇文档。 重要信息: McAfee 不支持软件预发布版本的自动升级功能。要升级为正式产品,必 须首先卸载现有版本的软件。 _____________________________________________________________________ 本文件包含的内容 - 新功能 - 更改的功能 - 安装和系统要求 - 测试安装 - 已解决的问题 - 已知问题 - 安装、升级和卸载 - 与其他产品的兼容性 - Alert Manager (TM) - Common Management Agent - ePolicy Orchestrator(R) - GroupShield(TM) - ProtectionPilot(TM) - 第三方软件 - 访问保护 - 增添文件类型扩展名 - AutoUpdate - 缓冲区溢出保护 - 日志文件格式 - Lotus Notes - 镜像任务 - 扫描 - 有害程序策略 - 文档 - 参与 McAfee 测试程序的测试 - 联系信息 - 版权和商标归属 - 许可和专利信息 __________________________________________________________________ 新功能 本版本 VirusScan Enterprise 提供以下几种新功能,这些功能可以有助于 防止入侵,并更有效地检测入侵: - 产品版本号 新版本为 8.0i。 产品版本号已经从 7.1 更改为 8.0,这一更改反映了自上次发布以来产 品内部功能的重大更改。 有关详细信息,请参阅以下"新功能"和"更改 的功能"部分。 产品版本号增加"i"表示 McAfee VirusScan Enterprise 是全球第 一款提供主动式入侵防护系统 (IPS) 保护能力的防病毒产品。这些 IPS 功能是由 McAfee Entercept 的"缓冲区溢出保护"功能提供的, McAfee Entercept 是我们的主机入侵防护安全产品。 - 访问保护。 通过此功能您可以限制对端口、文件、共享资源和文件夹的访问,从而防止 入侵。 通过创建规则指定要阻挡的端口以及是否限制对入站或出站进程的访问,可 以阻挡端口。如果您希望允许一个特定进程或一组进程访问准备阻挡的端口, 也可以从规则中排除这些进程。 阻挡端口时,即同时阻挡 TCP 和 UDP 访问。 您可以通过将共享资源设置为只读或阻止对所有共享资源的读取和写入,限 制对共享资源的访问。 您可以通过创建规则阻挡文件和文件夹,规则指定禁止对您定义的文件或文 件夹进行访问的进程、禁止的文件操作以及在某人尝试访问阻挡的项目时应 采取的操作。 这些"访问保护"功能在防范入侵时非常有效。在病毒发作时,管理员可以 阻止对感染病毒区域的访问,直到发布新的 DAT。 注: 如果您阻挡 ePolicy Orchestrator 代理或 Entercept 代理 使用的端口,则代理的进程受到过滤器信任,可以与被阻挡的端口进 行通讯。但是,与这些代理进程无关的通讯将被阻挡。 本版 VirusScan Enterprise 提供了一些端口阻挡规则样本、文件和 文件夹阻挡规则样本。 默认安装本产品时,这些规则中有些会处于警告模 式,而有些则处于阻挡模式。 警告: 虽然采用这些规则的目的是防范各种常见的威胁,但是,也会阻挡合 法的活动。在部署 VirusScan Enterprise 之前,我们建议您查 看一下这些规则,确保它们适合于您的网络环境。 需要考虑的事项: - 白名单。每条端口阻挡规则均包括一些排除在阻挡范围之外的应用程 序。这些列表一般包含多数最常见的电子邮件客户端和 web 浏览器。 请务必查看每个列表,确保其中包含允许发送电子邮件和下载文件 的所有程序。将这些程序列入白名单,确保这些程序不被阻挡。 - 对网络上发生的文件系统活动的阻挡。 某些规则(例如,"禁止远程 创建/修改/删除文件(.exe)")对于阻止自身从一个共享资源复制 到另一个共享资源的病毒非常有效。但是,它们也可能会阻挡那些依 靠将文件推入工作站进行工作的管理系统。例如,在 ePolicy Orchestrator 服务器部署代理时,就是将代理安装程序推送到工 作站的管理共享资源上并运行该程序。在部署之前,请确保为每个规 则选择正确的模式(关闭、警告或阻挡)。 McAfee Installation Designer 可以用于配置 VirusScan 部 署软件包。 警告: 默认规则无法为您的网络环境提供全面的保护。 您所需的限制取决于 您的环境。我们提供的规则的目在于通过示例说明该功能的作用以及 如何利用规则防止某些特定的威胁。 发现新的威胁时,病毒信息库将向您提供建议,告诉您如何利用访问 保护规则阻挡这些新威胁。请访问以下位置的病毒信息库: http://vil.mcafee.com - 源 IP (按访问扫描)。 按访问扫描程序检测到写入共享文件的病毒时,它会在按访问扫描统计信息 对话框和按访问扫描信息对话框中显示检测到的病毒的源 IP 地址。 - 阻挡(按访问扫描)。 使用此功能可以阻挡在共享文件夹中放置了含有已感染病毒文件的远程计 算机的进一步访问。您可以指定阻挡这些连接的时间长短。如果您希望在指 定的时间限制之前取消阻挡所有的连接,您可以在按访问扫描统计对话框中 进行此操作。 - 缓冲区溢出保护。 "缓冲区溢出保护"可以阻止利用缓冲区溢出在计算机上执行代码。此功能 会检测到从堆栈中的数据开始运行的代码,并阻止该代码运行。但是,此功 能不阻止数据写入堆栈。即使"缓冲区溢出保护"功能会阻止受到利用的代 码运行,也不要指望受到利用的应用程序仍然会保持稳定。 VirusScan Enterprise 为大约 30 种最常用且最容易受利用的软件应用程 序及微软 Windows 服务提供缓冲区溢出保护。这些受保护的应用程序在一 个单独的缓冲区溢出保护特征码文件中定义。此 DAT 文件在常规更新期间 随病毒特征码文件一起下载。到本产品发布之日为止,缓冲区溢出保护码文 件中包括以下应用程序: - dllhost.exe - EventParser.exe - excel.exe - explorer.exe - frameworkservice.exe - ftp.exe - iexplore.exe - inetinfo.exe - lsass.exe - mapisp32.exe - mplayer2.exe - msaccess.exe - msimn.exe - mstask.exe - msmsgs.exe - NaimServ.exe - Naprdmgr.exe - Outlook.exe - powerpnt.exe - rpcss.exe - services.exe - sqlservr.exe - SrvMon.exe - svchost.exe - visio32.exe - VSEBOTest.exe - w3wp.exe - winword.exe - wmplayer.exe - wuauclt.exe 缓冲区溢出保护定义文件更新时,此列表也会进行相应的更改。 - 有害程序策略。 使用此功能可以检测到有害程序(例如, Jspyware、adware、dialers、 jokes 等),并对其执行相应的操作。 您可以从当前 -.DAT 文件的预定义列表中选择程序所有类别或这些类别 中的特定程序。也可以添加自己的程序进行检测。 配置分两步进行: - 首先,在"有害程序策略"中配置要检测的程序。默认情况下,此策 略在每个扫描程序属性页中是启用的。 - 其次,逐一配置每个扫描程序(按访问扫描程序、按需扫描程序和电 子邮件扫描程序),并指定在检测到有害程序时扫描程序要执行的操 作。在此处指定的操作与其他扫描设置无关。 对有害程序的实际检测和随后的清除均由 -.DAT 文件决定,正如对病毒 的处理一样。如果检测到有害程序且主要操作设置为"清除",则 -.DAT 文 件会尝试使用 -.DAT 文件中的信息对程序进行清除操作。如果无法清除 检测到的程序,或者不在 -.DAT 文件中(例如用户定义的程序),则清 除操作会失败,并转而执行辅助操作。如果您选择"删除"操作,则仅删除 定义为有害的程序,而遭到修改的注册表键可能会保持不变。 - 脚本扫描(按访问扫描)。 使用此功能可以在执行 JavaScript 和 VBScript 脚本之前对其进行 扫描。脚本扫描程序能够象真正的 Windows 脚本主机组件的代理组件一 样运行。它可以阻止脚本(例如 Internet Explorer 网页脚本)的执 行并对其进行扫描。如果脚本不含有病毒,则将其传送给真正的主机。如果 脚本已感染病毒,则不执行脚本。 - Lotus Notes(电子邮件扫描)。 除基于 MAPI 的电子邮件(例如,Microsoft Outlook)之外,电子邮 件传递扫描程序和按需电子邮件扫描程序现在均扫描 Lotus Notes 邮件 和数据库。 您可以配置一系列属性,应用于所安装的任何电子邮件客户端。 客户端扫描程序具有不同的特点,在《产品指南》的"电子邮件扫描"部分 有此方面的介绍。例如,Microsoft Outlook 邮件在传递时扫描,而 Lotus Notes 邮件则在访问时扫描。 - 选择性更新 (AutoUpdate)。 在 VirusScan 控制台中使用 AutoUpdate 任务有选择地仅更新 DAT 文 件、扫描引擎、产品升级、HotFix、补丁程序或 Service Pack 等。 如果您通过 ePolicy Orchestrator 管理 VirusScan Enterprise, 则只有 ePolicy Orchestrator 3.5 或更高版本才提供此选择性更新 功能。早期版本的 ePolicy Orchestrator 不支持此功能。 - Alert Manager 本地警报。 无需本地安装 Alert Manager 服务器,即可生成 SNMP 陷阱和本地事 件日志条目。 - 修复安装。 通过 VirusScan 控制台"帮助"菜单中的新菜单项,您可以修复安装。 您可以选择将产品恢复为原始安装设置,或重新安装程序文件。 用户必须具有管理权限才能执行这些功能。 管理员可以对此功能进行保护, 即在"用户界面选项"的"密码选项"对话框中为其设置密码。 警告: 将产品恢复为原始安装设置时,自定义的设置会丢失。 重新安装程序文件时,将覆盖 HotFix、补丁程序和 Service Pack。 - 错误报告服务。 错误报告服务启用后,可以提供对 Network Associates 应用程序的持 续后台监控功能,并在检测到问题时提示用户。检测到错误时,用户可以选 择提交数据进行分析或忽略该错误。在 VirusScan 控制台的"工具"中 启用"错误报告服务"。 ______________________________________________________________________ 更改的功能 自上次发布 VirusScan Enterprise 以来,以下功能已发生更改: - 每天更新 (AutoUpdate)。 默认 AutoUpdate 任务时间安排已经从每周更改为每天。当然,管理员 可以修改该时间安排。 - 默认下载站点 (AutoUpdate)。 执行 AutoUpdate 时,现在默认的下载站点为 HTTP 站点,FTP 站点 作为辅助站点。 有关详细说明,请参阅《VirusScan Enterprise 产 品指南》。 - 系统使用率(按需扫描)。 CPU 使用率已更改为系统使用率。 按需扫描启动后,该功能会采集最初 30 秒钟内的 CPU 和 IO 样本,然后根据您在按需扫描属性中指定的使用率 水平进行扫描。这样更为符合实际需要,我们可以根据 CPU 和 IO 的使 用率平衡利用 CPU 和磁盘资源。 - 可恢复的扫描。 经过更改后,按需扫描程序可以执行真正的可恢复扫描。如果在完成扫描之 前中断扫描,则扫描程序会从扫描中断处自动恢复扫描。扫描程序的增量扫 描功能能够识别上一次扫描的文件,因此下次扫描启动时,可以从中断处恢 复扫描。 - 压缩文件扫描。 本版本从扫描选项中删除了"扫描压缩的文件"选项,因为该功能已经在每 种扫描程序中永久性启用了。扫描程序始终会扫描压缩文件。 ______________________________________________________________________ 安装和系统要求 有关安装和系统要求的完整信息,请参阅产品文档。 测试安装 您可以通过在已经安装本软件的任何计算机上运行 EICAR 标准防病毒测试文件, 测试软件的运行情况。EICAR 标准防病毒测试文件是全世界防病毒产品厂商 共同努力的成果,它使客户可以按照一个统一标准验证其安装的防病毒产品。 要测试安装,请: 1. 将下面一行文字复制到一个独立文件中,然后以 EICAR.COM 名称保存该 文件。 X5O!P%@AP[4\PZX54(P^)7CC)7}$EICAR-STANDARD-ANTIVIRUS-TEST-FILE!$H+H* 该文件的大小为 68 或 70 字节。 2. 启动防病毒软件,让它扫描 EICAR.COM 所在的目录。 VirusScan Enterprise 扫描此文件时,它会报告发现 EICAR 测试文 件。 3. 测试完安装的软件后,请删除该文件,以避免对正常用户发出警告。 重要信息: 请注意,此文件并非病毒。 _____________________________________________________________________ 已解决的问题 下面介绍本软件产品以前版本中存在但当前版本中已解决的问题。 1. 问题: VirusScan Enterprise 7.1 按访问扫描程序会对其他 McAfee防病 毒或安全产品的隔离文件夹中包含的数据执行操作,除非从扫描任务中排 除那些文件夹。例如,如果您在已经安装 VirusScan Enterprise 的 同一台计算机上使用 McAfee GroupShield 或 IntruShield,则它 们各自的隔离文件夹可能会包含合法的感染病毒的数据。这些隔离文件夹 应该从按访问扫描任务中排除,以避免清除、删除或移动合法的感染病毒的 数据。 解决方案: 安装程序会检测到其他产品并为其添加排除项。 2. 问题: 对于使用 ePolicy Orchestrator 3.0 创建和部署的按需扫描任务, 可恢复扫描不起作用。 如果在 ePolicy Orchestrator 中创建的按需 扫描在扫描完成之前即结束(由于系统关闭等),就会出现这种问题。按需 扫描任务再次启动时,它会再次从开始位置扫描,而不是从最后扫描的文件 恢复扫描。 解决方案: 对于使用 ePolicy Orchestrator 3.0 创建和部署的按需扫描任务, 可恢复扫描工作正常。 3. 问题: 具有用户权限(相对于具有管理员权限的管理员)的用户回滚 DAT 文件时, 出现下列错误: "无法保存刚刚回滚的 DAT 版本" 这意味着 VirusScan Enterprise 无法创建正确的注册表键,以识别 回滚操作。因此,执行更新可能会重新应用回滚的 DAT。在回滚的 DAT 版 本已损坏(这通常是执行 DAT 回滚的原因)的情况下,这会产生问题。 正常情况下,VirusScan Enterprise 不更新经过回滚的 DAT 版本。 注: 只有在除管理员之外的其他人员执行 DAT 回滚时才出现此问题。在 管理员执行回滚时,不能通过更新应用回滚的 DAT 版本。 解决方案: 无法重新应用回滚的 DAT。 4. 问题: 通过 ePolicy Orchestrator 部署 VirusScan Enterprise 时, 或采用静默安装时,VShield 图标不出现在系统任务栏中。 解决方案: 现在,通过 ePolicy Orchestrator 部署 VirusScan Enterprise 时,或静默安装时,VShield 图标会显示在系统任务栏中。 5. 问题: 将 VirusScan Enterprise 安装至采用 Intel 64 位处理器的系统 时,不能使用 REGSVR32.EXE 正确注册 VSUPDATE.DLL 文件。结果, 在安装完成后执行更新操作时,会出现错误,并会显示以下错误信息: "加载 COM 组件时出错。" 要正确注册.DLL,请在命令提示符下输入以下命令: "<驱动器>:\Winnt\syswow64\regsvr32.exe <installation path>vsupdate.dll" 注: 如果您将 VirusScan Enterprise 安装到默认位置,则安装路径 为: <驱动器>:\Program Files\Network Associates\VirusScan\ 解决方案: 此问题在 VirusScan Enterprise 8.0 中已经得到解决。 ______________________________________________________________________ 已知问题 安装、升级和卸载 1. 在安装结束时,需要重新启动系统(具有可选性),才能加载 TDI 网络驱 动程序。在重新启动计算机之前,"端口阻挡"、"病毒感染跟踪"和"病 毒感染跟踪阻挡"功能均处于禁用状态。 2. Internet Explorer 要求。《VirusScan Enterprise 8.0 安装指 南》中将 Internet Explorer 要求错误列为 5.0 版或更高版本。 Internet Explorer 要求是 Internet Explorer 4.0 版 Service Pack 2 或更高版本。 3. 如果您准备在采用 Windows NT4 操作系统的计算机上安装 VirusScan Enterprise 8.0,并使用 AutoUpdate 功能,则必须首先在该计算机 上安装 Internet Explorer 4.0 Service Pack 2 或更高版本。 如果在您开始在采用 Windows NT4 操作系统的计算机上安装 VirusScan Enterprise 8.0 之前没有安装 Internet Explorer 4.0 Service Pack 2 或更高版本,系统会生成一个错误编号 1920"服务器启动失败" 的错误,要求您选择"放弃"、"重试"或"继续"安装。如果"继续" 安装,则不会安装 AutoUpdate 组件。如果您决定以后安装 AutoUpdate 功能,则必须首先安装 Internet Explorer 4.0 Service Pack 2 或 更高版本,然后,完全删除 VirusScan Enterprise 8.0 并重新安装。 4. 如果您使用未压缩的安装程序"SETUPVSE.EXE"在 Windows NT4 终端服务 器上安装 VirusScan Enterprise,则必须在执行"SETUPVSE.EXE"之前, 先将终端服务器切换到"安装模式"。有关详细信息,请参阅知识库中的文 章 KB37558。 5. 要使用 MSIEXEC.EXE 安装 VirusScan Enterprise 产品,请完成以 下步骤: a. 在命令提示符下输入以下命令,解压缩 .MSI 和其他文件: SETUP.EXE -nos_ne [-nos_o"<output path>"] 注: -nos_ne 命令会从 SETUP.EXE 解压缩安装文件,但是不会 执行 SETUP.EXE 或删除安装文件。 -nos_o"<output path>" 命令会指定用于解压缩安装文件的 目标文件夹。 如果不指定输出路径,这些文件会解压缩到用户配置文件的" Temp"文件夹内。 b. 请确保删除任何其他厂商的产品,包括 McAfee VirusScan 和 VirusScan Enterprise 早期版本。 c. 在命令提示符下输入以下命令,运行 MSIEXEC.EXE: "msiexec.exe /i vse800.msi" 6. 安装"缓冲区溢出保护"功能时,会有以下限制: - 如果在已经安装 McAfee Entercept 代理的计算机上安装 "缓冲区溢出保护",则会在 VirusScan 控制台中禁用"缓 冲区溢出保护"功能。 McAfee Entercept 产品覆盖范围更大,因此 McAfee Entercept 产品优先于 VirusScan Enterprise 中的"缓冲区溢出保护"功 能。 - 在 64 位平台上无法安装"缓冲区溢出保护"。 - 缓冲区溢出保护与 Windows XP 快速用户切换配合使用时,仅 保护会话。 - 缓冲区溢出保护并不保护 Windows 终端服务器或 Citrix MetaFrame 的终端会话。 它仅保护本地登录。 7. 在 64 位平台上无法安装 ScriptScan。 8. 在 64 位平台上无法安装右键单击扫描功能。 9. 本版本支持使用管理安装点 (AIP) 进行部署。但是,必须从 AIP 中 运行 SETUP.EXE,才能执行升级或卸载其他防病毒软件。 要创建 AIP,请在命令提示符下输入"setup.exe /a"。此时会出现一 个向导,指导您创建 AIP。创建 AIP 后,压缩 (.ZIP) 文件中的所有 必要文件均同时复制到 AIP。这些文件包括: - CMU300.NAP - CONTACT.TXT - EXAMPLE.SMS - EXTRA.DAT - INSTALL.PKG - INSTMSIW.EXE - PKGCATALOG.Z - PACKING.LST - README.TXT - SETUP.INI - SETUPVSE.EXE - SIGNLIC.TXT - UNINST.DLL - UNINST.INI - VSE800.NAP - VSE800DET.MCS 由于这些文件会自动复制到 AIP,因此,管理员不需要手动复制这些文件。 注: 如果通过 Active Directory 组策略部署 VirusScan Enterprise(这样会使用 MSIEXEC.EXE 进行安装),则必须首 先删除现有的所有防病毒产品,才能安装 VirusScan Enterprise。 10. 静默完全安装 Computer Associates eTrust Antivirus 程序时, 该操作不完全静默进行。Computer Associates eTrust Antivirus 会显示一个包含"确定"按钮消息框,提示需要重新启动。单击"确定" 后,完全安装会继续正常进行。此问题是 Computer Associates 的 一个已知问题,您可以访问 Computer Associates 的网站,编号为 QO19636 的文章即介绍相关的内容。Computer Associates 网站提 供修补此问题的可下载文件。虽然此问题针对 Computer Associates eTrust Antivirus 6.0 版,但是,该补丁程序对 7.0 版也适用。 与其他产品的兼容性 Alert Manager 1. VirusScan Enterprise 8.0 只能向 Alert Manager 4.7.x 发送 警报。无法向早期版本的 Alert Manager 发送警报。 此外,在已经安装 Alert Manager4.7.x 以前版本的计算机上,无法安 装 VirusScan Enterprise 8.0。如果您在已经安装 Alert Manager 4.5 或 4.6 的系统中安装 VirusScan Enterprise 8.0,应该同时 安装 Alert Manager 4.7.x,该版本会自动替换早期版本。 但是,请注意,Alert Manager 4.7.x 可以接收早期版本的 NetShield 和 VirusScan 发送的警报。您可以配置这些软件程序的早 期版本将警报发送到 Alert Manager 4.7.x。 2. 在 Windows 2003 (.NET) Server 上安装 Alert Manager 时,警 报消息不会自动在 VirusScan Enterprise 8.0 中显示。 您必须手 动启动信息服务: a. 从"开始"菜单中,依次选择 "设置"|"控制面板"|"管理工具"|"服务"|"Messenger" b. 打开"Messenger 的属性"对话框。 c. 在常规选项卡的"启动类型"下,选择"自动"。 d. 在"常规"选项卡的"服务状态"下,单击"启动"。 e. 单击"确定"应用这些更改,并关闭"Messenger 的属性"对话框。 Common Management Agent 1. 在 ePolicy Orchestrator 3.0.x 中安装 VirusScan Enterprise 8.0 不会将 Common Management Agent 自动从早期版本自动升级到 3.5 版。如果您使用 ePolicy Orchestrator 3.0.x 和 VirusScan Enterprise 7.x,则在将 VirusScan Enterprise 8.0 安装软件包 添加至 ePolicy Orchestrator 资料库时,Common Management Agent 不会升级至 3.5 版。 要将 Common Management Agent 从早期版本升级到 3.5 版,必须安 装 Common Management Agent 3.5 版,然后,将其推送到客户端或 执行更新任务。 注: 使用 ePolicy Orchestrator 管理 VirusScan Enterprise 8.0 时,不需要安装 Common Management Agent 3.5。Common Management Agent 3.5 版与其早期版本仅有的不同之处在于: - Common Management Agent 3.5 版能够进行选择性更新,而 早期版本只能进行整体更新。选择性更新允许您单独更-.DAT、 扫描引擎和补丁程序等。 - Common Management Agent 3.5 版不过滤客户端的事件。 2. 如果已经安装 Common Management Agent 3.5 版,则安装 ePolicy Orchestrator 3.0.x 会失败。 如果您尝试在已经安装 VirusScan 8.0 的同一台计算机上安装 ePolicy Orchestrator 3.0.x,则 ePolicy Orchestrator 安装会因为 Common Management Agent 的 升级问题而失败。因为 VirusScan Enterprise 8.0 安装 Common Management Agent 3.5 版,而 ePolicy Orchestrator 3.0.x 安 装早期版本的 Common Management Agent,所以代理程序无法升级, 安装自然会失败。 要解决此问题,请执行以下步骤: a. 删除 VirusScan Enterprise 8.0。 a. 安装 ePolicy Orchestrator 3.0.x。 b. 重新安装 VirusScan Enterprise 8.0。 c. 要在 ePolicy Orchestrator 3.0.x 中将 Common Management Agent 从早期版本升级到 3.5 版,必须在 ePolicy Orchestrator 3.0.x 中安装 Common Management Agent 3.5 版,然后将其推送到客户端或执行更新任务。 ePolicy Orchestrator 1. 如果您准备使用 ePolicy Orchestrator 管理 VirusScan Enterprise 8.0,则必须使用 ePolicy Orchestrator 3.0 版 Service Pack 1 或更高版本。 2. 选择性更新。要使用新的选择性更新功能,必须使用 ePolicy Orchestrator 3.5 或更高版本管理 VirusScan Enterprise.早期 版本的 ePolicy Orchestrator 会执行更新,但是不支持仅更新 .DAT 文件、扫描引擎等的选择性更新。 3. 本版 VirusScan Enterprise 8.0 提供两个 .NAP 文件,必须将这 两个.NAP 文件添加到 ePolicy Orchestrator 资料库内。另外,如 果您运行 ePolicy Orchestrator 3.0.x,在添加两个 .NAP 文件后, 必须运行更新可执行文件,以解决与事件解析程序注册有关的问题。 注: 如果您运行 ePolicy Orchestrator 3.5 版或更高版本,则不需 要运行更新可执行文件。 这些文件随 VirusScan Enterprise 8.0 安装软件包附带,您可以从 下载这些文件的位置找到这些文件: - VSE800.NAP - VSE800REPORTS.NAP.此文件是一个扩展报告.NAP 文件。 - VSE800UPDATEFOREPO30.EXE. 此文件是一个更新可执行文件。 a. 将两个 .NAP 文件添加至 ePolicy Orchestrator 资料库。 注: 我们建议您在安装 VSE800.NAP 之前,先安装 VSE800REPORTS.NAP 文件。按照此顺序安装 .NAP 文件可 以防止在托管产品下显示的 VirusScan Enterprise 英文说 明出现问题。有关详细信息,请参阅本部分的已知问题 8。 b. 如果您使用 ePolicy Orchestrator 3.0.x,则可以在已经安装 ePolicy Orchestrator 3.x 的计算机上执行 VSE800UPDATEFOREPO30.EXE。 此可执行文件用于在 ePolicy Orchestrator 3.0.x 服务器上 注册事件解析程序 .DLL。此更新解决了 ePolicy Orchestrator 的一个问题,这一问题会导致在添加扩展报告 .NAP 时事件解析程序 错误注册。 注: 有关详细信息,请参阅《与 ePolicy Orchestrator 配合使用的 VirusScan Enterprise 8.0 配置指南》。 4. 如果将 VSEREPORTS.NAP 文件登记到 ePolicy Orchestrator 3.01 版或 3.02 版资料库,可能会导致"未指定的错误"。 这是一个控制台超时错误,可以忽略。即使控制台超时,服务器仍会完成 .NAP 文件中所有的 SQL 脚本的执行。 5. 如果您将 Microsoft SQL Server 7.0 版与 ePolicy Orchestrator 3.01 或更高版本配合使用,则在将 VSE800.NAP 文件登记到 ePolicy Orchestrator 资料库中,按需扫描任务不会保留。 必须安装 Microsoft SQL Server 2000 版或更高版本,才能保留按需扫描任务。 6. 从 ePolicy Orchestrator 服务器通过 UNC 将资料库复制到某服务 器,且该服务器已经在"访问保护属性"中启用这些文件阻挡规则时,复制 的资料库可能会损坏: - "禁止远程修改文件 (.exe)" - "禁止远程修改文件 (.dll)" - "禁止远程创建/修改/删除系统根目录中的任何内容" - "禁止远程创建/修改/删除文件 (.exe)" 这些规则启用时,某些文件复制会被阻止,因为 ePolicy Orchestrator 服务器远程打开文件,并采用与共享传播式蠕虫同样的方 式进行写入访问和修改其内容。 如果您准备从 ePolicy Orchestrator 服务器通过 UNC 复制资料库, 请确保在目标服务器上禁用这些文件阻挡规则,然后再执行复制任务。 7. 从资料库中删除项目时,ePolicy Orchestrator 符合性基线不会重新 评估符合性。 例如,在将 VirusScan Enterprise 8.0 登记到 ePolicy Orchestrator 资料库时,它会标记为该环境的新符合性基线。所有已经 安装 VirusScan Enterprise 8.0 以前版本的计算机均标记为不符合。 不过,如果您从资料库中删除 VirusScan Enterprise 8.0,而不是重 新评估符合性,则符合性基线会保持在 8.0 版。即使将 VirusScan Enterprise 7.1 重新登记到资料库,符合性基线只会增量提高。 8. 取决于安装两个 VirusScan Enterprise 8.0 .NAP 文件的顺序, 在 ePolicy Orchestrator"Repository "(资料库)中"Managed Products"(托管产品)|"Windows"|"VirusScan Enterprise"|"8.0.0" 下的 VirusScan Enterprise 8.0 的英文说明可能不可 用。 如果在安装 VSE800REPORTS.NAP 之前已经将 VSE800.NAP 安装 到资料库,则英文说明不可用。 如果在安装 VSE800.NAP 之前已经安装 VSE800REPORTS.NAP, 则英文说明可用。 9. 在 ePolicy Orchestrator"Event Filtering"(事件过滤)策略 中禁用事件过滤。VirusScan Enterprise 会生成许多事件 ID,这些 ID 不会在 ePolicy Orchestrator 过滤器列表中列出。 要确保发送 所有 VirusScan Enterprise 事件,请在策略中禁用事件过滤功能: a. 登录至 ePolicy Orchestrator 控制台。 b. 在"Reporting"下,选择"ePO 数据库"并将其展开。 c. 选择服务器并登录。 d. 选择"事件"。 e. 在右侧窗格中,选择"不过滤事件"。 f. 单击"应用"保存这些设置。 GroupShield 1. 除 VirusScan Enterprise 8.0 和 Alert Manager 4.7.1 之外, 如果您准备使用 GroupShield,请确保在安装 Alert Manager 之 前安装 GroupShield。必须按照此顺序安装,才能确保警报发送正常。 ProtectionPilot 1. 如果您准备使用 Protection Pilot 管理 VirusScan Enterprise 8.0i,则必须使用 Protection Pilot 1.0 版 Patch 1 或更高版本。 2. 如果将 VSEREPORTS.NAP 文件登记到 ProtectionPilot 资料库,可 能会导致"未指定的错误"。 这是一个控制台超时错误,可以忽略。即使控制台超时,服务器仍会完成 .NAP 文件中所有的 SQL 脚本的执行。 3. 在 ProtectionPilot 上无法使用选择性更新。此功能仅在 ePolicy Orchestrator 3.5 或更高版本中提供。 第三方软件 1. Spy Sweeper。如果您使用 Spy Sweeper 扫描 VirusScan Enterprise 安装文件夹,则在它检测到 BHO.DLL 时会发生检测错误。 此文件并不是 spyware;它是随 VirusScan Enterprise 安装的 ScriptScan 的一个组件。 2. Microsoft Windows XP Service Pack 2。如果您使用 Microsoft Windows XP Service Pack 2 并准备通过 ePolicy Orchestrator 管理 VirusScan Enterprise,则 Windows XP Firewall 将禁止这种操作,除非将 FRAMEWORKSERVICE.EXE 添加到 Windows XP Firewall 的排除白名单中。有 关如何进行此操作的信息,请参阅 Microsoft 知识库中的文章 842242。 3. 以下第三方产品与 VirusScan Enterprise 8.0 的"缓冲区溢出"功能不兼 容。如果必须使用这些产品,我们建议您禁用 VirusScan Enterprise"缓 冲区溢出"功能: - Tiny Personal Firewall - CyberArmour Firewall - Zone Alarm Pro 注: VirusScan Enterprise 8.0 和 Zone Alarm Pro 安装在同一 台计算机上时,Zone Alarm Pro 会崩溃。 - BlackIce Firewall 注: 请先安装 VirusScan Enterprise 8.0,然后再安装 BlackIce Firewall,以确保它们兼容。 访问保护 1. 与已知漏洞和弱点相关的端口。使用此链接可以访问一个网站,该站点提供 最经常受利用的 TCP 端口的列表。 http://www.us-cert.gov/current/services_ports.html 注: 如果通过单击无法访问链接,请将其复制粘贴至 web 浏览器,即可 访问该站点。 2. 如果您禁用按访问扫描程序,则同时会禁用端口阻挡规则和您配置的文件、 共享资源以及文件夹规则。 3. 如果您在非英语或本地化环境中使用"访问保护"功能,则默认规则可能会 包含本地化操作系统中不存在的文件夹的参考。 添加文件类型扩展名 1. 如要您在"其他文件类型"或"指定文件类型"对话框中使用通配符指定文 件类型扩展名,则不能使用 (*) 作为通配符。在这些情况下指定文件类型 扩展名时,必须使用问号 (?) 作为通配符。 AUTOUPDATE 1. 只有在更新时登录且对该映射驱动器位置至少具有读取权限时,才能从映射 驱动器进行更新。如果没有用户登录到该系统,或者,虽然登录但是对映射 位置不具有最起码的读取权限,则更新将失败。 2. 编辑资料库列表使用 UNC 路径时,"编辑 AutoUpdate 资料库列表" 对话框不会在接受所输入的路径之前验证其事实上是否为有效的 UNC 共享 资源。 确保输入有效的 UNC 服务器、共享资源和路径名称。输入无效的 UNC 路径可能会导致从此位置进行更新时出现问题。 3. VirusScan Enterprise《产品指南》中的 EXTRA.DAT 信息。这些信息用于 对 VirusScan Enterprise《产品指南》中"更新"部分的信息进行更正。 "更新任务执行过程中的活动"下的"更新"部分中错误地叙述如下: "默认情况下,将新病毒特征
©️2021 CSDN 皮肤主题: 大白 设计师:CSDN官方博客 返回首页
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、C币套餐、付费专栏及课程。

余额充值