神马文学网McAfee 8.7i规则的编写方法
来源:百度文库 编辑:神马文学网 时间:2024/04/26 20:27:20
一、McAfee 8.7i规则编写须知
如果自己不会编写规则,最好的学习方法就是知道规则的写法后,查看和修改其他人现成的规则并学习。
咖啡通配符的解释:
问号 (?) :用于表示任意单个字符,不能为空。如:maxthon? 包含 maxthon1、maxthon2,但不包含maxthon
星号 (*) : 用于排除多个字符,可以为空。如:maxthon* 包含 maxthon1、maxthon1234、maxthon等等
双星号 (**) :表示零个或多个含有反斜杠的字符,这样允许多层次排除。例:C:WINDOWS\**,即为windows目录下(包含各级子目录)的所有文件
另外,**\** 和 **\* 是完全等价的。* 和 **\** 在单独使用时是等价的,均代表“所有的文件”。而*.* 则是代表“所有带后缀的文件”
例如:
C:\WINDOWS\*,代表windows根目录下的所有文件(不包含子目录)
“C:\WINDOWS\**” =“C:\WINDOWS\**\*” =“C:\WINDOWS\**\**”,均代表windows目录下的所有文件(包含子目录)
C:\WINDOWS\*.*,代表windows根目录下的所有带后缀的文件(不包含子目录)
二、McAfee 8.7i文件/文件夹访问保护规则的编写
图片1
文件操作解释:
对文件進行读访问[G]:表面上说禁止对文件的读取,实际上,禁止了读取,效果等于选择了所有项目。即[G]=[G]+[I]+[K]+[H]+[J]+[R]。其中[G]、[I]、[K]、[H]、[J]、[R]仅对规则对象有效。
对文件進行写访问[I]:不折不扣的禁止写入,没有其他副作用,但是一个被保护的文件一旦更名,就可以写入了,且更名不在阻挡范围。
正在执行的文件[K]:仅对执行文件有效(EXE、COM、BAT、DLL、SCR),对CHM、MSI、VBS无效。可更名。
正在创建的新文件[H]:阻挡新文件创建,可以使用名称通配符,后缀通配符。Ⅲ中使用通配符后,有[H]=[H]+[R],[R]根据通配符的不同而不同。没有使用通配符,[R]仅对规则文件有效
正在删除文件[J]:实际效果为:[J]=[J]+[R],[R]仅对规则有效。
重命名文件[R]:不存在的文件操作,但是很重要。
由上述解说可见,[I]和[K]存在更名逃脱规则的风险,所以文件保护规则中只有[I]和[K]时,根据需要选择[J]锁定文件。
三、McAfee 8.7i注册表访问保护规则的编写
图片2
注册表保护
在⑥中选择注册表主键,各主键说明如下:
空白项:默认状态,无任何意义。
HKLM:表示HKEY_LOCAL_MACHINE主键。
HKCU:表示HKEY_CURRENT_USER主键。
HKCR:表示HKEY_CLASSES_ROOT主键。
HKCCS:表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM:表示HKCU+HKLM+HKEY_USER三大主键。
HKALL:表示所有主键。可以近似地当作自定义项来使用。
在⑦中补充完整的键值名,可以使用通配符*或**代表任意项或值。注意:在⑦中填写注册表项隔开的是 /(斜杠)而不是通常的 \(反斜杠)。
四、McAfee 8.7i网络端口访问规则的编写
图片3
端口保护
阻挡端口的范围可以是1——65535