McAfee麦咖啡企业版8.8设置方法

McAfee大企业版规则之强，天诺时空现有规则之厉，相信大家已有所见闻与实践。但是否真的滴水不漏、固若金汤，相信谁也不敢妄言。本教程力图充分利用咖啡规则现有语法特点，引导有一定基础的新手和有兴趣的朋友构筑一个防范严密、高效放心的规则。 既然是防毒，必须从病毒的行为特点出发，制定相应的规则进行防御。按照时间划分，病毒行为可以分为三个阶段： 第一，前期行为，表现为创建病毒文件到本地，途径不外乎有两个，可移动设备和网络，其中病毒文件主体90%都是exe文件和dll文件，其它尚有sys、bat、com、pif、vbs、autorun.inf等； 第二，中期行为，表现为从本地激活运行病毒，释放sys驱动文件、bat批处理文件、autorun.inf驱动文件等； 第三，后期行为，表现为修改、创建exe、dll、sys等文件，访问服务管理器添加服务或加载驱动，修改注册表以实现自启动，添加开机启动项目，添加任务计划，注入其它进程，底层访问磁盘、屏幕、键盘，修改hosts文件等。 针对病毒的以上特点，规则必须做到： 第一、前期防御：设置规则防止病毒创建文件到本地，即所谓的入口防御。入口规则设置可以有几种思路，一是分别设置全局规则禁止创建可执行文件，例如邪版8.8经典规则；二是分别设置浏览器、U盘规则禁止创建可执行文件，如猫版64位Win7规则；三是通过严格保护系统和软件文件夹来变相实现入口防御，如墨池镇版规则和storyhare的系列规则。 第二、中期防御：设置规则防止本地病毒激活并运行。禁运规则必须有效直接禁止已知病毒和未知程序在任何位置运行，而不是等着病毒去修改系统文件才阻止，这是目前所有规则的弱项。墨池镇版规则有这个意识，但没有完全实现。原因很简单，大家对咖啡的权限控制还没有完全搞懂，后面专门论述。 第三，后期防御：设置规则防止病毒运行后的一系列破坏行为，这可以通过禁止未知程序修改系统、软件文件或者全局禁止修改可执行文件来实现。这是目前所有规则防御的重点，而且效果很好。 从防御效果方面而言，防御越靠前越主动，越靠后越被动。虽然最终效果可能一样，但时间长了机器的干净和正常程度可能会有区别，例如系统一切正常，而实际可能成了养马场、病毒库。所以前期入口规则一定要重视，中期禁运规则必须要加强。 搞清楚咖啡提供的权限控制方法，是设置禁运规则的关键。下面先看以下两条规则的区别。 规则名称：只读权限_Windows 要包含的进程：*\\Windows\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 规则名称：只读保护_Windows 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：写 创建 删除 第一条规则的含义是禁止Windows文件夹下的所有文件修改所有文件，也就是没有排除的系统文件没有修改别人的权力。第二条规则的含义是禁止所有程序修改Windows文件夹下的所有文件，即保护系统文件不被别人修改，排除者除外。由此可见，要想控制系统文件修改别人的权限——即中期防御，应该采用第一种写法。同理，要想控制Windows文件夹下的文件的运行权限，应该写成： 规则名称：读写权限_Windows 要包含的进程：*\\Windows\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 这样就可以防止Windows文件夹下的未知文件运行，从而达到直接防止病毒激活并运行的目的，让它自娱自乐的机会都没有。 归纳了一下，有意义的文件权限可以分为： 1、读写权限——“读 写 执行 创建 删除”别人的权力； 2、只读权限——“写 创建 删除”别人的权力； 与以上相关的规则可以称之为“权限规则”。 3、读写保护——别人“读 写 执行 创建 删除”保护对象的权力； 4、只读保护——别人“写 创建 删除”保护对象的权力 与以上相关的规则可以称之为“保护规则”。 5、双向读写——既管制程序读写别人的权限，又保护对象文件不可读写。 6、双向只读——既管制程序修改别人的权限，又保护对象文件不被修改。 以上规则只有全局通配符的规则可以做到，可以称之为“全局规则”。 如果我们把不同权限与合理的分组结合起来，就可以严密控制，使任意位置的病毒、木马完全瘫痪，没有一丝爆发的机会。这里要特别说明一下，为什么要分组呢？两个原因，一个是咖啡的排除字符数有限制（2599），一个是分组容易区别控制。至于怎样分组为好、分组多少为好，视个人软件数量和个人喜好而定。下面给一个按权限分组防御的参考框架： 一、读写双向权限（修改默认规则） 规则名称：阻止对所有共享资源的读写访问 要包含的进程：** 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\Program Files\\**\\*.exe 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 ——————————————– 权限：运行权力+访问保护。 作用：禁止一切非信任区文件的运行 对所有本地文件进行访问保护 禁止所有非exe文件的运行与访问 禁止所有远程操作 排除：不要使用绝对路径，目的有二：一是保证规则优先起作用（咖啡规则有一定的优先级，下面专门介绍），规则威力最大；二是方便自定义规则的分组；三是一旦排除就获得双向控制权，反而于安全不利。 二、只读双向权限（修改默认规则） 规则名称：将所有共享项设为只读 要包含的进程：** 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\**\\*.exe, E:\\AloneSbck\\**\\*.exe, E:\\KangXiDict\\**\\*.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 ——————————————– 这种写法包含了修改与只读两种权限，作用有四：禁止一切非信任区的文件的修改文件，对所有本地文件进行只读保护，禁止所有非exe文件修改本地文件，禁止所有远程修改操作。这里的排除不要用绝对路径，原因同上。 三、读写权限 规则名称：读写权限_Windows 要包含的进程：*\\Windows\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除，内存进程参照*\\WINDOWS\\system32\\winlogon.exe排除。 规则名称：读写权限_C:\\Program Files 要包含的进程：C:\\Program Files\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。 规则名称：分组运行权限_E:\\Program Files 要包含的进程：E:\\Program Files\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。这里是把软件装在E盘的写法。如果装在C盘，比较麻烦，可以把进程较多的软件单提出来分组，作为权变，例如C:\\Program Files\\McAfee\\**、C:\\Program Files\\Microsoft Office\\**、C:\\Program Files\\Common Files\\**等。 四、只读权限 规则名称：只读权限_Windows 要包含的进程：*\\Windows\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。 规则名称：只读权限_Program Files 要包含的进程：*\\Program Files*\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。 五、读写保护 规则名称：读写保护_Windows 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。需要分组。 规则名称：读写保护_Program Files 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**\\Program Files*\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。需要分组。 六、只读保护 规则名称：只读保护_Windows 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：写 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。 规则名称：只读保护_Program Files 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**\\Program Files*\\** 要禁止的文件：写 创建 删除 是否勾选报告：是 ————————————————- 排除：采用绝对路径排除。 按权限分组防御系统至此完全形成。总体防护效果是：非信任区一切运行与修改都无法进行，“全局规则”起作用，止步于中期行为，拦截彻底，速度快，无弹窗，无遗漏，日志仅一条；信任区内未排除程序一切运行与修改都无法进行，“只读权限”规则先起作用，如有遗漏，“全局只读”以及相应的“分组访问保护”规则迅速补上，拦截彻底，速度快，无弹窗，日志较少，无遗漏。所以，以上“组以权分，分期防御”组成了一个强大的防御系统，可以完美拦截一切未知程序的所有行为。这种交叉火力防护，是纯后期防御无法达到的。 下面补充几个问题： 第一，咖啡规则的优先级。有人说咖啡没有优先级，这是片面的。咖啡规则的优先级很复杂，归纳如下（“>”表示优先于）： 1、杀毒 > 规则 2、文件规则 > 注册表 > 端口规则 3、注册表项规则 > 注册表值规则 4、全局规则 > 权限规则 > 保护规则 5、全通配符规则 > 带通配符相对路径规则 > 无通配符绝对路径规则 > 单文件规则 所以，全局规则采用绝对路径排除会降低规则优先级，反而会在应该起作用的时候反应滞后，起不到应有的中期拦截的作用，故用通配符相对路径排除更好。 第二、要想把规则打造成铁桶，还要做好入口防御和高危过滤。建议设置和补充如下规则： 规则名称：禁止远程创建/修改可执行文件和配置文件 要包含的进程：** 要排除的进程： 是否勾选报告：是 ——————————– 采用绝对路径排除，只要不排除浏览器，入口就基本扎好了。 规则名称：文件禁改_exe 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**.exe 要禁止的文件操作：写入 创建 ————————————————- 作用：弥补默认“最大保护”规则防护面积的不足（默认只防了C盘Windows与Program Files文件夹） 规则名称：文件禁改_dll 要包含的进程：** 要排除的进程： 要阻止的文件或文件夹名：**.dll 要禁止的文件操作：写入 创建 ————————————————- 作用：弥补默认“最大保护”规则防护面积的不足（默认只防了C盘Windows与Program Files文件夹） 规则名称：高危过滤_文件 要包含的进程：*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\\Local Settings\\Temporary Internet Files\\**, *\\RECYCLER*\\**, *\\System Volume Information\\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe 要排除的进程：无 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：否 ————————————————- 要包含的进程可以自由添加，包括容易被病毒利用而又不常用的系统文件，以及已知的病毒文件名、双后缀文件名等，相当于黑名单。 规则名称：高危过滤_注册表项 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\ctfmon.exe, E:\\Program Files\\CCleaner\\CCleaner.exe 要保护的注册表项目或注册表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/** 要保护的注册表项或注册表值：项 要阻止的注册表：写入 创建 删除 是否勾选报告：否 ————————————————- 一般不用添加排除。 13 规则名称：高危过滤_注册表值 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\ctfmon.exe, E:\\Program Files\\CCleaner\\CCleaner.exe 要保护的注册表项目或注册表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/** 要保护的注册表项或注册表值：值 要阻止的注册表：写入 创建 删除 是否勾选报告：否 ————————————————- 一般不用添加排除。 第三、设置规则必须全盘考虑，尽量做到滴水不漏。规则最好自己设置、排除，这样才能完全适合自己，排除容量才会够用。 第四、一条规则误排除没有关系，全部误排除才会中毒，这就是分组分权限详细设置规则的优势，当然，打磨的难度的确大大增加。如果你是一个爱好折腾、追求高安全的人，其乐无穷！ 第五、打磨规则是有顺序的。尽量按照咖啡的优先级逐个打磨，即全局规则——>权限规则——>保护规则——>文件规则。打磨一个规则时，只勾选报告，完成后再勾选阻止，而其它规则一律不阻止、不报告。这样逐个磨出来的规则会减少许多重复排除，对系统运行的影响可以降到最低。 最后的关键：其它的默认规则也尽量采用绝对路径排除，降低优先级，这样就把全局规则推到最高优先级别，使整套规则形成这样一种优先级别合理、按权限分组、分期行为交叉防御的高效的强大体系： 全局规则——>分组权限规则——>分组保护规则——>文件权限规则——>文件保护规则。 如果你详细阅读并理解了以上内容，就可以进入规则打磨了。 下面把自己XP下的8.8实机规则完整贴出来，供大家打磨规则时参考，欢迎批评指正！ —————————-默认规则————————————— 《防间谍程序标准保护》 规则名称：保护Internet Explorer收藏夹和设置 要包含的进程：** 要排除的进程：C:\\Program Files\\Internet Explorer\\iexplore.exe, C:\\Windows\\explorer.exe, E:\\Program Files\\CCleaner\\CCleaner.exe 是否勾选报告：否 《防间谍程序最大保护》 规则名称：禁止安装新的 CLSID、APPID 和 TYPELIB 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\Restore\\rstrui.exe 是否勾选报告：否 规则名称：禁止所有程序从 Temp 文件夹运行文件 要包含的进程：** 要排除的进程：C:\\Windows\\System32\\cleanmgr.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe 是否勾选报告：是 规则名称：禁止从 Temp 文件夹执行脚本 要包含的进程：?script.exe 要排除的进程：无 是否勾选报告：否 《防病毒标准保护》 规则名称：禁止禁用注册表编辑器和任务管理器 要包含的进程：** 要排除的进程：无 是否勾选报告：是 规则名称：禁止更改用户权限策略 要包含的进程：** 要排除的进程：C:\\Windows\\system32\\lsass.exe 是否勾选报告：是 规则名称：禁止远程创建/修改可执行文件和配置文件 要包含的进程：*.* 要排除的进程：*\\Windows\\system32\\wbem\\WMIADAP.EXE, *\\Windows\\system32\\winlogon.exe, C:\\Program Files\\Adobe\\ARM\\1.0\\AdobeARM.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe, C:\\Program Files\\CCBComponents\\Detector\\CCBDetector.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\ScanDrv6\\5000\\ScanDrv.exe, C:\\Program Files\\Windows Media Player\\setup_wm.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe, C:\\Windows\\explorer.exe, C:\\Windows\\Microsoft.NET\\**\\mscorsvw.exe, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\Windows\\regedit.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\Windows\\SoftwareDistribution\\Download\\**\\update.exe, C:\\Windows\\System32\\cleanmgr.exe, C:\\Windows\\system32\\defrag.exe, C:\\WINDOWS\\system32\\dwwin.exe, C:\\Windows\\System32\\ie4uinit.exe, C:\\Windows\\system32\\imapi.exe, C:\\Windows\\system32\\lsass.exe, C:\\Windows\\system32\\mmc.exe, C:\\Windows\\system32\\msdt.exe, C:\\Windows\\System32\\msdtc.exe, C:\\WINDOWS\\system32\\mspaint.exe, C:\\Windows\\system32\\notepad.exe, C:\\Windows\\System32\\rundll32.exe, C:\\Windows\\system32\\SearchProtocolHost.exe, C:\\Windows\\system32\\services.exe, C:\\WINDOWS\\system32\\spoolsv.exe, C:\\Windows\\system32\\sppsvc.exe, C:\\Windows\\system32\\svchost.exe, C:\\Windows\\system32\\wbem\\WMIADAP.EXE, C:\\Windows\\system32\\wbem\\wmiprvse.exe, C:\\Windows\\system32\\wuapp.exe, C:\\Windows\\system32\\wuauclt.exe, E:\\4KBrowser\\4KServer\\4KServer.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SbckServer\\SbckServer.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\ACD Systems\\ACDSee\\10.0\\ACDSee*.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\**\\*.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\HYDCGB.V20\\HYDCV20.EXE, E:\\Program Files\\Kingsoft\\webshield\\*.exe, E:\\Program Files\\Macromedia\\Flash*\\Flash.exe, E:\\Program Files\\McAfee\\**\\*.exe, E:\\Program Files\\Microsoft Office\\OFFICE11\\*.EXE, E:\\Program Files\\Microsoft Virtual PC\\Virtual PC.exe, E:\\Program Files\\Thunder Network\\Thunder\\Program\\Thunder.exe, E:\\Program Files\\WinRAR\\WinRAR.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\植物大战僵尸绿色版\\PlantsVsZombies.exe, H:\\**\\*.exe 是否勾选报告：是 规则名称：禁止远程创建自动运行文件 要包含的进程：** 要排除的进程：无 是否勾选报告：否 规则名称：禁止拦截 .EXE 和其他可执行文件扩展名 要包含的进程：** 要排除的进程：无 是否勾选报告：否 规则名称：禁止伪装 Windows 进程 要包含的进程：** 要排除的进程：C:\\Windows\\explorer.exe 是否勾选报告：否 规则名称：禁止群发邮件蠕虫发送邮件 要包含的进程：** 要排除的进程：无 是否勾选报告：是 规则名称：禁止 IRC 通信 要包含的进程：** 要排除的进程：无 是否勾选报告：是 规则名称：禁止使用 tftp.exe 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe 是否勾选报告：是 《防病毒最大保护》 规则名称：禁止 Svchost 执行非 Windows 可执行文件 要包含的进程：svchost.exe 要排除的进程：无 是否勾选报告：否 规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击 要包含的进程：** 要排除的进程：C:\\Program Files\\CCBComponents\\Detector\\CCBDetector.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Common Files\\Adobe\\ARM\\1.0\\AdobeARM.exe, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\Internet Explorer\\iexplore.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe, C:\\Windows\\explorer.exe, C:\\Windows\\helppane.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\Windows\\SoftwareDistribution\\Download\\**\\update.exe, C:\\Windows\\system32\\dwwin.exe, C:\\WINDOWS\\system32\\Restore\\rstrui.exe, C:\\Windows\\System32\\rundll32.exe, C:\\Windows\\System32\\svchost.exe, C:\\Windows\\system32\\verclsid.exe, C:\\Windows\\SysWOW64\\rundll32.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS*\\Photoshop.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\**\\*.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\Kingsoft\\webshield\\*.exe, E:\\Program Files\\McAfee\\**\\*.exe, E:\\Program Files\\Microsoft Office\\OFFICE11\\*.EXE 是否勾选报告：是 规则名称：禁止更改所有文件扩展名的注册 要包含的进程：** 要排除的进程：C:\\Program Files\\**\\*.*, C:\\WINDOWS\\**\\*.*, E:\\Program Files\\**\\*.* 是否勾选报告：否 规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击 要包含的进程：** 要排除的进程：C:\\Program Files\\CCBComponents\\Detector\\CCBDetector.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Common Files\\Adobe\\ARM\\1.0\\AdobeARM.exe, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\Internet Explorer\\iexplore.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe, C:\\Windows\\explorer.exe, C:\\Windows\\helppane.exe, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\Windows\\SoftwareDistribution\\Download\\**\\update.exe, C:\\Windows\\System32\\cleanmgr.exe, C:\\Windows\\system32\\dwwin.exe, C:\\Windows\\system32\\mmc.exe, C:\\Windows\\System32\\powercfg.exe, C:\\WINDOWS\\system32\\Restore\\rstrui.exe, C:\\Windows\\System32\\rundll32.exe, C:\\Windows\\system32\\SearchProtocolHost.exe, C:\\Windows\\System32\\svchost.exe, C:\\Windows\\system32\\verclsid.exe, C:\\Windows\\SysWOW64\\rundll32.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\**\\*.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\Kingsoft\\webshield\\*.exe, E:\\Program Files\\Macromedia\\Flash 8\\Flash.exe, E:\\Program Files\\McAfee\\**\\*.exe, E:\\Program Files\\Microsoft Office\\OFFICE11\\*.EXE, E:\\Program Files\\Thunder Network\\Thunder\\Program\\Thunder.exe 是否勾选报告：是 《防病毒爆发控制》 规则名称：将所有共享项设为只读 要包含的进程：*.* 要排除的进程：*\\Windows\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\**\\*.exe, E:\\AloneSbck\\**\\*.exe, E:\\KangXiDict\\**\\*.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 是否勾选报告：是 规则名称：阻止对所有共享资源的读写访问 要包含的进程：*.* 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\**\\*.exe, E:\\AloneSbck\\**\\*.exe, E:\\KangXiDict\\**\\*.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 是否勾选报告：是 《通用标准保护》 规则名称：禁止修改 McAfee 文件和设置 要包含的进程：** 要排除的进程：C:\\Windows\\system32\\services.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\VsTskMgr.exe 是否勾选报告：是 规则名称：禁止修改 McAfee Common Management Agent 文件和设置 要包含的进程：** 要排除的进程：C:\\Windows\\system32\\services.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe 是否勾选报告：是 规则名称：禁止修改 McAfee 扫描引擎文件和设置 要包含的进程：** 要排除的进程：E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe 是否勾选报告：是 规则名称：保护 Mozilla 及 FireFox 文件和设置 要包含的进程：** 要排除的进程：C:\\Program Files\\**\\*.*, E:\\Program Files\\**\\*.* 是否勾选报告：是 规则名称：保护 Internet Explorer 设置 要包含的进程：** 要排除的进程：C:\\Program Files\\Internet Explorer\\iexplore.exe, C:\\Windows\\explorer.exe 是否勾选报告：是 规则名称：禁止安装 Browser Helper Objects 和 Shell Extensions 要包含的进程：** 要排除的进程：E:\\Program Files\\McAfee\\**\\*.exe 是否勾选报告：是 规则名称：保护网络设置 要包含的进程：** 要排除的进程：C:\\Windows\\system32\\services.exe, C:\\Windows\\System32\\svchost.exe, E:\\Program Files\\McAfee\\**\\*.exe 是否勾选报告：是 规则名称：禁止公用程序从 Temp 文件夹运行文件 要包含的进程：eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe 要排除的进程：无 是否勾选报告：是 规则名称：在 Internet Explorer 中禁用 HCP URL 要包含的进程：iexplore.exe, wmplayer.exe 要排除的进程：无 是否勾选报告：是 规则名称：防止终止 McAfee 进程 要包含的进程：** 要排除的进程：无 是否勾选报告：是 《通用最大保护》 规则名称：禁止将程序注册为自动运行 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\ctfmon.exe, E:\\Program Files\\COMODO\\**\\*.exe, E:\\Program Files\\Kingsoft\\webshield\\*.exe, E:\\Program Files\\McAfee\\**\\*.exe 是否勾选报告：是 规则名称：禁止将程序注册为服务 要包含的进程：** 要排除的进程：C:\\Program Files\\Internet Explorer\\iexplore.exe, C:\\Windows\\explorer.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\Windows\\SoftwareDistribution\\Download\\**\\update.exe, C:\\WINDOWS\\system32\\ctfmon.exe, C:\\Windows\\system32\\DllHost.exe, C:\\Windows\\system32\\mmc.exe, C:\\Windows\\System32\\rundll32.exe, C:\\Windows\\system32\\SearchIndexer.exe, C:\\Windows\\system32\\services.exe, C:\\Windows\\system32\\sppsvc.exe, C:\\Windows\\system32\\svchost.exe, C:\\Windows\\system32\\vssvc.exe, C:\\Windows\\SysWOW64\\rundll32.exe, E:\\Program Files\\COMODO\\**\\*.exe, E:\\Program Files\\Kingsoft\\webshield\\*.exe, E:\\Program Files\\McAfee\\**\\*.exe 是否勾选报告：是 规则名称：禁止在 Windows 文件夹中创建新的可执行文件 要包含的进程：*.* 要排除的进程：C:\\WINDOWS\\Microsoft.NET\\Framework\\v2.0.50727\\mscorsvw.exe, C:\\Windows\\servicing\\TrustedInstaller.exe 是否勾选报告：是 规则名称：禁止在 Program Files 文件夹中创建新的可执行文件 要包含的进程：** 要排除的进程：E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe 是否勾选报告：是 规则名称：禁止从 Downloaded Program Files 文件夹启动文件 要包含的进程：** 要排除的进程：无 是否勾选报告：是 规则名称：禁止 FTP 通信 要包含的进程：** 要排除的进程：无 是否勾选报告：是 规则名称：禁止 HTTP 通信 要包含的进程：** 要排除的进程：C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe 是否勾选报告：是 《虚拟机保护》 规则名称：防止终止 VMWare 进程 要包含的进程：** 要排除的进程：C:\\Program Files\\**\\*.*, C:\\WINDOWS\\**\\*.*, E:\\Program Files\\**\\*.* 是否勾选报告：是 规则名称：禁止修改 VMWare Workstation 文件和设置 要包含的进程：** 要排除的进程：C:\\Program Files\\**\\*.*, C:\\WINDOWS\\**\\*.*, E:\\Program Files\\**\\*.* 是否勾选报告：是 规则名称：禁止修改 VMWare Server 文件和设置 要包含的进程：** 要排除的进程：C:\\Program Files\\**\\*.*, C:\\WINDOWS\\**\\*.*, E:\\Program Files\\**\\*.* 是否勾选报告：是 规则名称：禁止修改 VMWare 虚拟机文件 要包含的进程：** 要排除的进程：C:\\Program Files\\**\\*.*, C:\\WINDOWS\\**\\*.*, E:\\Program Files\\**\\*.* 是否勾选报告：是 —————————-用户定义的规则—————————————– 01 规则名称：全局只读保护_注册表项 要包含的进程：** 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\**\\*.exe, E:\\AloneSbck\\**\\*.exe, E:\\KangXiDict\\**\\*.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要保护的注册表项目或注册表值：HKALL /** 要保护的注册表项或注册表值：项 要阻止的注册表：写入 创建 删除 是否勾选报告：是 02 规则名称：全局只读保护_注册表项 要包含的进程：** 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\**\\*.exe, E:\\AloneSbck\\**\\*.exe, E:\\KangXiDict\\**\\*.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要保护的注册表项目或注册表值：HKALL /** 要保护的注册表项或注册表值：值 要阻止的注册表：写入 创建 删除 是否勾选报告：是 03 规则名称：全局控制端口_入站 要包含的进程：*.* 要排除的进程：cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe 要阻止的端口：1-65535 方向：入站 是否勾选报告：是 04 规则名称：全局控制端口_出站 要包含的进程：*.* 要排除的进程：C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe 要阻止的端口：1-65535 方向：出站 是否勾选报告：是 05 规则名称：读写权限_Windows 要包含的进程：*\\Windows\\** 要排除的进程：*\\WINDOWS\\system32\\csrss.exe, *\\WINDOWS\\system32\\WBEM\\WMIADAP.EXE, *\\WINDOWS\\system32\\winlogon.exe, C:\\WINDOWS\\Explorer.EXE, C:\\WINDOWS\\IME\\imjp8_1\\IMJPMIG.EXE, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\WINDOWS\\regedit.exe, C:\\WINDOWS\\RTHDCPL.EXE, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\Windows\\SoftwareDistribution\\Download\\**\\update.exe, C:\\WINDOWS\\system32\\Ati2evxx.exe, C:\\WINDOWS\\system32\\cleanmgr.exe, C:\\WINDOWS\\system32\\cmd.exe, C:\\WINDOWS\\system32\\ctfmon.exe, C:\\WINDOWS\\system32\\defrag.exe, C:\\WINDOWS\\system32\\DfrgNtfs.exe, C:\\WINDOWS\\system32\\drwtsn32.exe, C:\\WINDOWS\\system32\\dumprep.exe, C:\\WINDOWS\\system32\\dwwin.exe, C:\\WINDOWS\\system32\\imapi.exe, C:\\WINDOWS\\system32\\IME\\TINTLGNT\\TINTSETP.EXE, C:\\WINDOWS\\system32\\logonui.exe, C:\\WINDOWS\\system32\\lsass.exe, C:\\WINDOWS\\system32\\mmc.exe, C:\\WINDOWS\\system32\\mspaint.exe, C:\\WINDOWS\\system32\\notepad.exe, C:\\WINDOWS\\system32\\ntbackup.exe, C:\\WINDOWS\\system32\\Restore\\rstrui.exe, C:\\WINDOWS\\system32\\rsmsink.exe, C:\\WINDOWS\\system32\\rundll32.exe, C:\\WINDOWS\\system32\\services.exe, C:\\WINDOWS\\system32\\sndrec32.exe, C:\\WINDOWS\\system32\\spoolsv.exe, C:\\WINDOWS\\system32\\svchost.exe, C:\\WINDOWS\\system32\\Taskmgr.exe, C:\\WINDOWS\\system32\\userinit.exe, C:\\WINDOWS\\system32\\verclsid.exe, C:\\WINDOWS\\system32\\WatchData\\Watchdata CCB CSP v3.2\\WDKeyMonitorCCB.exe, C:\\WINDOWS\\System32\\wbem\\wmiprvse.exe, C:\\WINDOWS\\system32\\wuauclt.exe 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 06 规则名称：读写权限_C:\\Program Files 要包含的进程：C:\\Program Files\\** 要排除的进程：C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe, c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe, C:\\Program Files\\CCBComponents\\Detector\\CCBDetector.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Chinatelecom C+W\\CWCleanTools.exe, C:\\Program Files\\Chinatelecom C+W\\LoginAccount.exe, C:\\Program Files\\Common Files\\Adobe\\ARM\\1.0\\AdobeARM.exe, C:\\Program Files\\Common Files\\Macrovision Shared\\FLEXnet Publisher\\FNPLicensingService.exe, C:\\Program Files\\Common Files\\McAfee\\SystemCore\\EntVUtil.EXE, C:\\Program Files\\Common Files\\Microsoft Shared\\IME\\IMSC40A\\IMSCMIG.EXE, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\Intel\\Intel(R) Management Engine Components\\LMS\\LMS.exe, C:\\Program Files\\Intel\\Intel(R) Management Engine Components\\UNS\\UNS.exe, C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE, C:\\Program Files\\ScanDrv6\\5000\\ScanDrv.exe, C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 07 规则名称：读写权限_E:\\Program Files 要包含的进程：E:\\Program Files\\** 要排除的进程：E:\\Program Files\\ACD Systems\\ACDSee\\10.0\\ACDSee10.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfp.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfplogvw.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfpupdat.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe, E:\\Program Files\\HA_GoldWave557_HZ\\GoldWave.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\HYDCGB.V20\\HYDCV20.EXE, E:\\Program Files\\Kingsoft\\webshield\\kisaddin.exe, E:\\Program Files\\Kingsoft\\webshield\\KSWebShield.exe, E:\\Program Files\\Kingsoft\\webshield\\KWSMain.exe, E:\\Program Files\\Kingsoft\\webshield\\kwstray.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsupd.exe, E:\\Program Files\\Kingsoft\\webshield\\KWSUpreport.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe, E:\\Program Files\\McAfee\\Common Framework\\naPrdMgr.exe, E:\\Program Files\\McAfee\\Common Framework\\udaterui.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcconsol.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\MCUPDATE.EXE, E:\\Program Files\\McAfee\\VirusScan Enterprise\\SCAN32.EXE, E:\\Program Files\\McAfee\\VirusScan Enterprise\\shcfg32.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\SHSTAT.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\EXCEL.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\POWERPNT.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE, E:\\Program Files\\Microsoft Virtual PC\\Virtual PC.exe, E:\\Program Files\\TTKN\\CAJViewer 7.0\\CAJViewer.exe, E:\\Program Files\\UltraISO\\UltraISO.exe, E:\\Program Files\\WinRAR\\WinRAR.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\工具\\**\\*.exe, E:\\Program Files\\植物大战僵尸绿色版\\PlantsVsZombies.exe 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 08 规则名称：只读权限_Windows 要包含的进程：*\\Windows\\** 要排除的进程：*\\WINDOWS\\system32\\WBEM\\WMIADAP.EXE, *\\WINDOWS\\system32\\winlogon.exe, *\\WINDOWS\\system32\\winlogon.exe. C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe, C:\\WINDOWS\\Explorer.EXE, C:\\WINDOWS\\SoftwareDistribution\\Download\\**\\update.exe, C:\\WINDOWS\\system32\\mspaint.exe, C:\\WINDOWS\\system32\\notepad.exe, C:\\WINDOWS\\system32\\rundll32.exe, C:\\WINDOWS\\system32\\services.exe, C:\\WINDOWS\\system32\\svchost.exe, C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe, C:\\WINDOWS\\system32\\wuauclt.exe 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 是否勾选报告：是 09 规则名称：只读权限_Program Files 要包含的进程：*\\Program Files*\\** 要排除的进程：C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CCC.exe, C:\\Program Files\\CCBComponents\\Detector\\CCBDetector.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Common Files\\Adobe\\ARM\\1.0\\AdobeARM.exe, C:\\Program Files\\Common Files\\Macrovision Shared\\FLEXnet Publisher\\FNPLicensingService.exe, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE, C:\\Program Files\\ScanDrv6\\5000\\ScanDrv.exe, C:\\Program Files\\Windows Defender\\MSASCui.exe, C:\\Program Files\\Windows Media Player\\setup_wm.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe, E:\\Program Files\\ACD Systems\\ACDSee\\10.0\\ACDSee10.exe, E:\\Program Files\\ACD Systems\\ACDSee\\10.0\\ACDSeeQV10.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32Info.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfp.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfplogvw.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfpupdat.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe, E:\\Program Files\\HA_GoldWave557_HZ\\GoldWave.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\HYDCGB.V20\\HYDCV20.EXE, E:\\Program Files\\Kingsoft\\webshield\\kisaddin.exe, E:\\Program Files\\Kingsoft\\webshield\\KSWebShield.exe, E:\\Program Files\\Kingsoft\\webshield\\KWSMain.exe, E:\\Program Files\\Kingsoft\\webshield\\kwstray.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsupd.exe, E:\\Program Files\\Kingsoft\\webshield\\KWSUpreport.exe, E:\\Program Files\\Macromedia\\Flash*\\Flash.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe, E:\\Program Files\\McAfee\\Common Framework\\udaterui.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\SHSTAT.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\*.EXE, E:\\Program Files\\Microsoft Virtual PC\\Virtual PC.exe, E:\\Program Files\\UltraISO\\UltraISO.exe, E:\\Program Files\\WinRAR\\WinRAR.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\工具\\**\\*.exe, E:\\Program Files\\植物大战僵尸绿色版\\PlantsVsZombies.exe 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 是否勾选报告：是 10 规则名称：读写保护Windows_W 要包含的进程：** 要排除的进程：*\\WINDOWS\\system32\\csrss.exe, *\\WINDOWS\\system32\\WBEM\\WMIADAP.EXE, *\\WINDOWS\\system32\\winlogon.exe, C:\\Program Files\\**\\*.exe, C:\\WINDOWS\\Explorer.EXE, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\WINDOWS\\RTHDCPL.EXE, C:\\WINDOWS\\system32\\Ati2evxx.exe, C:\\WINDOWS\\system32\\ctfmon.exe, C:\\WINDOWS\\system32\\defrag.exe, C:\\WINDOWS\\system32\\DfrgNtfs.exe, C:\\WINDOWS\\system32\\logonui.exe, C:\\WINDOWS\\system32\\lsass.exe, C:\\WINDOWS\\system32\\mspaint.exe, C:\\WINDOWS\\system32\\NOTEPAD.EXE, C:\\WINDOWS\\system32\\rundll32.exe, C:\\WINDOWS\\system32\\services.exe, C:\\WINDOWS\\system32\\spoolsv.exe, C:\\WINDOWS\\system32\\svchost.exe, C:\\WINDOWS\\system32\\taskmgr.exe, C:\\WINDOWS\\system32\\verclsid.exe, C:\\WINDOWS\\system32\\WatchData\\Watchdata CCB CSP v3.2\\WDKeyMonitorCCB.exe, C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe, C:\\WINDOWS\\system32\\wuauclt.exe, E:\\4KBrowser\\4KServer\\4KServer.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SbckServer\\SbckServer.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 11 规则名称：读写保护Windows_C:\\P 要包含的进程：** 要排除的进程：*\\Windows\\**\\*.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe, c:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Chinatelecom C+W\\LoginAccount.exe, C:\\Program Files\\Common Files\\Macrovision Shared\\FLEXnet Publisher\\FNPLicensingService.exe, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE, C:\\Program Files\\ScanDrv6\\5000\\ScanDrv.exe, C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe, E:\\4KBrowser\\4KServer\\4KServer.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SbckServer\\SbckServer.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 12 规则名称：读写保护Windows_E:\\P 要包含的进程：** 要排除的进程：*\\Windows\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\4KServer\\4KServer.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SbckServer\\SbckServer.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\ACD Systems\\ACDSee\\10.0\\ACDSee10.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32Info.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfp.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\Kingsoft\\webshield\\kisaddin.exe, E:\\Program Files\\Kingsoft\\webshield\\KSWebShield.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsmain.exe, E:\\Program Files\\Kingsoft\\webshield\\kwstray.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsupd.exe, E:\\Program Files\\Kingsoft\\webshield\\KWSUpreport.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe, E:\\Program Files\\McAfee\\Common Framework\\udaterui.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcconsol.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcupdate.exe, E:\\Program Files\\Microsoft Office\\OFFICE11\\EXCEL.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\POWERPNT.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE, E:\\Program Files\\Microsoft Virtual PC\\Virtual PC.exe, E:\\Program Files\\Thunder Network\\Thunder\\Program\\Thunder.exe, E:\\Program Files\\TTKN\\CAJViewer 7.0\\CAJViewer.exe, E:\\Program Files\\UltraISO\\UltraISO.exe, E:\\Program Files\\WinRAR\\WinRAR.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\工具\\**\\*.exe, E:\\Program Files\\植物大战僵尸绿色版\\PlantsVsZombies.exe, H:\\**\\*.exe 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 13 规则名称：读写保护Program Files_W 要包含的进程：** 要排除的进程：*\\WINDOWS\\system32\\csrss.exe, *\\WINDOWS\\system32\\winlogon.exe, C:\\Program Files\\**\\*.exe, C:\\WINDOWS\\Explorer.EXE, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\WINDOWS\\system32\\Ati2evxx.exe, C:\\WINDOWS\\system32\\NOTEPAD.EXE, C:\\WINDOWS\\system32\\rundll32.exe, C:\\WINDOWS\\system32\\services.exe, C:\\WINDOWS\\system32\\svchost.exe, C:\\WINDOWS\\system32\\taskmgr.exe, C:\\WINDOWS\\system32\\verclsid.exe, C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe, E:\\Program Files\\**\\*.exe 要阻止的文件或文件夹名：**\\Program Files*\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 14 规则名称：读写保护Program Files_C:\\P 要包含的进程：** 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\ccc.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\CLIStart.exe, C:\\Program Files\\ATI Technologies\\ATI.ACE\\Core-Static\\MOM.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Chinatelecom C+W\\LoginAccount.exe, C:\\Program Files\\Common Files\\McAfee\\SystemCore\\EntVUtil.EXE, C:\\Program Files\\CyberLink\\YouCam\\YouCam.exe, C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE, C:\\Program Files\\ScanDrv6\\5000\\ScanDrv.exe, C:\\Program Files\\Synaptics\\SynTP\\SynTPEnh.exe, C:\\Program Files\\Windows Media Player\\wmplayer.exe, C:\\WINDOWS\\Explorer.EXE, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\WINDOWS\\system32\\NOTEPAD.EXE, C:\\WINDOWS\\system32\\rundll32.exe, C:\\WINDOWS\\system32\\services.exe, C:\\WINDOWS\\system32\\svchost.exe, C:\\WINDOWS\\system32\\taskmgr.exe, C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe, , E:\\Program Files\\**\\*.exe 要阻止的文件或文件夹名：**\\Program Files*\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 15 规则名称：读写保护Program Files_E:\\P 要包含的进程：** 要排除的进程：*\\WINDOWS\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\Program Files\\ACD Systems\\ACDSee\\10.0\\ACDSee10.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32.exe, E:\\Program Files\\Adobe\\Reader 9.0\\Reader\\AcroRd32Info.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfp.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe, E:\\Program Files\\HWPDFOCR80\\HWPDFOCR80.exe, E:\\Program Files\\Kingsoft\\webshield\\kisaddin.exe, E:\\Program Files\\Kingsoft\\webshield\\KSWebShield.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsmain.exe, E:\\Program Files\\Kingsoft\\webshield\\kwstray.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsupd.exe, E:\\Program Files\\Kingsoft\\webshield\\KWSUpreport.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe, E:\\Program Files\\McAfee\\Common Framework\\naPrdMgr.exe, E:\\Program Files\\McAfee\\Common Framework\\udaterui.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcconsol.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcupdate.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\SHSTAT.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\EXCEL.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\POWERPNT.EXE, E:\\Program Files\\Microsoft Office\\OFFICE11\\WINWORD.EXE, E:\\Program Files\\Microsoft Virtual PC\\Virtual PC.exe, E:\\Program Files\\Thunder Network\\Thunder\\Program\\Thunder.exe, E:\\Program Files\\TTKN\\CAJViewer 7.0\\CAJViewer.exe, E:\\Program Files\\UltraISO\\UltraISO.exe, E:\\Program Files\\WinRAR\\WinRAR.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\工具\\**\\*.exe, E:\\Program Files\\植物大战僵尸绿色版\\PlantsVsZombies.exe 要阻止的文件或文件夹名：**\\Program Files*\\** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 16 规则名称：只读保护_Windows 要包含的进程：** 要排除的进程：*\\WINDOWS\\system32\\WBEM\\WMIADAP.EXE, *\\WINDOWS\\system32\\winlogon.exe, C:\\WINDOWS\\Explorer.EXE, C:\\WINDOWS\\Microsoft.NET\\Framework\\v2.0.50727\\mscorsvw.exe, C:\\WINDOWS\\PCHealth\\HelpCtr\\Binaries\\HelpSvc.exe, C:\\WINDOWS\\regedit.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\WINDOWS\\SoftwareDistribution\\Download\\*\\update\\update.exe, C:\\WINDOWS\\system32\\imapi.exe, C:\\WINDOWS\\system32\\mmc.exe, C:\\WINDOWS\\system32\\mspaint.exe, C:\\WINDOWS\\system32\\notepad.exe, C:\\WINDOWS\\system32\\rundll32.exe, C:\\WINDOWS\\system32\\services.exe, C:\\WINDOWS\\system32\\svchost.exe, C:\\WINDOWS\\system32\\wbem\\wmiprvse.exe, C:\\WINDOWS\\system32\\wuauclt.exe, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\工具\\ESET_VC52_Scan 1.0.1.0\\ESET_VC52_Scan 1.0.1.0.exe 要阻止的文件或文件夹名：**\\Windows\\** 要禁止的文件：写 创建 删除 是否勾选报告：是 17 规则名称：只读保护_Program Files 要包含的进程：** 要排除的进程：C:\\Program Files\\CCBComponents\\Detector\\CCBDetector.exe, C:\\Program Files\\Chinatelecom C+W\\C+WClient.exe, C:\\Program Files\\Internet Explorer\\IEXPLORE.EXE, C:\\WINDOWS\\Explorer.EXE, E:\\Program Files\\Adobe\\Adobe Photoshop CS3\\Photoshop.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cfp.exe, E:\\Program Files\\COMODO\\COMODO Internet Security\\cmdagent.exe, E:\\Program Files\\Kingsoft\\webshield\\KSWebShield.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsmain.exe, E:\\Program Files\\Kingsoft\\webshield\\kwstray.exe, E:\\Program Files\\Kingsoft\\webshield\\kwsupd.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe, E:\\Program Files\\McAfee\\Common Framework\\McTray.exe, E:\\Program Files\\ZRM2000\\ZRW32.EXE, E:\\Program Files\\工具\\**\\*.exe 要阻止的文件或文件夹名：**\\Program Files*\\** 要禁止的文件：写 创建 删除 是否勾选报告：是 18 规则名称：只读保护_exe 要包含的进程：** 要排除的进程：C:\\Windows\\Microsoft.NET\\Framework\\**\\mscorsvw.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\WINDOWS\\system32\\svchost.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe 要阻止的文件或文件夹名：**.exe 要禁止的文件：写 创建 是否勾选报告：是 19 规则名称：只读保护_dll 要包含的进程：** 要排除的进程：C:\\Windows\\Microsoft.NET\\Framework\\**\\mscorsvw.exe, C:\\Windows\\servicing\\TrustedInstaller.exe, C:\\WINDOWS\\system32\\svchost.exe, E:\\Program Files\\CCleaner\\CCleaner.exe, E:\\Program Files\\McAfee\\Common Framework\\FrameworkService.exe, E:\\Program Files\\McAfee\\Common Framework\\McScript_InUse.exe 要阻止的文件或文件夹名：**.dll 要禁止的文件：写 创建 是否勾选报告：是 20 规则名称：高危过滤_文件 要包含的进程：*.7z.exe, *.7z.msi, *.ade.*, *.adp.*, *.avi.exe, *.bas.*, *.bat, *.bat.*, *.bmp.exe, *.bmp.msi, *.chm.exe, *.cmd, *.cmd.*, *.cn.exe, *.cn.msi, *.dib.*, *.dir.exe, *.dir.msi, *.doc.exe, *.drv.exe, *.fnr.*, *.gho.*, *.gif.exe, *.hiv.*, *.hlp.*, *.hta.*, *.img.*, *.inf.*, *.jfif.*, *.jpe.*, *.jpeg.*, *.jpg.exe, *.js, *.jse, *.link.*, *.lnk.*, *.mde.*, *.mp3.exe, *.mpeg.*, *.msc, *.msc.*, *.msi.*, *.msp.*, *.mst.*, *.pcd.*, *.pif.*, *.png.exe, *.ppt.exe, *.rar.exe, *.rar.msi, *.reg, *.scr, *.scr.exe, *.shs.*, *.tif.exe, *.tif.msi, *.tiff.*, *.txt.exe, *.url.*, *.vb.*, *.vbe, *.vbs, *.vbs.*, *.win.*, *.wps.exe, *.wpt.exe, *.wsc.*, *.wsf, *.wsh, *.xls.exe, *.zip.exe, *.zip.msi, *autorun*.*, *\\Local Settings\\Temporary Internet Files\\**, *\\RECYCLER*\\**, *\\System Volume Information\\**, *文档.exe, *桌面.exe, *用户.exe, ?.cab, ?.chm, ?.com, ?.exe, ?.hlp, ?.hta, ?.inf, ?.jar, ?.msi, ?.msp, at.exe, cmd.exe, config.msi.exe, conime.exe, cscript.exe, debug.exe, Del*.exe, diskpart.exe, dsc*.exe, Fdisk.exe, format.*, found.*.exe, ftp.exe, ipconfig.exe, msconfig.exe, mshta.exe, net*.exe, ntvdm.exe, program files.exe, recycled.exe, reg.exe, regedit.exe, system volume information.exe, telnet.exe, tftp.exe, user.exe, wscript.exe, 新建文件夹*.exe 要排除的进程：无 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 21 规则名称：高危过滤_注册表项 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\ctfmon.exe, E:\\Program Files\\CCleaner\\CCleaner.exe 要保护的注册表项目或注册表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/** 要保护的注册表项或注册表值：项 要阻止的注册表：写入 创建 删除 是否勾选报告：是 22 规则名称：高危过滤_注册表值 要包含的进程：** 要排除的进程：C:\\WINDOWS\\system32\\ctfmon.exe, E:\\Program Files\\CCleaner\\CCleaner.exe 要保护的注册表项目或注册表值：HKCU /Software/Microsoft/Windows/CurrentVersion/Run/** 要保护的注册表项或注册表值：值 要阻止的注册表：写入 创建 删除 是否勾选报告：是 23 规则名称：全局双向读写_非P 要包含的进程：** 要排除的进程：*\\Windows\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\4KServer\\4KServer.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SbckServer\\SbckServer.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 是否勾选报告：是 24 规则名称：全局双向只读_非P 要包含的进程：** 要排除的进程：*\\Windows\\**\\*.exe, C:\\Program Files\\**\\*.exe, E:\\4KBrowser\\4KServer\\4KServer.exe, E:\\4KBrowser\\4kText.exe, E:\\AloneSbck\\SbckServer\\SbckServer.exe, E:\\AloneSbck\\SBCKSVR\\SBCKALONE.EXE, E:\\KangXiDict\\eKangXi.exe, E:\\Program Files\\**\\*.exe, H:\\**\\*.exe 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 是否勾选报告：是 写在后面： 一、本文在理解与应用咖啡规则方面有几个基础性突破： 1、分期防御，完美防止病毒爆发。 2、廓清权限，程序控制更加方便。 3、辨明优先级，使规则打造和防御更加高效。 二、诚如版主所言，本文的规则是“按时间分组”，个人认为，这样做安全性高于“纵向分组”。要想纵向分组，可以对“权限规则”这样设置： 规则名称：系统组：读写权限 要包含的进程：*\\Windows\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 规则名称：安全软件组：读写权限 要包含的进程：*\\McAfee\\**, *\\COMODO\\**, *\\Kingsoft\\webshield\\** 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：读 写 执行 创建 删除 规则名称：浏览器组：只读权限 要包含的进程：iexplore.exe, chrome.exe, firefox.exe, opera.exe, safari.exe, theworld.exe 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 规则名称：P2P软件组：只读权限 要包含的进程：*\\Thunder\\**, …… 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 规则名称：常用软件组：只读权限 要包含的进程：*\\Microsoft Office\\OFFICE*\\**, …… 要排除的进程： 要阻止的文件或文件夹名：** 要禁止的文件：写 创建 删除 然后配合以合适的全局规则、保护规则。这样做效果一样，但设置更加复杂。 三、本文规则要想安装程序，必须关闭“访问保护”，如果想要不关闭“访问保护”就安装程序，请参考叶知规则，加入相关排除，并设置“关闭程序安装管道”规则。在这里，首先要向叶知致敬！安装规则应该是他的专利，本人规则中永远不会加入，以示尊重。 四、文中的Windows XP实机规则经过本人几个月的完善和测试，安全与性能很是理想，推荐追求高安全的有兴趣折腾的朋友参考打磨！