2024年3月13日发(作者:)

本人玩杀毒软件已经有1年多了,刚开始是个不折不扣的杀毒软件狂热者,装遍无数杀毒软

件,现在想想实在是阅历丰富啊 ……,但是后来接触到了McAfee企业版,和HIPS概念,防

毒观念立马转变了过来,接着就是不断地学习和试验。使用麦咖啡系列软件已经有大半年了,

一直很坚定,对它很有信心,从8.5开始,到8.7,后来又试了8.0,后来又回到8.5,总算

是对这3款软件的属性比较熟悉了,当然之间也学习了很多高手的文章和经验。

先给新手补个课吧:

首先介绍下HIPS也就是主动防御:HIPS可以分为3D: AD(Application Defend)应用程序防御

体系 RD(Registry Defend)注册表防御体系 FD(File Defend)文件防御体系 它通过可定制的规

则对本地的运行程序、注册表的读写操作、以及文件读写操作进行判断并允许或禁止。

McAfee的访问保护个人觉得是一个相对不完整(当然是相对于专业HIPS如PS和EQ等)但

是功能强大的主动防御体系,大家所谓的规则就是访问保护部分。最然说不完整,但是还是

很安全。为什么这么说呢,McAfee企业版有和专业HIPS一样完整的FD和RD,只是AD部

分没有专业HIPS软件细化,专业HIPS软件的AD有很多细致的条目可以供选择,过于细化

好处当然有,但是对于新手和菜鸟来说简直就不知所云,那些条目都不知道。而McAfee企

业版的AD仅包括了“执行”一个功能,不要小看它,这个功能可以防止程序的运行,防止了

它的运行何谈插入线程,全局钩子一类的?其实McAfee实现了AD的主要功能,但是这种

单一的功能有种一刀切的感觉,对于高手来说是一种限制但是对于大众来说,就如我们这类

菜鸟来说其实功能完全能达到要求了,对于我们防毒,规范软件行为才是我们想要的,而不

是繁琐的规则制定,简单有效的规则制定不但能道道目的,而且不会使我们感到厌烦,在学

习规则,编辑规则时也会乐在其中。主动防御的精髓在于规则,乐趣也在于规则,用恰当了

不但能防毒还可以防止软件的不轨行为。只想套用别人的规则的朋友路过,只想方便的朋友

也请路过。其实McAfee甚至有简单的ND,端口保护就是一个体现。

再说一下McAfee规则里的通配符因为这个太重要了是基础:

" * " 表示任意个数的字符也可无字符包含 " "" ? " 表示单个字符或无字符,不包括 " "

**** = ** = *****表示全盘文件

?:* 表示根目录下所有文件,**windows*表示windows根目录下所有文件,不包括子

文件夹,**windows**表windows下所有文件,包括任意级文件夹及根目录。

C:WINDOWS*.*,代表windows根目录下的所有带后缀的文件(不包含子目录)

接下来是防毒策略的应用,简单而有效的思路就是防入口。一般所说的入口包括了U盘,

网页浏览,和软件的安装,其中主要是前两者。软件安装只要是在正规网站下载安装前点右

键扫描没问题应该就没多大关系了,如果规则严格些的话可以停用访问保护来实现安装,如

果规则更加全面的话不停用访问保护也可以进行放心的安装。

一种方法就是按照大部分通用规则那样把程序都安装于program files中,然后整体排除而实

现补影响正常程序运行。

还有一种方法是我在组策略版讨论中看到的一种方法,也不失为一种好方法,其实和排除

program files是一个道理。但是鉴于病毒喜欢破环修改C盘文件的特点,可以对C盘进行封

锁。打个比方,我把所有程序都安装在D盘名为“软件”的文件夹内,个别只能装在program

files里例如mcafee的主程序,我们不能调整,可以进行排除。还有更新程序也要排除,因

为更新安装于C盘,必须允许这类程序向C盘写入创建甚至删除。

防入口的做法“深红的雪”即“气流”已经做了详细的介绍和分析——《网马浅释与浏览安全》

/?tid=201027&highlight= 引用一下该文章中关于HIPS如何

防网马的方法:为了安全性和方便性的兼顾,基本的原则是:允许浏览器创建文件的地方禁

止浏览器运行程序,允许浏览器运行程序的地方禁止新建文件例如,可以允许浏览器在网页

缓存中创建文件,但禁止浏览器从缓存中运行程序;允许浏览器调用迅雷,但必须保证浏览

器对迅雷的所在文件夹只读。AD方面,由于浏览器需要运行的程序很少,而且正常情况下,

只会运行exe格式的程序。所以可以阻止浏览器执行除exe以外的任何程序,而对于exe文

件,可以设置为询问。同时禁止浏览器使用/nosplash /hidden等参数调用任何程序。同时,

如上面所提到的,禁止浏览器调用或加载,,,,

、、、等。其实还有很多的dll都可以考虑禁止,大

家可以自行研究FD方面,禁止浏览器在关键的目录新建各种可执行文件,某些格式我们不

会去下载的,可以考虑全盘禁止创建。同时要保证浏览器对已有应用程序只读,防止修改替

换。RD方面,不是那么重要,禁止浏览器写入新的clsid就差不多了另外,如果使用非IE

核心的浏览器,中网马的可能性将大大降低,不过代价是兼容性将有所下降。而IE7的UAC

下的保护模式也可以达到很好的防网马效果。防U盘病毒最可行的办法是禁止*执行。也制

定全盘规则而对你所有的硬盘盘符进行排除,由于U盘不在排除行列固病毒不能执行。

McAfee的规则也可以这样编辑,而且也可以完全实现。

下面举些例子:

另外用好McAfee企业版还可以防止软件的不轨行为。举例说明:

反跑跑卡丁车广告 。可以禁止*对 **的执行(当然也可以是禁止跑跑内

对其调用的程序对其的执行,但是前提是你知道那个程序是什么,百度一下应该会这道,但

是个人觉得不会有其他正常程序贵跑跑的广告进行调用的,也不需要,所以用 *完全可行。

下面相同)

防迅雷右下角的小广告。可以禁止*对**的执行。

防浩方调用IE,可恶的浩方退出时老是会调用IE。禁止执行**

就可以了。

防迅雷资讯。禁止*执行**即可。

防QQ迷你网页。千方百计的调用……禁止*执行**就可以了,这里最好禁止

*,而不是QQ,因为QQ会另辟途径调用这个程序的。类似的规则大家可以

自己发挥,不知道的可以百度。

至于访问保护怎样设置才能流畅可以参考版主小邪邪的帖子