McAfee8.8默认规则详解

写在前面：

咖啡规则的确强大，本文一阅便知！本为自己

学习整理，不敢专私，与朋友共享，不亦乐乎，不亦君子乎！并且希望对咖啡规则的理解、设置以及发展有些许帮助！

墨池顿首

《防间谍程序标准保护》

规则名称：保护Internet Explorer收藏夹和设置 要包含的进程：*

要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe,

C:\\Program Files\\Common Files\\McAfee\\SystemCore\\csscan.exe, C:\\Program Files\\Common iles\\McAfee\\SystemCore\\dainstall.exe,

C:\\Program

Files\\Common

Files\\McAfee\\SystemCore\\mcshield.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmd.exe, cmdagent.exe, console.exe, dahotfix.exe, dasetup.exe, dbinit.exe, dstest.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcadmin.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcconsol.exe, E:\\Program Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan

Enterprise\\mcupdate.exe, Enterprise\\scncfg32.exe,

E:\\Program E:\\Program E:\\Program

Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan Files\\McAfee\\VirusScan

Enterprise\\restartVSE.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\scan32.exe, E:\\Program Enterprise\\shcfg32.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\shstat.exe, E:\\Program

Enterprise\\VSCore\\dainstall.exe,

Enterprise\\VSCore\\x\\dainstall.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\vstskmgr.exe, E:\\Program Files\\McAfee\\VirusScan Enterprise\\x\\scan.exe, earthagent.exe, EngineServer.exe, explorer.exe, f-secu*, f-secure automa*, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, HipManage.exe, hipsvc.exe, icwconn1.exe, idsinst.exe, ie-kb*.exe, ie4uinit.exe, ieupdate.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, jucheck.exe, kavsvc.exe, kb*.exe, LogonUI.exe,

lsetup.exe,

lucoms*,

luupdate.exe,

McAfeeFire.exe,

McAfeeHIP_Clie*,

mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfeann.exe, mfefire.exe, mfehidin.exe, mmc.exe, MPEScanner.exe, msi*.tmp, msiexec.exe, msimn.exe, msohtmed.exe, mue_inuse.exe,

naimserv.exe, naprdmgr.exe, naprdmgr.exe, narepl32.exe, navw32.exe, ncdaemon.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, proxycfg.exe, pskmssvc.exe, regsvr32.exe,

RPCServ.EXE,

RSSensor.exe,

rtvscan.exe,

rundll32.exe,

SAEDisable.exe,

SAEuninstall.exe, SAFeService.exe, scanner.exe, setlicense.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, sidebar.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, svchost.exe, TBMon.exe, tmlisten.exe, tsc.exe, udaterui.exe, uninstall.exe, unregmp2.exe, update.exe, _ins*._mp

（墨池按：E:\\Program Files\\McAfee\\VirusScan Enterprise\\mcadmin.exe等绝对路径为咖啡安装时根据安装路径自动生成，其它为内置排除白名单，下同。） 要阻止的注册表操作：写入 创建 删除 ----------------------------------------

意图：该规则用于防止未经信任（排除）的任何进程，对Microsoft Internet Explorer的设置以及文件进行修改。众所周知的，一般恶意程序的活动特征都会修改网页浏览器的开始页面，以及添加其网址到收藏夹中。因此，该规则旨在防止木马，广告程序以及间谍软件修改浏览器设置。 风险：启用这条规则可谓百利而无一弊。

《防间谍程序最大保护》

规则名称：禁止安装新的 CLSID、APPID 和 TYPELIB 要包含的进程：*

要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, fixccs.exe, fnrb32.exe,

fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywa*, icwconn1.exe, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeHIP_Clie*, mdac_qfe.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, sevinst.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp 要保护的注册表项目或注册表值：

HKEY_CLASSES_ROOT\\CLSID\\**（猜测） HKEY_CLASSES_ROOT\\AppID\\**（猜测） HKEY_CLASSES_ROOT\\TypeLib\\**（猜测） 要保护的注册表项或注册表值：项（猜测） 要阻止的注册表操作：写入 创建 ----------------------------------

意图：该规则用于阻止新的 COM servers的安装和注册。某些广告以及间谍程序能够将自身添加到Microsoft Internet Explorer的COM 加载项中，或者附加到Microsoft Office。

风险：如果你需要安装的软件中包含COM 加载项而又未在信任（排除）列表中，VSE将会自动拦截。某些常用的应用程序需要注册COM 加载项的，比如Macromedia Flash也可能被拦截。

updater.exe,

updaterui.exe,

userinit.exe,

v3cfgu.exe,

vbs56nen.exe,

VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmail.exe, wintdist.exe, wuauclt.exe,

规则名称：禁止所有程序从 Temp 文件夹运行文件 要包含的进程：*

要排除的进程：frminst.exe, mcscancheck.exe, mcscript_inuse.exe, msiexec.exe, mue_inuse.exe 要阻止的文件或文件夹名：**\emp*\\**（猜测） 要禁止的文件操作：执行 -----------------------------

意图：大部分电脑在真正感染病毒之前都需要人为地运行一次病毒。这种感染的途径是多种多样的，比如打开Email附件中的可执行文件，或者是从互联网上下载一个程序等等。具体地，譬如名为W32/Netsky.b@MM的病毒。

一个可执行文件在被Windows运行之前都要先被保存在磁盘上。最普遍的方式是保存在user或者system账号的 Temp 文件夹下，再运行。

该规则其中之一的目的在于不断地提醒用户：“切勿从email中打开附件”。而另一个目的是防止应用程序bug（漏洞）导致的安全隐患危害电脑。比如老版本的Outlook以及Internet Explorer，就因为未经用户的许可则自动执行代码以预览email或者网页内容而臭名昭著。

风险：对于受该规则保护的可执行文件，你可以先将其复制到磁盘的其他位置然后再执行。所以该规则的负面影响是使用户原先简单的操作变得繁琐了。 注意：启用该规则可能阻止某些程序的部分功能。

规则名称：禁止从 Temp 文件夹执行脚本 要包含的进程：?script.exe 要排除的进程：无

要阻止的文件或文件夹名：**\emp** 要禁止的文件操作：执行 -------------------------------

意图：该规则阻止Windows 脚本执行器运行 Temp 文件夹中VBScript以及JavaScript文件。这样能够阻挡大部分的木马，以及常被广告和间谍程序利用的提问式的网页安装模式。当然，某些合法的第三方应用程序的安装亦可能会被该规则所阻挡。

风险：当邮件客户端下载脚本，然后通过合法的 Windows 程序（cscript或者wscript）来执行脚本的时候，该规则无法甄别该行为是否合法。因此某些合法的脚本也可能被阻挡。

《防病毒标准保护》

规则名称：禁止禁用注册表编辑器和任务管理器 要包含的进程：*

要排除的进程：avtask.exe, cfgwiz.exe, fssm32.exe, giantantispywa*, kavsvc.exe, mmc.exe, navw32.exe, nmain.exe, rtvscan.exe 要保护的注册表项目或注册表值：

HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr 要保护的注册表项或注册表值：值 要阻止的注册表操作：创建 写入 删除 ------------------------------------

意图：该规则保护Windows 注册表中的部分键值，用以防止注册表编辑器和任务管理器别禁用。我们知道当病毒感染电脑后，管理员可能需要通过修改注册表，或者打开任务管理器来终止某些活动进程。

风险：该规则可能导致手动清理恶意代码的过程更加复杂。

规则名称：禁止更改用户权限策略 要包含的进程：*

要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, amgrsrvc.exe, avtask.exe, cfgwiz.exe, frminst.exe, fssm32.exe, giantantispywa*, ikernel.exe, InsFireTdi.exe, kavsvc.exe, lsass.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, services.exe, setup*.exe, setup.exe, Setup_SAE.exe, uninstall.exe, update.exe, _ins*._mp 要

保

护

的

注

册

表

项

目

或

注

册

表

值

：

HKCCS/Control/LSA/**,

HKCCS/Services/lanmanserver/parameters/** 要保护的注册表项或注册表值：项 要阻止的注册表操作：创建 写入 删除 ------------------------------------

意图：很多蠕虫病毒都会试图获知该账号在网络中是否拥有管理权限。开启该规则可防止恶意代码修改用户组的权限，同时亦会保护注册表中包含Windows 安全信息的键值。譬如，某些病毒会借助管理员账号来移除某些重要的权限。

规则名称：禁止远程创建/修改可执行文件和配置文件 要包含的进程：system:remote 要排除的进程：无

要阻止的文件或文件夹名：*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\\*.ini 要禁止的文件操作：创建 写入 删除 --------------------------------

启用该规则将阻挡网络上的其他电脑与本机建立连接，并且修改可执行文件等行为。 意图：该规则就像是规则“将所有共享项设为只读”的阉割版。首先，该规则将适用的范围缩窄到病毒传播最常见的文件类型，然后阻挡的行为仅仅了“写”，却不会影响新文件的创建。这种保护能够抑制蠕虫和病毒通过网络共享进行大规模的传播。

风险：虽说通过 Windows 共享复制可执行文件的行为是存在的，但毕竟已经很少发生了，即便是有，大多数都是通过远程系统来修改可执行文件。更值得我们注意的是，上述行为更可能意味着是一种攻击。这四条规则相比起规则“将所有共享项设为只读”而言，误报率更低，但是安全性也较差。

规则名称：禁止远程创建自动运行文件 要包含的进程：system:remote 要排除的进程：无

要阻止的文件或文件夹名：autorun.inf 要禁止的文件操作：创建 --------------------------------

意图：自动运行文件最常见的形式是光盘中的安装文件。其通过阻挡与其他电脑建立连接，和修改autorun.inf文件等行为防止间谍与广告程序被执行。由于大量的间谍和病毒程序通过寄生于CD中进行传播，Microsoft已经在 Windows XP Service Pack 2 中关闭了自动播放（墨池按：此说法不准确，xp的sp2、sp3没有关闭，VISTA及以后版本可以手动关闭而已）。

规则名称：禁止拦截 .EXE 和其他可执行文件扩展名 要包含的进程：*

要排除的进程：???setup.exe, ??setup.exe, ?setup.exe, ikernel.exe, InsFireTdi.exe, McAfeeHIP_Clie*, msi*.tmp, msiexec.exe,

SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, Setup_SAE.exe, uninstall.exe, update.exe, _ins*._mp

要保护的注册表项目或注册表值：HKULM/Software/Classes/.exe/**, HKULM/Software/Classes/exefile/**, HKULM/Software/Classes/.com/**, HKULM/Software/Classes/.bat/**, HKULM/Software/Classes/batfile/**, HKULM/Software/Classes/cmdfile/** 要保护的注册表项或注册表值： 要阻止的注册表操作：创建 写入 --------------------------------------

意图：某些病毒会修改注册表下的扩展名，使病毒跟随其他可执行文件的启动而启动，该规则则用于保护注册表“HKEY_CLASSES_ROOT”下的扩展名（比方说.exe）不被篡改。启用该规则后，能避免间谍和恶意程序修改操作系统的配置以及可执行文件。

规则名称：禁止伪装 Windows 进程 要包含的进程：* 要排除的进程：无

要阻止的文件或文件夹名：svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe

要禁止的文件操作：读取、执行、创建、写入、删除 ---------------------------------------

意图：很多病毒和木马文件都会以 Windows 系统进程中的名称命名，试图浑水摸鱼。启用该规则能够防止文件或者程序的名称被伪造，以及伪造名称的程序被执行。真正的 Windows 文件不受该规则。 风险：无

规则名称：禁止群发邮件蠕虫发送邮件 要包含的进程：*

要排除的进程：agent.exe, amgrsrvc.exe, apache.exe, ebs.exe, eudora.exe, explorer.exe, firefox.exe, firesvc.exe, iexplore.exe, inetinfo.exe, mailscan.exe, MAPISP32.exe, mdaemon.exe, modulewrapper*, mozilla.exe, msexcimc.exe, msimn.exe, mskdetct.exe, msksrvr.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, nrouter.exe, nsmtp.exe, ntaskldr.exe, opera.exe, outlook.exe, Owstimer.exe, pine.exe, poco.exe, RESRCMON.EXE, rpcserv.exe, SPSNotific*, thebat.exe, thunde*.exe, tomcat.exe, tomcat5.exe,

tomcat5w.exe,

VMIMB.EXE,

webproxy.exe,

WinMail.exe,

winpm-32.exe,

worldclient.exe, wspsrv.exe 要阻止的端口：25\\587 方向：出站

----------------------------

意图：很多病毒会在系统中自动搜寻Email地址，并且通过邮件寄送病毒来实现传播的目的。

HKULM/Software/Classes/.cmd/**, HKULM/Software/Classes/comfile/**,

病毒会直接连接搜集来的邮件服务器，而该规则的作用则是阻挡所有进程通过SMTP连接到其他的邮件服务器。通过阻挡这种通信，即便电脑感染了新的邮件蠕虫，但是也无法通过email进一步传播。除非是已添加到排除项中的邮件客户端，其他通过SMTP 端口（25和587）试图发送email的行为都会被阻挡。

风险：由于大量第三方邮件软件的存在，该规则的排除列表必然是不完整的。因此需要用户手动将所用邮件软件的进程名添加到排除项中，否则软件将无法使用。

规则名称：禁止 IRC 通信 要包含的进程：* 要排除的进程：无 要阻止的端口：6666-6669 方向：入站 出站 ---------------------------

互联网中继聊天（IRC）是首选的通讯方式由牧民和僵尸网络远程访问木马用来控制僵尸网络（一组脚本或一个的程序，连接到IRC）。体育馆允许攻击者控制后面的网络地址转换（NAT）坐在感染的机器，该机器人可配置为连接返回到命令和控制服务器在任何端口上侦听。 意图：许多后门木马连接到IRC服务器并接收来自其作者的命令。例如，http://vil.nai.com/vil/content/v_963.htm。通过阻止这种沟通，即使系统成为一个新的木马感染，将无法与人沟通或控制它的实体。

风险：如果IRC是用在一个公司，或者如果这些端口被用于其他目的，那么该规则将阻止他们，直到进程使用的端口被添加到排除列表。

规则名称：禁止使用 tftp.exe 要包含的进程：*

要排除的进程：wuauclt.exe

要阻止的文件或文件夹名：**\ftp.exe 要禁止的文件操作：读取、执行 ---------------------------------

普通文件传输协议（TFTP）提供用户身份验证，没有基本的文件传输。许多木马使用TFTP，因为它是一个基本方法下载额外的代码。启用此规则将阻止除Windows更新使用它来下载其他恶意代码到系统任何东西。

意图：通过利用脆弱的应用缓冲区溢出散播一些病毒。代码注入进程，然后运行。此代码下载从刚才的计算机病毒注入下载代码的其余部分。通常，下载代码使用Windows的TFTP客户端（tftp.exe）执行下载。因此，即使同一个系统成为一种新的病毒感染的一部分，它不能成为完全感染，因为它不能下载代码的其余部分。

《防病毒最大保护》

规则名称：禁止 Svchost 执行非 Windows 可执行文件 要包含的进程：svchost.exe 要阻止的文件或文件夹名：** 要禁止的文件操作：执行 ---------------------------------

意图：Svchost.exe是一个系统进程，属于微软Windows操作系统，它处理从DLL执行的过程。这项计划是非常重要的稳定和安全的计算机上运行，而不应被终止。因为这是Windows的

重要组成部分，攻击者尝试使用此过程来注册自己的。DLL中不属于Windows的一部分。这条规则使得Svchost.exe只加载Windows服务.DLL文件。

规则名称：保护电话簿文件免受密码和电子邮件地址窃贼的攻击 要包含的进程：*

要排除的进程：explorer.exe, frameworkservice.exe, logonui.exe, rasphone.exe, svchost.exe 要阻止的文件或文件夹名：**/rasphone.pbk 要禁止的文件操作：读取、创建、写入、删除 ------------------------------------------

意图：此规则无法读取该用户的联系人，这是在将Rasphone.pbk文件存储在用户的配置文件的目录清单恶意代码。

规则名称：禁止更改所有文件扩展名的注册 要包含的进程：*

要排除的进程：explorer.exe

要保护的注册表项目或注册表值：HKULM/Software/Classes/.*/** 要保护的注册表项或注册表值：项 要阻止的注册表操作：写入 ------------------------------

意图：这是一个严格的版本“反病毒标准保护：防止其他可执行的EXE和扩展劫持。”规则。而不是只保护的。EXE，。英美烟草公司等，它可以保护HKEY_CLASSES_ROOT下的所有扩展的选项。

系统运行微软Windows操作系统的使用三或四个字母的标识符添加到文件后一个时期的名称（.）来识别文件类型。当一个文件被打开时，文件扩展名来决定应该用什么程序打开该文件，或者如果该文件是一个应该运行的程序。恶意软件可以修改成这样的文件扩展名注册，该恶意代码的执行是沉默。此规则阻止通过修改的修改。txt的外壳扩展和执行每次打开。txt文件的外壳扩展的恶意软件。这条规则可以防止通过保护登记处登记的文件扩展名扩展的选项键。 风险：如果系统管理员启用此规则，他们将需要确保禁用规则的有效应用程序安装时会修改注册表中的文件扩展名注册。

规则名称：保护缓存文件免受密码和电子邮件地址窃贼的攻击 要包含的进程：*

要排除的进程：/system32/taskhost.exe, /syswow/taskhost.exe, cleanup.exe, cmdagent.exe, explorer.exe,

framepkg.exe,

framepkg_upd.exe,

frameworks*,

frminst.exe,

iexplore.exe,

mcscancheck.exe, mcscript*, mctray.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr.exe, narepl32.exe, rundll32.exe, setlicense.exe, sidebar.exe, udaterui.exe, updaterui.exe 要阻止的文件或文件夹名：**\\content.ie5\\** 要禁止的文件操作：读取 --------------------------------------

意图：有些病毒通过Internet Explorer查找电子邮件地址和网站密码缓存。除非这条规则可以防止访问Internet Explorer被IE浏览器缓存任何东西。

风险：任何进程使用WinInet库或主机的Internet Explorer在一个窗口可以访问缓存控制，因此，您可能需要添加此规则的过程中，如果已启用。

《防病毒爆发控制》

规则名称：将所有共享项设为只读 要包含的进程：system:remote 要排除的进程：无

要阻止的文件或文件夹名：**

要禁止的文件操作：创建、写入、删除 ---------------------------------------

意图：通过复制自己要打开网络共享或公开股份通过感染文件，例如，http://vil.nai.com/vil/content/v_99209.htm，散布了许多病毒。虽然股票可以通过访问控制列表（ACL），上（加元，ð $，$管理等）管理股ACL保护不能被编辑和读/写管理员。如果管理员的系统受到感染，即感染可通过网络迅速传播。的VSE的份额阻塞不会区别对待管理员，所有的写访问被阻止。如果有一个使股份只读，此规则强化了关闭管理共享这一。 风险：这是一个非常强大的规则。这是一个好主意，以评估该系统将使用此规则的作用。在典型环境中，可能是这个规则将被用于工作站和服务器，适合不适合。该规则是为了阻止病毒，这将严重的计算机或网络的使用，这是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作，日常使用，这些规则也可以影响到他们的管理方式。如果电脑是由他们推动档案管理，此规则将阻止更新或补丁被安装。 McAfee的ePO的管理职能将不会受到影响，如果这条规则启用。

规则名称：阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 ) 要包含的进程：system:remote 要排除的进程：无

要阻止的文件或文件夹名：**

要禁止的文件操作：读取、执行、创建、写入、删除 ------------------------------------------------

意图：此规则是一个共享时使用的跳频蠕虫被称为是在野外，并积极推广。禁止在文件共享环境中，这些规则可以执行这一，因为它会阻止写访问权，或全部从远程计算机到一个受保护的访问。

风险：这是一个非常强大的规则。制度下的角色需要被评估之前启用规则。在典型环境中，可能是这个规则将被用于工作站和服务器，适合不适合。其目的是阻止病毒，将严重了计算机或网络使用，而且它是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作，日常使用，这些规则也可以影响他们的管理方式。如果电脑是由他们推动档案管理，此规则将阻止更新或补丁被安装。