McAfee企业版日志样式:
图片1
学会自己看日志,看到不确定不认识的進程,用Google搜索一下,看是不是病毒。反复多次,你就能区分并记住这是系统文件还是病毒了。
如果日志打开后,一行看不全,可能是因为记事本没有设置“自动换行”,只要点“格式”——“自动换行”就可以。
红色的是日期,蓝色的是时间 粉红色的是计算机名,深蓝色的是用户名,绿色的是触动规则的程序, 橙色的是被操作的对象,蓝灰色的所触动规则的名词,紫色的是触动的动作,比如:创建,执行等
---------------------------------------------------------------------------------------------------------------------
2008-11-14 8:00:51 1092 GHOST\\Administrator D:\\www\\wywz\\Wywz.exe C:\\WINDOWS\\system32\\wbem\\Logs\\dsauth.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件
根据日志这条规则不要排除dsauth.dll,它是被操作的对象,而不是触动规则的程序,应该排除wywz.exe才对。加入排除项的话有几种加法: 一可以排除wywz.exe,
二可以排除D:\\wywz\\wywz\\**
三可以排除D:\\www\\wywz\\Wywz.exe
上面随便一条排除项都可以使wywz不再触动这条规则,但是McAfee对排除项文件没有校验,所以如果加入wywz.exe的话,病毒也取这 个名字,也就阻挡不住病毒了。而第二个,排除的范围有点大,把wywz整个目录都排除了,没有必要。第三个是比较好的,文件名加上了绝对路径。因为 windows有一个特点,同一个目录下不能有两个同名的文件,所以D:\\www\\wywz\\Wywz.exe是唯一的,这样排除相对安全系数高点,是最 好的。
多个文件加入排除项的时候用英文的逗号分开。
---------------------------------------------------------------------------------------------------------------------
2008-11-1 14:49:29 已由访问保护规则禁止 GHOST \\112233 C:\\ProgramFiles\\Internet
Explorer\\iexplore.exe C:\\Program Files\\Common
Files\\System\\msadc\\msadco.dll 用户定义的规则:A31 管制浏览器(禁止调用MDAC组件)已阻止的操作: 执行
这条日志是浏览器iexplore.exe触动了A31的规则,触动的是“执行”,这个动作有可能是网页病毒木马触动的,所以一般不影响浏览器使用的话,关于浏览器的规则可以不用管,不用排除。
---------------------------------------------------------------------------------------------------------------------
按访问扫描的日志
2008-10-23 18:22:12 未采取操
作 CHINA\\Administrator C:\\ProgramFiles\\WinRAR\\WinRAR.exe Q:\\3\%u\%u.exe Generic Packed (特洛伊)
这条是mcafee检测说有特洛伊程序u.exe,文件在Q:\\3\%u\\ 目录下,是在用winrar解压缩的时候检测到了这个特洛伊程序u.exe,但这个u.exe是无界浏览,是经过校验签名没有问题的程序,所以这是一个误 报,可以把u.exe加入到按访问扫描的排除项中。
首先来了解一下自定义规则中几个常用的语法: *--代表所有操作(进程)
**\\*\\**--代表硬盘里的所有文件
System:Remote--代表远程(非本地)操作,防黑客必用 **\\mmc.exe--代表所有名为mmc.exe的文件
**\\temp*\\**--代表所有包含temp名称的文件夹里面的所有文件,也就是所有临时文件夹内的文件。
C:\\123\\**--代表C盘123目录下的所有文件
双星号(**)表示在反斜杠(\\)字符前后任意多个层级的目录,一个星号(*)表示任意一个或部分目录名称
接下来我们就来讲解McAfee自定义规则,单击自定义规则--新建,即可新建自定义规则:
4.1、端口阻止规则
添加的第一项 端口访问规则,对安全有特殊要求的网友可以添加相应的规则来增强保护:
相关推荐:
loading