编写规则时通配符使用方法

我们都知道，咖啡可以应用通配符 * 和 ? ：
（喜欢咖啡的友情帮顶下啊）
1.问号 (?) ： 用于排除单个字符） ，比如， 排除项 w?? 排除 www，但不排除 ww 或wwww
2.星号 (*) ： 用于排除多个字符 
双星号 (**) ： 表示零个或多个含有反斜杠的字符，这样允许多层次排除。
比如， **\temp*\** ，双星号 (**) 表示在反斜线 (\) 字符前后任意多个 
层级的目录，一个星号 (*) 表示任意一个或部分目录名称。
3.**\*和**有什么不同？---看完测试就知道了
4.排除规则 ：  C:\quarantine\** 和 C:\quarantine\ 这2条有区别吗？没有区别吗？---前者排除C:\quarantine\目录下的所有文件，包括排除子文件夹，后者只包括C:\quarantine\下的文件，不排除子文件夹，即C:\quarantine\** 的排除范围  >  C:\quarantine\ ，看下边我的测试会就明白。

以下是我自己作的测试，还望高手指教，不过我觉得应该是100%正确了的吧xixi
我在E:\110下创建了一些文件和文件夹，其中patch.rar为病毒文件，在165、265文件夹中我把patch.rar分别更名为02.rar，03.rar，以便查看测试结果。
文件夹结构为：

E:\110
---125
    ---265
          ---03.rar
    ---02.rar
---patch.rar

下面我把我的测试结果奉上以飨朋友们--------没兴趣看测试的，直接看最后1句我总结的一条（不过这只是测试中的其中一个结果）
在做此测试时，必须按如下图做些改动：临时禁用按访问扫描，把辅助操作改成继续扫描，以防咖啡进行隔离等动作,

规则为E:\110\ ，排除E:\110\ 下的所有文件，但不排除子文件夹。

规则为E:\110\**，细心的人会发现，**并没有出现在“设置排除项中”，但后边的“排除子文件夹”变成“是”了，其实在“添加排除设置中”输入**（仅限于最后出现的**字符），咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示**，这个地方中文咖啡似乎有歧义，大家仔细思考下就明白其真正的意思了。（另：在咖啡的访问保护中可以出现**为最后结尾的，因为那里咖啡没有这个打勾的选项， ）

规则为E:\110 ，这个规则就是“什么也没有排除” 哈哈哈哈，

规则E:\110\* 等价于 E:\110\ 

规则为E:\110\** \（最后2条规则其实和这条规则的作用是一样的），排除E:\110\下的文件夹，但不排除E:\110\的文件。通过这里大家可以悟出点什么吧，呵呵，我就不多说了。

规则为E:\110\**\**和E:\110\**\只是多了个显式地“排除子文件夹”（是E:\110\**\的子集而已），是但真正的作用是一样的-----排除E:\110\下的文件夹，但不排除E:\110\的文件


规则为E:\110\**\*和E:\110\**\的作用是一样的（是E:\110\**\的子集而已） ，意思是排除E:\110\下的“文件夹中的任何文件”[


看懂以上这些，大家应该什么都明白了，不用我作总结了喜喜。那么大家对咖啡的规则设置，比如“访问保护”等等都轻而易举了吧
不过还是总结1句吧：要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义，严重注意哦)，或者在\后边添加2个星号（**），咖啡会自动帮你打勾

 

咖啡8.5文件保护(禁止的文件操作)简析

对于咖啡的文件保护，大家都再熟悉不过，在此我仅对8.5文件保护的“要禁止的文件操作”做个简要分析：


文件操作解释：

对文件进行读访问[G]：表面上说禁止对文件的读取，实际上，禁止了读取，效果等于选
            择了所有项目。即[G]=[G]+[I]+[K]+[H]+[J]+[R]。

对文件进行写访问[I]：不折不扣的禁止写入，没有其他副作用，但是一个被保护的文件一
            旦更名，就可以写入了，且更名不在阻挡范围。

正在执行的文件[K]：仅对执行文件有效（EXE、COM、BAT、DLL、SCR），对CHM、
            MSI、VBS无效。可更名。

正在创建的新文件[H]：阻挡新文件创建，可以使用名称通配符，后缀通配符，
            且[H]=[H]+[R]

正在删除文件[J]：实际效果为：[J]=[J]+[R]


重命名文件[R]：不存在的文件操作，但是很重要。

 
  由上述解说可见，[I]和[K]存在更名逃脱规则的风险，所以FD规则中只有[I]和[K]时，根据需要选择[J]锁定文件。

 

 

McAfee Virusscan Enterprise 8.5I 默认访问保护规则简析


Description "Prevent registry editor and Task Manager from being disabled"
阻止注册表编辑器和进程管理器被以下程序关闭
监视所有程序
排除进程：rtvscan.exe cfgwiz.exe navw32.exe nmain.exe fssm32.exe avtask.exe kavsvc.exe giantantispywar* mmc.exe
注册表值（创建，写入，删除）：
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableRegistryTools
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/System:DisableTaskMgr
Description "Prevent user rights policies from being altered"
保护用户权限策略
监视所有进程
排除进程：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，amgrsrvc.exe，mmc.exe
注册表项（创建，写入，删除）：
HKCCS/Control/LSA/**
HKCCS/Services/lanmanserver/parameters/**
Description "Prevent remote creation/modification of executable and configuration files"
防止远程建立/修改可执行程序和配置文件
监视所有远程程序
对象文件（创建，写入，删除）:**.exe **.scr **.ocx **.dll **.pif
文件路径:windows目录以及所有子目录下文件，%systemdrive%\*.ini
排除进程:所有framepkg.exe文件
Description "Prevent remote creation of autorun files"
防止远程建立autorun.inf文件
所有远程进程
对象文件（创建）: autorun.inf
Description "Prevent hijacking of .EXE and other executable extensions"
防止exe等可执行文件被劫持
监视所有程序
排除程序:msiexec.exe msi*.tmp setup.exe ikernel.exe *setup*.exe _ins*._mp
注册表值（写入，删除）:
HKULM/Software/Classes/.exe/**
HKULM/Software/Classes/exefile/**
HKULM/Software/Classes/.com/**
HKULM/Software/Classes/comfile/**
HKULM/Software/Classes/.bat/**
HKULM/Software/Classes/batfile/**
HKULM/Software/Classes/.cmd/**
HKULM/Software/Classes/cmdfile/**
Description "Prevent svchost executing non-Windows executables"
防止svchost执行任何非windows可执行程序
监视进程:svchost.exe
文件类型（执行）: 所有文件
排除文件:所有exe文件，windows目录以及所有子目录下的文件
Description "Prevent Windows Process spoofing"
防止windows进程欺骗
文件路径（创建，读取，执行，写入）：所有svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe
排除文件：windows目录及其所有子目录下的svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe
Description "Protect phonebook files from password and email address stealers"
保护通讯簿的密码和电子邮件地址
监视所有进程
排除进程：rasphone.exe explorer.exe svchost.exe
文件路径（读取，删除，创建，写入）：**/rasphone.pbk
Description "Prevent mass mailing worms from sending mail"
防止邮件蠕虫发送邮件
监视所有进程
排除进程：默认邮件客户端，默认浏览器，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe，neo20.exe，nlnotes.exe，outlook.exe，pine.exe，poco.exe，thebat.exe，thunderbird.exe，winpm-32.exe，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，ntaskldr.exe，nsmtp.exe，nrouter.exe，agent.exe，ebs.exe，firesvc.exe，modulewrapper*，msksrvr.exe，mskdetct.exe，mailscan.exe，rpcserv.exe
端口（向外）：25，587
Description "Prevent IRC communication"
防止IRC通信
监视所有进程
端口（向内，向外）：6666-6669
Description "Prevent use of tftp.exe"
防止调用tftp.exe
监视所有进程
排除进程：wuauclt.exe
文件路径（读取，执行）：所有的tftp.exe
Description "Prevent alteration of all file extension registrations"
保护所有已注册的文件类型
监视所有进程
排除进程：explorer.exe
注册表项（读取，写入）：HKULM/Software/Classes/.*/**
Description "Protect cached files from password and email address stealers"
保护缓存文件中的密码和电子邮件地址
监视所有进程
排除进程：iexplore.exe，explorer.exe，rundll32.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe
文件路径（读取）：所有content.ie5文件夹以及子文件夹中文件
Description "Make all shares read-only"
设置所有共享为只读属性
监视所有远程进程
文件路径（创建，写入，删除）：所有文件
Description "Block read and write access to all shares"
阻止所有对共享资料的读取和写入
监视所有进程
文件路径（创建，写入，删除，执行，读取）：所有文件
Description "Prevent modification of McAfee files and settings"
保护McAfee的相关文件和设置
监视所有进程
排除进程：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，sdat*.exe，mfehidin.exe，svchost.exe，regsvc.exe，mmc.exe，vstskmgr.exe，scan32.exe，shstat.exe，mcupdate.exe，mcconsol.exe，ncdaemon.exe
文件路径（创建，写入，删除）：mcafee下desktopproctection，antispyware，AntiSpyware Enterprise目录以及所有子目录下文件，drivers目录下mfe*.sys文件。
排除进程（创建，写入，删除）：mcafee目录中，AntiSpyware Enterprise目录下，mid文件夹中asecfg.cab文件。
注册表项：
HKLM/Software/McAfee
HKLM/Software/McAfee/DesktopProtection
HKLM/Software/McAfee/VSCore
HKLM/Software/McAfee/VSCore/NVP
HKLM/Software/McAfee/On Access Scanner/McShield/Configuration/*
（以上为 删除）
HKLM/Software/McAfee/vscore/**
HKCCS/Services/McShield/**
HKCCS/Services/McTaskManager/**
HKCCS/Services/Mfeapfk/**
HKCCS/Services/Mfetdik/**
HKCCS/Services/Mfeavfk/**
HKCCS/Services/Mfebopk/**
HKCCS/Services/Mfehidk/**
HKLM/Software/McAfee/DesktopProtection/**
HKULM/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/DisallowRun/**
（以上为 创建，写入，删除）
排除注册表项（创建，写入，删除）：
HKLM/SOFTWARE/MCAFEE/VSCORE/ALERT CLIENT/VSE

Description "Prevent modification of McAfee Common Management Agent files and settings"
保护mcafee通用文件和设置
监视所有进程
排除进程：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，insfiretdi.exe，services.exe，firesvc.exe，scanner.exe
注册表项（创建，写入，删除）：
HKLM/Software/Network Associates/ePolicy Orchestrator
HKLM/Software/Network Associates/TVD/Shared Components/Framework
HKCCS/Services/McAfeeFramework/**
文件路径（创建，写入，删除）：
%ALLUSERSPROFILE%/*/Network Associates/Common Framework，%ALLUSERSPROFILE%/*/McAfee/Common Framework，%programfiles%/mcafee/Common Framework，%programfiles%/network associates/Common Framework，%CommonProgramFiles%/Cisco Systems/CiscoTrustAgent/plugins 目录以及子目录下文件
Description "Prevent modification of McAfee Scan Engine files and settings"
保护McAfee引擎文件和设置文件
监视所有进程
排除进程：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，svchost.exe，regsvc.exe，msi*.tmp，sdat*.exe，mcscript*，*xdat.exe，mcupdate.exe
注册表项：
HKLM/Software/McAfee/AVEngine（删除）
HKLM/Software/McAfee/AVEngine:DAT
HKLM/Software/McAfee/AVEngine:szInstallDir
（以上为 创建，写入，删除）
文件路径（创建，写入，删除）：%CommonProgramFiles%/mcafee/Engine目录以及子目录下文件
排除文件：extra.dat
Description "Protect Mozilla & FireFox files and settings"
保护Mozilla&FireFox文件和设置
监视所有进程
排除进程：rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，firefox*，mozilla*，*setup*.exe
注册表值（创建，写入，删除）：
HKLM/Software/Mozilla**
HKCU/Software/Mozilla**
文件路径（创建，写入，删除）：Mozilla*目录以及子目录下所有文件
 
Description "Protect Internet Explorer settings"
保护Internet Explorer设置
监视所有进程
排除进程：icwconn1.exe，configui.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp
注册表项：
HKULM/Software/Microsoft/Internet Explorer/Toolbar:\{*" }
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/DefaultPrefix:@
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/URL/Prefixes:*
（以上为 创建，写入，删除）
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Start Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Page_URL
HKLM/Software/Microsoft/Windows/CurrentVersion/Internet SettingsroxyServer
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:Search Assistant
HKULM/SOFTWARE/Microsoft/Internet Explorer/Search:CustomizeSearch
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Bar
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Search Page
HKULM/SOFTWARE/Microsoft/Internet Explorer/Main:Default_Search_URL
（以上为 写入，删除）
Description "Prevent installation of Browser Helper Objects and Shell Extensions"
保护Browser Helper Objects和Shell扩展
监视所有进程
排除进程：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，regsvcs.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe
注册表项（创建，写入，删除）：
HKLM/SOFTWARE/Microsoft/Windows/CurrentVersion/Explorer/Browser Helper Objects/**
HKULM/SOFTWARE/Microsoft/Windows/CurrentVersion/ShellServiceObjectDelayLoad
HKLM/Software/Microsoft/Windows/CurrentVersion/Explorer/ShellExecuteHooks
HKLM/Software/Microsoft/Windows/CurrentVersion/Shell Extensions/Approved
Description "Protect network settings"
保护网络设置
监视所有进程
排除进程：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，mfehidin.exe，winmgmt.exe，winlogon.exe，svchost.exe，services.exe，setadapter.exe，sr_gui.exe，sr_service.exe，fwkern.exe，tcpsvcs.exe
注册表项：
HKCCS/Services/Winsock/**
HKCCS/Services/tcpip/**"
"HKCCS/Services/netbt/**
（以上 创建，删除）
HKCCS/Services/Winsock/**:*
HKCCS/Services/tcpip/**:*
HKCCS/Services/netbt/**:*
（以上为 创建，写入，删除）
排除注册表项（创建，删除）：
HKCCS/Services/tcpip/Performance
HKCCS/Services/netbt/Performance
文件路径（写入，创建，删除）：hosts文件
Description "Prevent common programs from running files from the Temp folder"
防止通用程序从临时文件夹启动任何项目
监视进程：默认浏览器，默认邮件客户端，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe neo20.exe nlnotes.exe outlook.exe pine.exe poco.exe thebat.exe thunderbird.exe winpm-32.exe packager.exe winzip32.exe winrar.exe
文件路径（执行）：名称含有“temp”字样的目录以及所有子目录中文件
排除文件（执行）：任何临时文件夹及其子文件夹中的FrmInst.exe，任何临时文件夹中的iadhide?.dll，NAVSetup.exe，任何临时文件夹下NAV文件夹中的NAVSetup.exe，以及文件{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/PiReg.exe和{718CF0D3-DCDF-428E-9F6C-258F065C8D6D\}/setlicense.exe
Description "Prevent programs registering to autorun"
保护自启动项
监视所有进程
排除进程：tbmon.exe，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，wuauclt.exe，update.exe，spuninst.exe，javatrig.exe，vbs56nen.exe，js56nen.exe，ieupdate.exe，dahotfix.exe，ie-kb*.exe，kb*.exe，fixccs.exe，sqlredis.exe，mdac_qfe.exe，dasetup.exe，setupre.exe，wintdist.exe，mmc.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，frminst.exe
注册表项（创建，写入）：
HKULM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon:Shell
HKULM/Software/Microsoft/Windows NT/CurrentVersion/Windows:Load
HKLM/SOFTWARE/Microsoft/Windows NT/CurrentVersion/Windows:AppInit_Dlls
HKULM/Software/Microsoft/Windows/CurrentVersion/Run/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnce/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunOnceEx/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServices/**
HKULM/Software/Microsoft/Windows/CurrentVersion/RunServicesOnce/**
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/*
排除注册表项（创建，写入）：
HKLM/SOFTWARE/MICROSOFT/WINDOWS/CURRENTVERSION/RUN:MCAFEEFIRETRAY
HKLM/Software/Microsoft/Windows NT/CurrentVersion/WinLogon/Notify/NAVLOGON
文件路径（创建，写入，删除，执行）：startup文件夹下以exe，bat，scr，hta，pif，com为扩展名的文件，startup文件夹下文件名中含有server字符的exe文件。
Description，"Prevent programs registering as a service"
防止添加服务项
监视所有进程
排除进程：tbmon.exe，mmc.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，wuauclt.exe，update.exe，spuninst.exe，javatrig.exe，vbs56nen.exe，js56nen.exe，ieupdate.exe，dahotfix.exe，ie-kb*.exe，kb*.exe，fixccs.exe，sqlredis.exe，mdac_qfe.exe，dasetup.exe，setupre.exe，wintdist.exe，frminst.exe
注册表项（创建）：
HKCCS/Services/**
排除注册表项（创建）：
HKCCS/Services/EventLog/Application/*
HKCCS/Services/EventLog/Security/*
HKCCS/Services/EventLog/System/*
HKCCS/Services/NAIMServInst/**
HKCCS/Services/traces/**
HKCCS/Services/RegMon/**
HKCCS/Services/FileMon/**
HKCCS/Services/McAfeeFramework/**
HKCCS/Services/W3SVC/PARAMETERS/**
HKCCS/Services/IDSINSTPRIVTEST/**
HKCCS/Services/SNDSRVC/**
HKCCS/Services/SYMEVENT/**
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**"
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**
Description "Prevent creation of new executable files in the Windows folder"
防止在windows目录建立可执行文件
监视所有进程
排除进程：msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，wuauclt.exe，update.exe，spuninst.exe，javatrig.exe，vbs56nen.exe，js56nen.exe，ieupdate.exe，dahotfix.exe，ie-kb*.exe，kb*.exe，fixccs.exe，sqlredis.exe，mdac_qfe.exe，dasetup.exe，setupre.exe，wintdist.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，rtvscan.exe，cfgwiz.exe，navw32.exe，nmain.exe，fssm32.exe，avtask.exe，kavsvc.exe，giantantispywar*，winlogon.exe，mrtstub.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，fssm32.exe，tomcat.exe
文件路径（创建）：windows目录下以exe和dll为后缀的文件
排除文件（创建）：windows目录中downloaded program files目录及其子目录下任何文件，windows目录中SoftwareDistribution目录下Download和WebSetup文件夹中及其所有子文件夹中的任何文件。system32文件下muweb.dll，wuweb.dll，cdm.dll，iuengine.dll，wuapi.dll，wuauclt.exe，wuauclt1.exe，wuaclt.exe，wuaclt1.exe，wuaueng.dll，wuaueng1.dll，wucltui.dll，wups.dll，wups2.dll，FireNotify.dll，FireCNL.dll，FireCore.dll，FireCL.dll，FireEpo.dll，FireNHC.dll，FireSCV.dll。windows目录下temp文件夹中的ZDATAI51.DLL以及_WUTL951.DLL文件。
Description "Prevent launching of files from the Downloaded Programs folder"
防止从downloaded programs folder文件夹下启动任何项目
监视进程：iexplore.exe
文件路径（执行）：downloaded program files文件夹下任何以exe为后缀的文件
Description "Prevent FTP communication"
防止FTP通信
监视所有进程
排除进程：默认浏览器，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，pasys*，google*，alg.exe，ftp.exe，agentnt.exe
端口（向外）：20，21
Description "Prevent HTTP communication"
防止HTTP通信
监视所有进程
排除进程：默认浏览器，默认本地邮件客户端，explorer.exe，iexplore.exe，firefox.exe，mozilla.exe，netscp.exe，opera.exe，msn6.exe，tomcat.exe，tomcat5.exe，tomcat5w.exe，inetinfo.exe，amgrsrvc.exe，apache.exe，webproxy.exe，msexcimc.exe，mcscript*，frameworks*，naprdmgr.exe，frminst.exe，naimserv.exe，framepkg.exe，narepl32.exe，updaterui.exe，cmdagent.exe，cleanup.exe，eudora.exe，msimn.exe，msn6.exe，msnmsgr.exe，neo20.exe，nlnotes.exe，outlook.exe，pine.exe，poco.exe，thebat.exe，thunderbird.exe，winpm-32.exe，msiexec.exe，msi*.tmp，setup.exe，ikernel.exe，*setup*.exe，_ins*._mp，lucoms*，luupdate.exe，lsetup.exe，idsinst.exe，lucoms*，sevinst.exe，nv11esd.exe，tsc.exe，v3cfgu.exe，ofcservice.exe，earthagent.exe，tmlisten.exe，inodist.exe，ilaunchr.exe，ii_nt86.exe，iv_nt86.exe，cfgeng.exe，f-secu*，fspex.exe，getdbhtp.exe，fnrb32.exe，f-secure automa*，sucer.exe，ahnun000.tmp，supdate.exe，autoup.exe，pskmssvc.exe，pavagent.exe，dstest.exe，paddsupd.exe，pavsrv50.exe，avtask.exe，giantantispywar*，boxinfo.exe，alg.exe，mobsync.exe，waol.exe，agentnt.exe，svchost.exe，runscheduled.exe，pasys*，google*，backweb-*，vmnat.exe，devenv.exe，windbg.exe，jucheck.exe，realplay.exe，acrord32.exe，acrobat.exe，wfica32.exe，mmc.exe，mshta.exe，dwwin.exe，wmplayer.exe，console.exe，wuauclt.exe，javaw.exe，ccmexec.exe，ntaskldr.exe，winamp.exe，realplay.exe，quicktimeplaye*
端口（向外）：80，443

McAfee进程介绍

1:frameworkservice.exe:

这个进程可以在系统的服务里找到

对应的服务为"mcafee framework"
它是用来做什么的呢?
其实它是mcafee的后台框架进程,mcafee产品的共享组件框架.
虽然关闭该服务不影响mcafee使用,但该服务会对升级产生影响
如:当你打开了网络防火墙时,升级mcafee,就会提示该文件需要访问网络.

2: Mcshield.exe

它是mcafee的核心进程,

对应的服务为 network Associates 　　McShield
所以关闭此服务 mcafee就不能使用.
　　

3:naPrdMgr:

它是与frameworkservice.exe关联在一起的进程
如果关闭了frameworkservice.exe 它也会消失.

4:Tbmon.exe:

它是错误报告进程.
　　

5:shstat.exe:

系统栏内的软件图标,关闭了它系统任处于保护状态.
　　

6:UpdataUl.exe:

该进程用于自动升级.我想大家都应该知道
　　

7:Vstskmgr.exe:

这个进程属于系统服务.对应名为 network Associates Task 　　Manager
                           

                                                          McAfee8.5i病毒扫描代码大全

McAfee 8.5i 报警时不再提示是什么病毒，而是用代码表示，很多人看不懂到底杀毒软件提示什么。下面解释一下各种代码的意思：
      1024 发现感染病毒的文件
      1025 已成功清除文件感染的病毒
      1026 无法清除文件中感染的病毒
      1027 感染病毒的文件已删除
      1028 无法删除感染病毒的文件
      1029 要从扫描中排除的文件
      1030 无法从扫描中排除项目
      1031 拒绝访问感染病毒的文件
      1032 感染病毒的文件已被移到隔离文件夹
      1033 无法将感染病毒的文件移动到隔离文件夹
      1034 扫描已完成未发现病毒
      1035 扫描被取消
      1036 内存已感染病毒
      1037 发现感染病毒的引导记录
      1038 扫描发现感染病毒的文件
      1039 扫描发现感染病毒的文件并已清除病毒
      1040 活动日志错误
      1041 扫描报告内存分配错误
      1042 路径太长
      1043 介质有写保护
      1044 找不到指定的介质
      1045 指定的扫描项目无效
      1046 文件 I/O 错误
      1047 磁盘 I/O 错误
      1048 扫描报告常规系统错误
      1049 扫描报告内部系统错误
      1050 无法修复受密码保护的项目
      1051 无法扫描受密码保护的项目
      1052 感染病毒的捆绑对象
      1053 发现感染病毒的文件
      1054 感染病毒的文件已删除
      1055 无法删除感染病毒的文件
      1056 文件已移动到隔离文件夹
      1057 无法将感染病毒的文件移动到隔离文件夹
      1059 扫描超时
      1060 引导区病毒已清除
      1061 清除引导区病毒时出错
      1062 发送警报时出错
      1063 指定的选项无效
      1064 服务已启动
      1065 服务已结束
      1066 任务成功启动
      1067 无法启动计划的任务
      1068 计划的任务已停止
      1069 停止计划的任务时出错
      1070 任务成功完成
      1071 任务已取消
      1076 记录信息时出错
      1077 内存分配错误
      1086 扫描进程错误
      1087 按访问扫描已启动
      1088 按访问扫描已停止
      1089 扫描设置
      1090 OAS 已停止
      1091 已阻止脚本运行
      1092 已被行为阻挡规则阻挡
      1093 已被缓冲区溢出保护阻挡
      1094 已被端口阻挡规则阻挡
      1095 将被行为阻挡规则阻挡
      1099 将被缓冲区溢出保护阻挡
      1100 在文件中检测到宏
      1101 已从文件中删除宏
      1118 更新成功完成
      1119 更新失败：请参阅事件日志
      1120 正在更新
      1121 更新已取消
      1122 正在升级
      1123 升级失败，参阅事件日志
      1124 升级已取消
      1125 DAT 版本不够新
      1126 扫描任务被 DAT 文件的自动更新而取消
      1127 OAS 扫描引擎已禁用
      1128 扫描超时
      1129 扫描任务被 WINDOWS 关闭
      1200 进程已启动
      1201 进程已结束
      1202 按需扫描已启动
      1203 按需扫描完成
      1204 报告操作系统序列号
      1270 病毒已隔离，没有清除程序
      1271 病毒已隔离，启发式扫描
      1272 病毒已隔离，不能清除
      1273 病毒已隔离，已加密
      1274 病毒未清除或隔离
      1275 病毒，启发式扫描，隔离失败
      1276 病毒，清除错误，隔离失败
      1277 病毒，已加密，隔离失败
      1278 病毒，没有清除程序，已删除
      1279 病毒，启发式扫描，没有清除程序，已删除
      1280 病毒，清除错误，已删除
      1281 病毒，已加密，已删除
      1282 病毒，没有清除程序，删除失败
      1283 病毒，启发式扫描，删除失败
      1284 病毒，清除错误，删除失败
      1285 病毒，已加密，删除失败
      1286 病毒，没有清除程序，已继续
      1287 病毒，启发式扫描，已继续
      1288 病毒，清除错误，已继续
      1289 病毒，已加密，已继续
      1290 病毒，没有清除程序，拒绝访问
      1291 病毒，启发式扫描，拒绝访问
      1292 病毒，清除错误，已拒绝访问
      1293 病毒，隔离失败，已删除
      1294 病毒，隔离失败，删除失败
      1295 病毒，隔离失败，已继续
      1296 病毒，隔离失败，已拒绝访问
      1297 病毒，删除失败，已隔离
      1298 病毒，删除失败，隔离失败
      1299 病毒，删除失败，已继续

      1300 病毒，删除失败，已拒绝访问
      1401 用户检测
      1402 用户清除和移动失败
      1403 用户检测已移动
      1404 用户清除和删除失败
      1405 用户检测已删除
      1406 用户检测已移动
      1407 用户移动和删除失败
      1408 用户检测已删除
      1409 用户检测移动失败
      1410 用户检测已删除
      1411 用户删除和移动失败
      1412 用户检测已移动
      1413 用户检测删除失败
      1500 已清除电子邮件感染的病毒
      1501 感染病毒的电子邮件已隔离
      1502 无法清除邮件中感染的病毒
      1503 检测到感染病毒的电子邮件
      1504 感染病毒的邮件项目已删除
      1505 电子邮件内容已过滤
      1506 电子邮件内容已阻挡
      1507 入站邮件因磁盘空间不足而挂起
      1508 入站邮件已恢复
      1509 启动请求处理成功
      1510 关闭请求处理成功
      1511 警告 - 异常终止
      1512 出现最大负载的情况
      1513 邮件病毒已隔离和清除
      1514 邮件病毒已隔离[未清除]
      1700 服务已成功启动
      1701 服务已成功结束
      1702 文件已阻挡
      1703 发现感染病毒的邮件正文
      1704 邮件被主题行扫描阻挡
      1705 发现感染病毒的文件
      1712 出现内部错误
      1713 按需扫描已启动
      1714 按需扫描已完成
      1715 防病毒引擎已停止
      1716 防病毒引擎已启动
      1719 无更新可用
      1721 磁盘空间不足
      1722 发现感染病毒的文件
      1725 产品即将达到使用寿命
      1726 引擎即将达到使用寿命
      1727 产品已超过支持期限
      1728 引擎已超过支持期限
      1729 已超过产品使用寿命
      1730 已超过引擎使用寿命
      1800 任务已成功启动
      1801 启动任务时出错
      1802 任务已完成
      1803 停止任务时出错
      1804 已发现并清除文件病毒
      1805 感染病毒的文件已成功隔离
      1806 感染病毒的文件已删除
      1807 感染病毒的文件已忽略。
      1808 已隔离一个 LotusScript 异常错误
      1810 已隔离一个 Formula 异常错误
      1812 已隔离一个内容异常错误
      1814 无法读取配置数据库
      1815 无法写入配置数据库
      1816 AutoUpdate无法重新启动任务
      1817 AutoUpdate 失败
      1818 附件已阻挡
      1900 新的 MIB 文件可用
      2000 Alert Manager 测试警报
      2001 Alert Manager 测试警报
      2100 病毒发作规则名称
      2101 病毒发作规则名称
      4650 检测到的LJ邮件
      4651 LJ邮件统计信息
      4700 无法连接至 CMA 更新程序
      4701 无法连接至 CMA 计划程序
      4702 无法将计划数据保存到 CMA
      5000 软件许可即将过期
      5001 软件许可已过期
      5002 软件评估许可即将过期
      5003 软件评估许可已过期
      5004 提供的产品代码不正确
      5006 提供的许可号无效
      5007 该计算机的时钟设置被“提前”
      5008 许可信息已损坏
      5009 许可信息无法写入永久存储器
      5010 无法从永久存储器中读取许可信息
      5011 没有安装特定的产品许可
      5013 提供的缓冲区太小，无法容纳数据
      5014 许可库已损坏
      5015 InitializeLicenseLibrary 尚未被调用
      5016 InitializeLicenseLibrary 已经被调用
      5017 输入的许可号错误
      5018 加密数据时出现错误
      5019 内存不足
      5020 发生未知的异常错误
      5021 提供的字母数字字符串错误
      5022 提供的产品代码错误
      5023 提供的过期日期错误
      5024 提供的生成日期错误
      5025 无法获取当前时间
      5026 测试版许可即将过期
      5027 测试版许可即已过期
      6000 应用程序错误
      8000 发现感染病毒的项目
      8500 发现禁止的项目
      8501 发现加密/损坏的项目
      8502 项目符合过滤标准

 

Mcafree启动画面的去除

by--butler(霏凡)

咖啡8.5i默认关闭了其它程序对于其注册表项目的修改权限，所以直接导入我提供的注册表文件是不能成功的。请需要取消咖啡8.5i启动画面的同志们如下操作：

1、在咖啡控制台-访问保护-属性，在访问保护选项卡下，选择“通用标准保护”右侧的“禁止修改McAfee 文件和设置”，然后点击编辑，在规则详细信息下的“要排除进程”中添加regedit.exe。要注意，添加时候要在regedit.exe前方添加英文的“ , ”。确定，然后在访问保护属性页同样的确定退出。

2、双击导入附件的注册表文件。（附注：我提供的注册表内容为以下文本，请放心使用。害怕附件存在问题的可自行编辑注册表文件导入。）

Windows Registry Editor Version 5.00

[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\DesktopProtection]
"bSkipSplash"=dword:00000001

3、重复第一步，反向操作删除掉排除进程下的regedit.exe（咖啡对规则项目进行字母升序排列，故已经不在最后一项，请到排除进程中认真寻找）以最大程度的保证咖啡运行的安全。

4、注销或重新启动。

                                                      自定义规则导出方法

打开注册表编辑器

找到[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking]项
在右边找到AccessProtectionUserRules,导出保存即可.

很好的材料 ，谢谢楼主整理 ！

麦咖啡好强大，但难于精通...慢慢学习了

谢谢楼主，最近刚用咖啡

好东西,学习了,谢谢楼主分享