一、McAfee 8.7i规则编写须知

 

如果自己不会编写规则，最好的学习方法就是知道规则的写法后，查看和修改其他人现成的规则并学习。

 

咖啡通配符的解释：
问号 (?) ：用于表示任意单个字符，不能为空。如：maxthon? 包含 maxthon1、maxthon2,但不包含maxthon

星号 (*) ： 用于排除多个字符，可以为空。如：maxthon* 包含 maxthon1、maxthon1234、maxthon等等

双星号 (**) ：表示零个或多个含有反斜杠的字符，这样允许多层次排除。例：C:WINDOWS\**,即为windows目录下（包含各级子目录）的所有文件

 

另外，**\** 和 **\* 是完全等价的。* 和 **\** 在单独使用时是等价的，均代表“所有的文件”。而*.* 则是代表“所有带后缀的文件”
例如：
C:\WINDOWS\*，代表windows根目录下的所有文件（不包含子目录）
“C:\WINDOWS\**” ＝“C:\WINDOWS\**\*” ＝“C:\WINDOWS\**\**”,均代表windows目录下的所有文件（包含子目录）
C:\WINDOWS\*.*，代表windows根目录下的所有带后缀的文件（不包含子目录）

 

二、McAfee 8.7i文件/文件夹访问保护规则的编写

 

图片1

 

文件操作解释：
对文件進行读访问[G]：表面上说禁止对文件的读取，实际上，禁止了读取，效果等于选择了所有项目。即[G]=[G]+[I]+[K]+[H]+[J]+[R]。其中[G]、[I]、[K]、[H]、[J]、[R]仅对规则对象有效。
对文件進行写访问[I]：不折不扣的禁止写入，没有其他副作用，但是一个被保护的文件一旦更名，就可以写入了，且更名不在阻挡范围。
正在执行的文件[K]：仅对执行文件有效（EXE、COM、BAT、DLL、SCR），对CHM、MSI、VBS无效。可更名。
正在创建的新文件[H]：阻挡新文件创建，可以使用名称通配符，后缀通配符。Ⅲ中使用通配符后，有[H]=[H]+[R]，[R]根据通配符的不同而不同。没有使用通配符，[R]仅对规则文件有效
正在删除文件[J]：实际效果为：[J]=[J]+[R],[R]仅对规则有效。
重命名文件[R]：不存在的文件操作，但是很重要。
由上述解说可见，[I]和[K]存在更名逃脱规则的风险，所以文件保护规则中只有[I]和[K]时，根据需要选择[J]锁定文件。

 

三、McAfee 8.7i注册表访问保护规则的编写

 

图片2

 

注册表保护
在⑥中选择注册表主键，各主键说明如下：
空白项：默认状态，无任何意义。
HKLM：表示HKEY_LOCAL_MACHINE主键。
HKCU：表示HKEY_CURRENT_USER主键。
HKCR：表示HKEY_CLASSES_ROOT主键。
HKCCS：表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG主键。
HKULM：表示HKCU+HKLM+HKEY_USER三大主键。
HKALL：表示所有主键。可以近似地当作自定义项来使用。

 

在⑦中补充完整的键值名，可以使用通配符*或**代表任意项或值。注意：在⑦中填写注册表项隔开的是 /（斜杠）而不是通常的 \（反斜杠）。

 

四、McAfee 8.7i网络端口访问规则的编写

 

 

 

图片3

 

端口保护
阻挡端口的范围可以是1——65535