麥咖啡McAfee 8.8企業版規則設置(高級篇)

規則要點：
1、深入挖掘默認規則，使默認規則威力發揮到極致，自定義規則只為補充與強化。
2、所有進程采用絕對路徑排除，部分規則分成系統組、軟件組兩條，解決了排除容量（計空格2599字符）的限制。
3、安全性極高，可以做到帶毒不爆發，歡迎虛擬機測試，但不建議實機玩兒毒自虐。
4、易用性稍差，視個人軟件情況，有的排除量可能較大。
5、流暢性極好，飛一般的享受。
6、支持系統自動監測更新，下載並安裝時最好關閉訪問保護。
7、默認支持與金山網盾、毛豆純牆\HIP8.0(二選一)安全搭配，一般用戶單奔足矣。
8、不直接分享規則，規則自己設置：
（1）系統進程基本排除完畢，出現觸紅需要謹慎排除。
（2）常用軟件已經排除，但路徑多為E盤，請根據實際通過替換法修改盤符（如把E:\替換成C:\或D:\等）。

友情提示：如果追求通用，可以把軟件路徑中的“E:\Program Files\”替換成“*\Program Files*\”即可，安全性影響很小。

（3）沒有排除的軟件根據日志排除，或自行整理後添加排除。

排除技巧：一般軟件要想正常運行，需要在“禁止遠程創建/修改可執行文件和配置文件”、“將所有共享項設為只讀”、“保護Windows下的文件”、“保護Windows注冊表_項”、“保護Windows注冊表_值”規則相應的系統組和軟件組同時排除，某些大型或耍點小流氓的軟件還需要在“保護電話簿文件免受密碼和電子郵件地址竊賊的攻擊”、“保護緩存文件免受密碼和電子郵件地址竊賊的攻擊”中排除。

（4）排除原則：善用百度搜索，輔以http://www.virscan.org/掃描，放行已知安全，杜絕一切隱患。
（5）請在相應操作系統下設置，不建議不同系統之間直接導入規則。
（6）不同系統，規則設置有所區別，請詳細閱讀規則說明。
9、獻給喜歡折騰朋友的終極規則，安全盡在自己掌控！不好折騰的朋友不建議使用！


規則設置：

----------------------------默認規則---------------------------------------

《防間諜程序標准保護》
規則名稱：保護Internet Explorer收藏夾和設置
要包含的進程：**
要排除的進程：C:\Windows\Explorer.EXE, C:\Program Files\Internet Explorer\iexplore.exe
是否勾選報告：否
----------------------------------------
說明：排除C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是為了自己能夠修改Internet Explorer收藏夾和設置。不勾選報告，避免大量日志。

《防間諜程序最大保護》
規則名稱：禁止安裝新的 CLSID、APPID 和 TYPELIB
要包含的進程：**
要排除的進程：無
是否勾選報告：否
----------------------------------
說明：該規則用於阻止新的 COM servers的安裝和注冊。某些廣告以及間諜程序能夠將自身添加到Microsoft Internet Explorer的COM 加載項中，或者附加到Microsoft Office。安裝某些程序時才需要加載新的COM，所以日常應用不排除,不勾選報告。

規則名稱：禁止所有程序從 Temp 文件夾運行文件
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告：是
-----------------------------
說明：一個可執行文件在被Windows運行之前都要先被保存在磁盤上，其最普遍的運行方式是，先保存在user或者system賬號的 Temp 文件夾下，再運行。該規則其中之一的目的在於不斷地提醒用戶：“切勿從email中打開附件。”而另一個目的是防止應用程序bug（漏洞）導致的安全隱患危害電腦，比如老版本的Outlook以及Internet Explorer，就因為未經用戶的許可則自動執行代碼以預覽email或者網頁內容而臭名昭著。排除咖啡相關進程是為了正常升級和使用。

規則名稱：禁止從 Temp 文件夾執行腳本
要包含的進程：?script.exe
要排除的進程：無
是否勾選報告：否
-------------------------------
說明：阻止Windows 腳本執行器從Temp文件夾中運行VBScript以及JavaScript文件，這樣能夠阻擋大部分的木馬，以及常被廣告和間諜程序利用的提問式的網頁安裝模式。沒必要勾選報告。

《防病毒標准保護》
規則名稱：禁止禁用注冊表編輯器和任務管理器
要包含的進程：**
要排除的進程：無
是否勾選報告：是
------------------------------------
說明：保護Windows 注冊表中的部分鍵值，用以防止注冊表編輯器和任務管理器被禁用。不用排除。

規則名稱：禁止更改用戶權限策略
要包含的進程：**
要排除的進程：C:\Windows\system32\lsass.exe
是否勾選報告：是
------------------------------------
說明：防止蠕蟲病毒獲知該賬號在網絡中是否擁有管理權限，防止惡意代碼修改用戶組的權限，同時亦會保護注冊表中包含Windows 安全信息的鍵值，譬如，某些病毒會借助管理員賬號來移除某些重要的權限。排除應該極少。

規則名稱：禁止遠程創建/修改可執行文件和配置文件(系統組)
要包含的進程：**（Win7下用*.*）
要排除的進程：*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Windows\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\WINDOWS\regedit.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\defrag.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\System32\msdtc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuapp.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾選報告：是
--------------------------------
說明：該規則是規則“將所有共享項設為只讀”的閹割版。保護了*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini不被修改。按絕對路徑排除已知的安全程序，全局有效防止了對*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的創建、寫入、刪除。只此一條，就涵蓋了壇子裡原有規則自定義規則的N條。還有com、sys、drv、vxd、bat等，交給自定義規則補充吧。此處排除的是系統組進程，軟件組在自定義中補充。（ 友情提示：如果軟件數量不多，完全可以不分組，這樣自定義規則就會少很多，下同。）
規則名稱：禁止遠程創建自動運行文件
要包含的進程：**
要排除的進程：無
要阻止的文件或文件夾名：autorun.inf
是否勾選報告：是
--------------------------------
說明：禁止創建所有自動播放。

規則名稱：禁止攔截 .EXE 和其他可執行文件擴展名
要包含的進程：**
要排除的進程：無
是否勾選報告：是
--------------------------------------
說明：禁止間諜和惡意程序修改操作系統的配置以及可執行文件。

規則名稱：禁止偽裝 Windows 進程
要包含的進程：**
要排除的進程：無
是否勾選報告：是
---------------------------------------
說明：禁止針對Windows核心進程svchost.exe, explorer.exe, ctfmon.exe, lsass.exe, csrss.exe, winlogon.exe, services.exe, smss.exe的任何操作，防止渾水摸魚。啟用該規則能夠防止文件或者程序的名稱被偽造，以及偽造名稱的程序被執行，而真正的 Windows 文件不受該規則限制。切記不用排除。

規則名稱：禁止群發郵件蠕蟲發送郵件
要包含的進程：**
要排除的進程：無
是否勾選報告：是
----------------------------
說明：郵件客戶端，禁止通過SMTP 端口（25和587）出站發送email。需要排除所用郵件軟件的進程，否則軟件將無法使用。

規則名稱：禁止 IRC 通信
要包含的進程：**
要排除的進程：無
是否勾選報告：是
---------------------------
說明：屏蔽了6666-6669端口，防止後門木馬連接到IRC服務器並接收來自其作者的命令。

規則名稱：禁止使用 tftp.exe
要包含的進程：**
要排除的進程：無
是否勾選報告：是
---------------------------------
說明：防止通過利用脆弱的應用緩沖區溢出散播一些病毒。使用Windows的TFTP客戶端（tftp.exe）執行下載的用戶才需要排除。

《防病毒最大保護》
規則名稱：禁止 Svchost 執行非 Windows 可執行文件
要包含的進程：svchost.exe
要排除的進程：無
是否勾選報告：否
---------------------------------
說明：禁止Svchost.exe加載非Windows服務.DLL文件。用則不要排除，也不用勾選報告。否則可以不用。

規則名稱：保護電話簿文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程：**
要排除的進程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告：是
------------------------------------------
說明：隱私保護規則。保護Rasphone.pbk文件存儲在用戶的配置文件的目錄，不被讀取和注入惡意代碼。排除已知的安全程序。

規則名稱：禁止更改所有文件擴展名的注冊
要包含的進程：**
要排除的進程：C:\WINDOWS\explorer.exe
是否勾選報告：否
------------------------------
說明：這是一個嚴格的版本“反病毒標准保護：防止其他可執行的EXE和擴展劫持”規則，而不是只保護的.EXE。這條規則可以防止通過保護登記處登記的文件擴展名擴展的選項鍵。排除C:\WINDOWS\explorer.exe是為了只允許自己修改擴展名。不勾選報告，否則日志量大。

規則名稱：保護緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程：**
要排除的進程：C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Media Player\wmplayer.exe, C:\Windows\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\CCleaner\CCleaner*.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告：是
--------------------------------------
說明：隱私保護規則。防止病毒、木馬讀取上網隱私。排除已知的安全程序，否則某些軟件無法啟動（這本身就是流氓行為）。

《防病毒爆發控制》
規則名稱：將所有共享項設為只讀（系統組）
要包含的進程：**（Win7下用*.*）
要排除的進程：*\Program Files\**\*.*, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\defrag.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\WindowsPowerShell\v1.0\powershell.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\notepad.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\SysWOW64\runonce.exe, C:\Windows\SysWOW64\WerFault.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
是否勾選報告：是
---------------------------------------
說明：這是非常強大的全局禁改規則。按絕對路徑排除已知的安全程序，可以禁止一切未知程序的創建、寫入、刪除行為，這樣就算病毒已經進入信任區，也無法搞破壞了。有效防止信任區病毒爆發。軟件組在自定義中補充。

規則名稱：阻止對所有共享資源的讀寫訪問 (即 禁止非信任區程序訪問-文件 )
要包含的進程：**（Win7下用*.*）
要排除的進程：*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
是否勾選報告：是
------------------------------------------------
說明：這是非常強大的全局禁運規則。排除信任區後，非信任區一切程序的所有操作都無法進行。有效防止非信任區病毒爆發。注冊表在自定義中補充。

《通用標准保護》
規則名稱：禁止修改 McAfee 文件和設置
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告：是
-------------------------------------------
說明：只排除了咖啡本身和C:\Windows\system32\services.exe。

規則名稱：禁止修改 McAfee Common Management Agent 文件和設置
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\services.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告：是
------------------------------------------
說明：只排除了咖啡本身和C:\Windows\system32\services.exe。

規則名稱：禁止修改 McAfee 掃描引擎文件和設置
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McTray.exe
是否勾選報告：是
----------------------------------------
說明：只排除了咖啡本身。

規則名稱：保護 Mozilla 及 FireFox 文件和設置
要包含的進程：**
要排除的進程：*\Program Files\**\*.*
是否勾選報告：是
-------------------------------
說明：本人不用，常規排除。

規則名稱：保護 Internet Explorer 設置
要包含的進程：**
要排除的進程：C:\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE
是否勾選報告：是
----------------------------------
說明：排除*\Program Files\Internet Explorer\iexplore.exe, C:\Windows\Explorer.EXE是為了自己能修改IE設置。

規則名稱：禁止安裝 Browser Helper Objects 和 Shell Extensions
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告：是
-----------------------------------------
說明：防止廣告軟件、間諜軟件和一些木馬程序安裝運行浏覽器助手、插件、工具欄等。只給咖啡這個權利。

規則名稱：保護網絡設置
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\system32\svchost.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告：是
----------------------------------------
說明：反廣告規則。禁止發送、捕獲網絡流量並把它發送到第三方網站浏覽行為的數據。只給咖啡和svchost.exe這個權利。

規則名稱：禁止公用程序從 Temp 文件夾運行文件
要包含的進程：eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的進程：無
是否勾選報告：是
---------------------------
說明：官方默認。

規則名稱：在 Internet Explorer 中禁用 HCP URL
要包含的進程：iexplore.exe, wmplayer.exe
要排除的進程：無
是否勾選報告：是
------------------------------------------------
說明：官方默認。

規則名稱：防止終止 McAfee 進程
要包含的進程：**
要排除的進程：/system32/csrss.exe, /system32/drwtsn32.exe, /system32/lsass.exe, /syswow64/lsass.exe, amgrcnfg.exe, C:\Program Files\Common Files\McAfee\SystemCore\csscan.exe, C:\Program Files\Common Files\McAfee\SystemCore\dainstall.exe, C:\Program Files\Common Files\McAfee\SystemCore\mcshield.exe, cleanup.exe, cmdagent.exe, dbinit.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcadmin.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe, E:\Program Files\McAfee\VirusScan Enterprise\mcupdate.exe, E:\Program Files\McAfee\VirusScan Enterprise\restartVSE.exe, E:\Program Files\McAfee\VirusScan Enterprise\scan32.exe, E:\Program Files\McAfee\VirusScan Enterprise\scncfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shcfg32.exe, E:\Program Files\McAfee\VirusScan Enterprise\shstat.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\VSCore\x64\dainstall.exe, E:\Program Files\McAfee\VirusScan Enterprise\vstskmgr.exe, E:\Program Files\McAfee\VirusScan Enterprise\x64\scan64.exe, EngineServer.exe, fcag.exe, fcags.exe, FCAGT.exe, fcagte.exe, firesvc.exe, FireTray.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frameworks*.exe, frminst.exe, HipManage.exe, hipsvc.exe, McAfeeFire.exe, mcscancheck.exe, mcscript*, mcscript_inuse.exe, mctray.exe, mfeann.exe, mfefire.exe, mfehidin.exe, MPEScanner.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, ncdaemon.exe, RPCServ.EXE, RSSensor.exe, SAFeService.exe, scanner.exe, setlicense.exe, SiteAdv.exe, TBMon.exe, udaterui.exe, updaterui.exe, VirusScanAdvancedServer.exe, vmscan.exe, WerFault.exe
是否勾選報告：是
------------------------------
說明：官方默認。

《通用最大保護》
規則名稱：禁止將程序注冊為自動運行
要包含的進程：**
要排除的進程：C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告：是
-------------------------------------
說明：安全軟件給這個權利。

規則名稱：禁止將程序注冊為服務
要包含的進程：**
要排除的進程：C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\system32\mmc.exe, C:\Windows\System32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe
是否勾選報告：是
---------------------------------------
說明：保護的注冊表項和目錄，也提供了一些針對新的內核模式rootkit安裝有限的保護。嚴格排除已知的安全進程。

規則名稱：禁止在 Windows 文件夾中創建新的可執行文件
要包含的進程：**
要排除的進程：C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe
是否勾選報告：是
------------------------------
說明：只防了EXE和DLL的創建，自定義規則還需要補充。

規則名稱：禁止在 Program Files 文件夾中創建新的可執行文件
要包含的進程：**
要排除的進程：E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe
是否勾選報告：是
-----------------------------
說明：只防了EXE和DLL的創建，自定義規則還需要補充。

規則名稱：禁止從 Downloaded Program Files 文件夾啟動文件
要包含的進程：**
要排除的進程：無
是否勾選報告：是
--------------------------------
說明：“要包含的進程”改成**，禁止所有程序從 Downloaded Program Files 文件夾啟動文件。

規則名稱：禁止 FTP 通信
要包含的進程：**
要排除的進程：agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, dstest.exe, earthagent.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, ftp://ftp.exe/, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, iv_nt86.exe, lsetup.exe, lucoms*, luupdate.exe, mcscancheck.exe, mcscript*, mctray.exe, mozilla.exe, msexcimc.exe, msn6.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, netscp.exe, nv11esd.exe, ofcservice.exe, opera.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pskmssvc.exe, setlicense.exe, sevinst.exe, sucer.exe, supdate.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, updaterui.exe, v3cfgu.exe, webproxy.exe
是否勾選報告：是
------------------------------
說明：默認，到自定義規則中去詳細控制。

規則名稱：禁止 HTTP 通信
要包含的進程：**
要排除的進程：???setup.exe, ??setup.exe, ?setup.exe, acrobat.exe, acrord32.exe, agentnt.exe, ahnun000.tmp, alg.exe, amgrsrvc.exe, apache.exe, autoup.exe, avtask.exe, backweb-*, boxinfo.exe, C+WClient.exe, ccmexec.exe, cfgeng.exe, cleanup.exe, cmdagent.exe, console.exe, devenv.exe, dstest.exe, dwwin.exe, earthagent.exe, eudora.exe, explorer.exe, f-secu*, f-secure automa*, firefox.exe, FireSvc.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, getdbhtp.exe, giantantispywa*, google*, idsinst.exe, iexplore.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inetinfo.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javaw.exe, jucheck.exe, KSWebShield.exe, kwsmain.exe, kwsupd.exe, lsetup.exe, lucoms*, luupdate.exe, MAPISP32.exe, McAfeeHIP_Clie*, McSACore.exe, mcscancheck.exe, mcscript*, mctray.exe, mmc.exe, mobsync.exe, mozilla.exe, msexcimc.exe, mshta.exe, msi*.tmp, msiexec.exe, msimn.exe, msn6.exe, msnmsgr.exe, mue_inuse.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, neo20.exe, netscp.exe, nlnotes.exe, ntaskldr.exe, nv11esd.exe, ofcservice.exe, opera.exe, outlook.exe, Owstimer.exe, paddsupd.exe, pasys*, pavagent.exe, pavsrv50.exe, pine.exe, poco.exe, pskmssvc.exe, quicktimeplaye*, realplay.exe, RESRCMON.EXE, runscheduled.exe, SAEDisable.exe, SAEuninstall.exe, setlicense.exe, setup*.exe, setup.exe, Setup_SAE.exe, sevinst.exe, SiteAdv.exe, SPSNotific*, sucer.exe, supdate.exe, svchost.exe, thebat.exe, thunde*.exe, tmlisten.exe, tomcat.exe, tomcat5.exe, tomcat5w.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updaterui.exe, v3cfgu.exe, VMIMB.EXE, vmnat.exe, waol.exe, webproxy.exe, wfica32.exe, winamp.exe, windbg.exe, WinMail.exe, winpm-32.exe, wmplayer.exe, wuauclt.exe, _ins*._mp
是否勾選報告：是
--------------------------------
說明：默認加簡單排除，到自定義規則中去詳細控制。

《虛擬機保護》
規則名稱：防止終止 VMWare 進程
要包含的進程：**
要排除的進程：*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告：是
--------------------------------------
說明：本人不用，常規排除。

規則名稱：禁止修改 VMWare Workstation 文件和設置
要包含的進程：**
要排除的進程：*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告：是
----------------------------------------
說明：本人不用，常規排除。

規則名稱：禁止修改 VMWare Server 文件和設置
要包含的進程：**
要排除的進程：*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告：是
-----------------------------------
說明：本人不用，常規排除。

規則名稱：禁止修改 VMWare 虛擬機文件
要包含的進程：**
要排除的進程：*\Program Files\**\*.*, *\WINDOWS\**\*.*
是否勾選報告：是
---------------------------------
說明：本人不用，常規排除。


----------------------------用戶定義的規則-----------------------------------------

01 規則名稱：禁止非信任區程序訪問注冊表_項
要包含的進程：**
要排除的進程：*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保護的注冊表項目或注冊表值：HKALL /**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“阻止對所有共享資源的讀寫訪問”規則的補充。

02 規則名稱：禁止非信任區程序訪問注冊表_值
要包含的進程：**
要排除的進程：*\*工具\**\*.*, *\*電子書\**\*.*, *\4KBrowser\**\*.*, *\AloneSbck\**\*.*, *\EMPIRE EARTH\**\*.*, *\KangXiDict\**\*.*, *\Program Files\**\*.*, *\PROGRA~?\**\*.*, *\WINDOWS\**\*.*
要保護的注冊表項目或注冊表值：HKALL /**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“阻止對所有共享資源的讀寫訪問”規則的補充。

03 規則名稱：禁止未知程序訪問端口_入站
要包含的進程：**（Win7下用*.*）
要排除的進程：cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, svchost.exe
要阻止的端口：1-65535
方向：入站
是否勾選報告：是
-------------------------------------------------
說明：程序入站自己控制。

04 規則名稱：禁止未知程序訪問端口_出站
要包含的進程：**（Win7下用*.*）
要排除的進程：C+WClient.exe, cmdagent.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, sppsvc.exe, svchost.exe, Thunder*.exe
要阻止的端口：1-65535
方向：出站
是否勾選報告：是
-------------------------------------------------
說明：程序出站自己控制。

05 規則名稱：防病毒標准保護_禁止遠程創建/修改可執行文件和配置文件_軟件組
要包含的進程：**（Win7下用*.*）
要排除的進程：**\Windows\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\WINDOWS\system32\svchost.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名：**
要禁止的文件：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：“禁止遠程創建/修改可執行文件和配置文件”規則的軟件組。全局防止對*.exe, *.scr, *.ocx, *.dll, *.pif, %systemdrive%\*.ini的創建、寫入、刪除。

06 規則名稱：防病毒爆發_將所有共享項設為只讀_ 軟件組
要包含的進程：**（Win7下用*.*）
要排除的進程：*\WINDOWS\**\*.*, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Windows Defender\MSASCui.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CCC.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\Program Files\Angry Birds\Angry Birds\AngryBirds.exe, E:\Program Files\Program Files\WinRAR\WinRAR.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名：**
要禁止的文件：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：“將所有共享項設為只讀”規則的軟件組。防止信任區病毒爆發。

07 規則名稱：保護Windows下的文件
要包含的進程：**（Win7下用*.*）
要排除的進程：*\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, c:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\Microsoft.NET\Framework64\v4.0.30319\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\v4.0.30319\mscorsvw.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\system32\lsass.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wbem\WMIADAP.EXE, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名：**\WINDOWS\**（Win7下用C:\WINDOWS\**）
要禁止的文件：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“禁止遠程創建/修改可執行文件和配置文件”、“禁止在 Windows 文件夾中創建新的可執行文件” 規則的補充，對“將所有共享項設為只讀” 規則的強化。目的是嚴格控制，防止信任的WINDOWS區病毒爆發。

08 規則名稱：保護Windows注冊表_項_系統組
要包含的進程：**
要排除的進程：*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保護的注冊表項目或注冊表值：HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“保護Windows下的文件”規則的補充（系統組）。

09 規則名稱：保護Windows注冊表_值_系統組
要包含的進程：**
要排除的進程：*\Program Files\**\*.*, C:\PROGRA~1\COMMON~1\MICROS~1\IME\IMSC40A\IMSCMIG.EXE, C:\Windows\Explorer.EXE, C:\WINDOWS\IME\imjp8_1\IMJPMIG.EXE, C:\WINDOWS\PCHealth\HelpCtr\Binaries\HelpSvc.exe, C:\WINDOWS\RTHDCPL.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\WINDOWS\system32\Ati2evxx.exe, C:\Windows\system32\AUDIODG.EXE, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\conime.exe, C:\Windows\System32\csrss.exe, C:\WINDOWS\system32\ctfmon.exe, C:\Windows\system32\DeviceDisplayObjectProvider.exe, C:\WINDOWS\system32\drwtsn32.exe, C:\WINDOWS\system32\dwwin.exe, C:\Windows\system32\LogonUI.exe, C:\WINDOWS\system32\mmc.exe, C:\Windows\System32\msdtc.exe, C:\WINDOWS\system32\mspaint.exe, C:\Windows\system32\notepad.exe, C:\WINDOWS\regedit.exe, C:\Windows\System32\rundll32.exe, C:\Windows\System32\services.exe, C:\Windows\System32\smss.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\taskhost.exe, C:\WINDOWS\system32\taskmgr.exe, C:\Windows\system32\userinit.exe, C:\WINDOWS\system32\verclsid.exe, C:\Windows\system32\wermgr.exe, C:\Windows\system32\winlogon.exe, C:\WINDOWS\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe
要保護的注冊表項目或注冊表值：HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值：值
要阻止的注冊表：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“保護Windows下的文件”規則的補充（系統組）。

10 規則名稱：保護Windows注冊表_項_軟件組
要包含的進程：**
要排除的進程：*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保護的注冊表項目或注冊表值：HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值：項
要阻止的注冊表：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“保護Windows下的文件”規則的補充（軟件組）。

11 規則名稱：保護Windows注冊表_值_軟件組
要包含的進程：**
要排除的進程：*\WINDOWS\**\*.*, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\ccc.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\CLIStart.exe, C:\Program Files\ATI Technologies\ATI.ACE\Core-Static\MOM.exe, C:\Program Files\Chinatelecom C+W\LoginAccount.exe, C:\Program Files\Chinatelecom C+W\CWCleanTools.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Synaptics\SynTP\SynTPEnh.exe, C:\Program Files\Windows Media Player\wmplayer.exe, E:\4KBrowser\4KServer\4KServer.exe, E:\4KBrowser\4kText.exe, E:\AloneSbck\SbckServer\SbckServer.exe, E:\AloneSbck\SBCKSVR\SBCKALONE.EXE, E:\KangXiDict\eKangXi.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32Info.exe, E:\Program Files\Adobe\Reader 9.0\Reader\AcroRd32.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdinstall.exe, E:\Program Files\COMODO\COMODO Internet Security\cfp.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HYDCGB.V20\HYDCV20.EXE, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwstray.exe, E:\Program Files\Kingsoft\webshield\KWSUpreport.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\McAfee\Common Framework\McScanCheck.exe, E:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE, E:\Program Files\Microsoft Virtual PC\Virtual PC.exe, E:\Program Files\McAfee\Common Framework\McTray.exe, E:\Program Files\Microsoft Office\OFFICE11\WINWORD.EXE, E:\Program Files\Microsoft Office\OFFICE11\EXCEL.EXE, E:\Program Files\Microsoft Office\OFFICE11\POWERPNT.EXE, E:\Program Files\UltraISO\UltraISO.exe, E:\Program Files\ZRM2000\ZRW32.EXE, E:\Program Files\McAfee\VirusScan Enterprise\SCAN32.EXE
要保護的注冊表項目或注冊表值：HKALL /**/Software/Microsoft/Windows/**
要保護的注冊表項或注冊表值：值
要阻止的注冊表：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“保護Windows下的文件”規則的補充（軟件組）。

12 規則名稱：保護AppData下的Windows文件（Win7下適用）
要包含的進程：**
要排除的進程：*\CCleaner\CCleaner*.exe, *\COMODO\COMODO Internet Security\cmdagent.exe, *\Kingsoft\webshield\KSWebShield.exe, *\Kingsoft\webshield\kwsupd.exe, *\McAfee\Common Framework\McScanCheck.exe, *\McAfee\Common Framework\FrameworkService.exe, *\McAfee\Common Framework\UdaterUI.exe, *\Microsoft Office\OFFICE*\EXCEL.EXE, *\Microsoft Office\OFFICE*\POWERPNT.EXE, *\Microsoft Office\OFFICE*\WINWORD.EXE, *\WINDOWS\system32\WBEM\WMIADAP.EXE, *\WINDOWS\system32\winlogon.exe, C:\Program Files (x86)\Internet Explorer\iexplore.exe, C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\iexplore.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\servicing\TrustedInstaller.exe, C:\WINDOWS\SoftwareDistribution\Download\**\update.exe, C:\Windows\System32\cleanmgr.exe, C:\WINDOWS\system32\eudcedit.exe, C:\WINDOWS\system32\imapi.exe, C:\Windows\System32\msdtc.exe, C:\Windows\system32\rundll32.exe, C:\Windows\system32\services.exe, C:\Windows\system32\sppsvc.exe, C:\Windows\system32\svchost.exe, C:\WINDOWS\system32\wbem\wmiprvse.exe, C:\Windows\system32\wuauclt.exe, C:\Windows\SysWOW64\rundll32.exe, C:\Windows\system32\NOTEPAD.EXE
要阻止的文件或文件夾名：**\AppData\**\Windows\**
要禁止的文件：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“禁止遠程創建/修改可執行文件和配置文件”規則的補充，對“將所有共享項設為只讀”的強化。目的是嚴格控制，防止信任的AppData區病毒爆發。追求通用性者可以參照本條規則的通配符語法排除。

13 規則名稱：保護Program Files下的文件
要包含的進程：**
要排除的進程：C:\Program Files\Chinatelecom C+W\C+WClient.exe, C:\Program Files\Internet Explorer\IEXPLORE.EXE, C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe, C:\Program Files\McAfee\Host Intrusion Prevention\FireTray.exe, C:\Program Files\McAfee\Host Intrusion Prevention\Helper.exe, C:\Program Files\McAfee\Host Intrusion Prevention\McAfeeFire.exe, C:\WINDOWS\Explorer.EXE, C:\Windows\system32\NOTEPAD.EXE, E:\Program Files\ACD Systems\ACDSee\10.0\ACDSee10.exe, E:\Program Files\Adobe\Photoshop CS\Photoshop.exe, E:\Program Files\CCleaner\CCleaner.exe, E:\Program Files\COMODO\COMODO Internet Security\cmdagent.exe, E:\Program Files\HWPDFOCR80\HWPDFOCR80.exe, E:\Program Files\Kingsoft\webshield\kisaddin.exe, E:\Program Files\Kingsoft\webshield\KSWebShield.exe, E:\Program Files\Kingsoft\webshield\kwsmain.exe, E:\Program Files\Kingsoft\webshield\kwsupd.exe, E:\Program Files\McAfee\Common Framework\FrameworkService.exe, E:\Program Files\McAfee\Common Framework\UdaterUI.exe, E:\Program Files\Thunder Network\Thunder\Program\Thunder.exe, E:\Program Files\ZRM2000\ZRW32.EXE
要阻止的文件或文件夾名：**\Program Files*\**
要禁止的文件：寫入 創建 刪除
是否勾選報告：是
-------------------------------------------------
說明：對“禁止遠程創建/修改可執行文件和配置文件”、“禁止在 Program Files 文件夾中創建新的可執行文件” 規則的補充，對“將所有共享項設為只讀”規則的強化。目的是嚴格控制，防止信任的Program Files區病毒爆發。

1、sandyyangjie ：
天諾兄不准備直接附上規則是不？~我覺得可以附上一個都沒開啟的規則，這樣可能別人好修改一些~~~從頭開始創建這麼多規則傷不起呀~~

答復：附上本人實機規則，方便導入修改：

McAfee 8.8 天諾規則加強版 XP.rar

所有進程采用絕對路徑排除。

McAfee 8.8 天諾規則加強版 32.rar

軟件采用相對路徑排除。不影響邊用邊改。

McAfee 8.8 天諾規則加強版 64.rar

軟件采用相對路徑排除。不影響邊用邊改。

McAfee 8.8 天諾規則加強版 XP_2.rar

需要修改的規則沒有勾選阻擋，方便修改，完成後不要忘了勾上。

2、bighead ：
規則名稱：保護緩存文件免受密碼和電子郵件地址竊賊的攻擊
要包含的進程：**
要排除的進程：C:\Program FilesE:\Program Files
這個是啥意思？應該是多了吧？
答復：替換*\時出的錯誤，完整的應該是C:\Program Files\Common Files\Adobe\ARM\1.0\AdobeARM.exe，文中已經改正，規則已經重新上傳。


3、bmjp007：
為什麼
2011/5/20 17:58:37 已由訪問保護規則禁止 NT AUTHORITY\SYSTEM C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe C:\Program Files\Agnitum\Outpost Firewall Pro\log\netstat4.log 防病毒爆發控制:將所有共享項設為只讀 已阻止的操作: 寫入這一項排除不了
答復：更正：C:\PROGRA~1\Agnitum\OUTPOS~1\acs.exe，這個可能是Win7下排除無效。
後補：根據bmjp007的實踐，Win7下似乎~1排除無效，請遇到的朋友說一下經驗。

4、bmjp007：
好多要排除的，連排除項裡都放不下了，很惱火，倒不是怕麻煩，就是怕放不下。怎麼辦？
答復：軟件很多就把軟件改成通配符路徑可以節省很多，如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe寫成*\McAfee\Host Intrusion Prevention\FireSvc.exe，這樣還有32位、64位以及軟件裝在任意盤通用的好處。以此類推。

5、bighead：
這個規則樓主調試過多久了呢，怎麼好多系統進程都還沒排除掉用起來太辛苦了。換回自己的了呵呵（可能是系統問題，我的是win7 32位）
答復：文字版是在XP下做的，Win7有所不同。現在64位Win7下設了一個規則通用版，軟件采用通配符路徑，如C:\Program Files\McAfee\Host Intrusion Prevention\FireSvc.exe寫成*\McAfee\Host Intrusion Prevention\FireSvc.exe，這樣既節省了很多排除空間，又可以通用。規則直接導入，可以邊用邊排除：

McAfee 8.8 天諾規則加強通用版 32位.rar
McAfee 8.8 天諾規則加強通用版 64位.rar
McAfee 8.8 天諾規則加強通用版 XP.rar

打包下載地址：

軟件名稱：

McAfee 8.8 企業版規則正式版 32/64位 for xp、win7、2008打包

軟件大小：

16KB

更新時間：

2016-09-04

個人系統軟件不同，完全通用而不排除是不可能的，所以導入後一般都需要進一步排除。歡迎大家導入測試並反饋！我將視情況適時推出正式的通用版規則。