mcafeeVSE8.5I在访问保护方面增加了注册表防护和自身设置的保护,防护性能有了很大的提升,赢得了喝彩.咖啡的防护确实是不错的,检测率却不敢恭维.但是默认的规则对个人用户偏偏有很大的风险,(企业员工要遵循计算机操作规程,不能随意安装软件,甚至连修改某些设置的权限都没有,所以这对企业来说,应该不是什么风险).
规则主要是防御未知威胁的,然而8.5的默认的进程排除存在很大的缺陷:
一是只按文件名排除,连文件的路径都不区别,更不要说数字校验了.
二是为了让用户能够在默认标准保护下正常使用计算机,排除了过多的项目,通用性强了,安全性却损失了.一些其它防病毒软件(诺顿、卡巴斯基、熊猫卫士、番薯等)的进程全部排除.诸如setup.exe 、*setup*.exe等安装程序也全部被排除,甚至连google也在排除之列.
看看排除的进程,例如
保护McAfee的相关文件和设置
监视所有进程
排除进程:msiexec.exe,msi*.tmp,setup.exe,ikernel.exe,*setup*.exe,_ins*._mp,mcscript*,frameworks*,naprdmgr.exe,frminst.exe,naimserv.exe,framepkg.exe,narepl32.exe,updaterui.exe,cmdagent.exe,cleanup.exe,rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe,giantantispywar*,sdat*.exe,mfehidin.exe,svchost.exe,regsvc.exe,mmc.exe,vstskmgr.exe,scan32.exe,shstat.exe,mcupdate.exe,mcconsol.exe,ncdaemon.exe
随便挑几个排除项目看看
FramePkg.exe:
“Mcafee的客户端程序 在服务器端可以控制你防病毒软件的客户端,”8.5毕竟是企业防病毒软件 ,排除这个很正常,但对于个人用户.......感觉怕怕的.
rtvscan.exe,cfgwiz.exe,navw32.exe,nmain.exe,fssm32.exe,avtask.exe,kavsvc.exe是其它防病毒软件的进程.万一中了病毒,无法清除,可以借助这些软件.懒于分析病毒和添加病毒库,呵呵,有自知之名,留有余地啊.
setup.exe,setupXXXX.exe,update.exe..........如此命名的病毒、间谍软件和木马程序可就太多了,任何一个恶意程序都可以伪装以上的进程,除了svchost.exe等几个系统进程可以遏制伪装之外,在默认设置下,这些名字的木马程序都可以顺利得逞!本人试过,将一个其它名称的木马程序,改名为setup.exe,默认规则下,可以顺利向限制文件夹写入已经被限制的文件类型!尝试将rising的注册表修复工具或者sreng改为此名,一路绿灯,可随意删除和添加启动项,汗!
........
设想一下,如果有人用framepkg.exe.....等伪装和种植木马,然后修改咖啡规则和设置,.....威胁将接踵而来,而且能够借助咖啡作为保护伞实现木马隐藏的目的,并且用户在禁用咖啡有关规则之前还无法删除!
即使对于企业用户,如果员工恶意操作,只要改名自己需要的程序,就能达到需要的目的.
还有,如此注册表项/值如果没有保护,可能要吃苦头
HKCU/Software/Microsoft/Windows/CurrentVersion/Policies/Explorer/Run
HKLM/Software/Microsoft/Windows NT/CurrentVersion/Winlogon/Userinit
.............
建议,将默认设置中无关的进程在排除规则中排除,或者干脆清空排除进程,然后根据日志,诸个排除必要的进程,排除得越多越危险!
设置足够的规则之后,在用密码锁定设置是很必要的
个人看法,请斧正!