McAfee 定义的封闭规则 |
描述 |
McAfee Default平衡 建议设置为阻止 |
McAfee Default安全性 建议设置为阻止 |
访问不安全的密码 LM 哈希
|
保护中的 SAM 文件%WINDIR%\system32\config. Windows在此文件中存储密码。 程序通常不访问该文件。
最佳实践:将此规则设置为仅报告(默认),以监控潜在恶意程序或未经授权的访问尝试。 |
|
|
访问用户 Cookie 位置 |
保护Internet Explorer Cookie 文件夹%AppData%\Roaming and %AppData%\Local中的更改。
最佳实践:将此规则设置为仅报告(默认),以监控Internet Explorer程序对 Cookie 的访问。 |
|
|
正在其他进程中分配内存 |
阻止被限制的进程更改系统其他进程中的内存。 |
✔ |
✔ |
正在其他进程中创建线程 |
阻止被限制的进程在系统其他进程中创建或修改线程。
|
✔ |
✔ |
在任意位置创建网络位置 |
阻止被限制的进程在网络位置创建文件。 恶意软件可以使用这些位置传播被感染的文件。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
在 CD、软盘及可移动驱动器上创建文件 |
阻止被限制的进程在可移动设备上创建文件。 恶意软件可以使用这些设备进行传播。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
创建包含 以下文件的文件:.bat 扩展 |
阻止被限制的进程创建任何包含.bat扩展。
如果批文件用于管理用途,将该规则设置为阻止可能会生成误报并影响企业运营。
最佳实践:如果批文件不是用于管理系统,则设置此规则以阻止并报告。 此设置可防止恶意软件创建脚本引擎稍后执行的脚本。 |
|
✔ |
创建包含 以下文件的文件:.exe 扩展 |
阻止被限制的进程创建任何包含 .exe扩展。 此规则可阻止恶意软件在系统上创建可执行文件。
该规则发生的典型"错误阻止"可能包括WinZip,如果用户更新WinZip,以及某些安装程序和卸载程序。 请确保您在启用阻止前运行 GetClean。 要进一步调整此规则,请使用 DAC 全局排除项。 |
|
✔ |
创建包含 以下文件的文件:.html,.jpg或.bmp扩展 |
阻止被限制的进程创建文件,.html,.jpg或 .bmp扩展。 恶意软件有时会劫持这些扩展名,以欺骗用户执行该负载。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
创建包含 以下文件的文件:.job扩展 |
阻止被限制的进程在系统上计划任务。 恶意软件主动利用计划的任务,以避免运行行为扫描程序。 |
✔ |
✔ |
创建包含 以下文件的文件:.vbs扩展 |
阻止被限制的进程创建文件,.vbs扩展。
如果.vbs文件用于管理用途,将该规则设置为阻止可能会生成误报并影响企业运营。
最佳实践:如果.vbs文件不是用于管理系统,因此将此规则设置为阻止并报告。 此设置可防止恶意软件创建脚本引擎稍后执行的脚本。 |
|
|
创建新的 CLSIDs, APPIDs, 和 TYPELIBs |
阻止被限制的进程创建Class IDs,App IDs或TypeLIBs. 这些注册表位置可用于注册新的文件类型并允许恶意软件使用系统上的入口点。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
删除通常成为勒索软件类恶意软件攻击目标的文件 |
阻止被限制的进程删除勒索软件类恶意软件通常作为目标的文件。 勒索软件有时会尝试将文件读取到内存中,将文件内容写入到新文件,对其进行加密,然后删除初始文件。
勒索软件类恶意软件通常不会尝试直接更改其作为加密目标的文件。 相反,它会使用系统中已经存在的进程,如explorer.exe或powershell.exe,以代理攻击。 阻止足够次数的尝试后,恶意软件可能回退到直接尝试加密文件。 |
✔ |
✔ |
禁用关键操作系统可执行文件 |
阻止被限制的进程禁用regedit或任务管理器,从而限制管理员访问这些工具。 |
✔ |
✔ |
执行任何子进程 |
阻止被限制的进程在系统上执行任何子进程。
最佳实践:在将此规则设置为阻止前运行 GetClean。 |
|
✔ |
修改 appinit DLL 注册表项 |
阻止被限制的进程将条目添加到appinit注册表位置。
系统上的用户模式进程可以加载appinit注册表位置。 基于此原因,恶意软件可以将这些进程用作攻击平台,以插入其负载。 |
✔ |
✔ |
修改应用程序兼容性填充码 |
阻止被限制的进程创建应用程序兼容性填充码。 恶意软件可以使用该技术获取与目标进程同样的权利并注入外壳代码。 |
✔ |
✔ |
修改Windows文件和注册表位置 |
阻止被限制的进程更改关键文件和注册表位置,如主机文件。WINLOGON注册表位置、会话管理器注册表位置等。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
修改桌面背景设置 |
阻止被阻止的进程更改桌面墙纸或背景的设置。 恶意软件可以使用该技术欺骗用户、隐藏文件或让用户认为在单击其他内容。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
修改文件扩展名关联 |
阻止被限制的进程劫持文件扩展名关联。 恶意软件可以使用该技术欺骗用户执行未知文件类型或使用未知程序执行文件。 |
|
✔ |
修改具有.bat扩展 |
阻止被限制的进程更改包含.bat扩展。 使用该规则,以帮助停止恶意软件感染操作系统上的脚本文件。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
修改具有.vbs扩展 |
阻止被限制的进程更改包含.vbs扩展。 使用该规则,以帮助停止恶意软件感染操作系统上的脚本文件。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
修改 Image File Execution Options 注册表项 |
阻止被限制的进程更改注册表中的 Image File Execution Options。 利用该技术,恶意软件可以同时劫持进程执行和停止进程执行。 |
✔ |
✔ |
修改可移植可执行文件 |
阻止被限制的进程更改系统上的任何可移植可执行文件。 可移植可执行文件是可以在Windows执行的文件,如.exe,.dll和.sys. |
|
✔ |
修改屏幕保护程序设置 |
阻止被限制的进程更改屏幕保护程序设置。 恶意软件可以使用该技术将恶意负载放置到系统中。 |
✔ |
✔ |
修改启动注册表位置 |
阻止被限制的进程创建或更改Windows注册表启动位置。 恶意软件经常隐藏负载或代理指定注册表启动Windows负载。 |
✔ |
✔ |
修改自动调试程序 |
阻止被限制的进程更改或添加自动调试程序,避免恶意软件利用自动调试程序劫持进程执行和窃取敏感信息。 |
|
|
修改隐藏属性位 |
阻止被限制的进程更改系统上的文件中隐藏的位。 |
✔ |
✔ |
修改只读位 |
阻止被限制的进程更改只读文件中的位置。 |
✔ |
✔ |
修改服务注册表位置 |
阻止被限制的进程更改系统上的服务行为。 |
|
✔ |
修改 Windows 防火墙 策略 |
阻止被限制的进程更改注册表中存储的防火墙策略。 恶意软件可以使用 Windows 防火墙 打开系统上的安全漏洞。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
修改 Windows任务 文件夹 |
阻止被限制的进程在任务文件夹中创建任务或更改其中存储的任务。 恶意软件可以使用任务放置其负载到系统中。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
修改用户策略 |
阻止被限制的进程直接更改策略设置组功能。 恶意软件可以使用该技术更改系统安全计划并打开漏洞。 |
|
✔ |
修改用户的数据文件夹 |
阻止被限制的进程更改或执行用户通用数据文件夹中的文件。 通用数据文件夹包含 Desktop(桌面)、Downloads(下载)、Documents(文档)、Pictures(图片)以及AppData文件夹,是勒索软件攻击中的恶意软件目标。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。
该规则会导致误报,具体取决于被阻止的程序是否真地为恶意程序。 |
|
|
读取通常成为勒索软件类恶意软件攻击目标的文件 |
阻止被限制的进程读取勒索软件类恶意软件通常作为目标的文件。 勒索软件有时会尝试将文件读取到内存中,将文件内容写入到新文件,对其进行加密,然后删除初始文件。
勒索软件类恶意软件通常不会尝试直接更改其加密目标的文件。 相反,它会使用系统中已经存在的进程,如explorer.exe或powershell.exe,以代理攻击。 阻止足够次数的尝试后,恶意软件可能回退到直接尝试加密文件。 |
|
✔ |
正在从其他进程的内存读取 |
阻止被限制的进程读取来自系统中其他进程中的内存。 该规则有助于阻止窃取目标进程中包含的信息。 |
|
✔ |
读取或修改任何文件网络位置 |
阻止被限制的进程读取或更改网络位置中的文件。 恶意软件可以使用这些位置传播被感染的文件。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
读取或修改 CD、软盘及可移动驱动器中的文件 |
阻止被限制的进程读取或更改可移动设备的内容。 恶意软件可以使用这些设备进行传播。
最佳实践:在病毒爆发期间,将此规则设置为阻止并报告,以帮助停止或降低感染。 |
|
|
暂停进程 |
阻止被限制的进程挂起系统上的其他进程。 某些恶意软件尝试挂起进程,以劫持该进程或出于恶意目的(也称作进程空用)中用该进程。 |
✔ |
✔ |
终止其他进程 |
阻止被限制的进程停止系统上的进程。 |
✔ |
✔ |
正在写入其他进程的内存 |
阻止被限制的进程写入系统中其他进程的内存空间。 |
✔ |
✔ |
写入勒索软件类恶意软件通常作为攻击目标的文件 |
阻止被限制的进程更改勒索软件类恶意软件通常作为目标的文件。
勒索软件类恶意软件通常不会尝试直接更改其加密目标的文件。 相反,它会使用系统中已经存在的进程(如 explorer.exe 或 powershell.exe)进行代理攻击。 阻止足够次数的尝试后,恶意软件可能回退到直接尝试加密文件。 |
|
✔ |