卡饭论坛 » 国外杀毒软件讨论区 » McAfee » 请问**\*\**的含义

lujunji1987 发表于 2008-8-14 21:48

请问**\*\**的含义

知道的朋友能不能解释下，谢谢了[:xi22:]

23tg33g073 发表于 2008-8-14 21:54

本地所有文件~~~~~

lujunji1987 发表于 2008-8-14 21:55

那**\**的含义呢？

23tg33g073 发表于 2008-8-14 22:00

本地所有文件~~~~~
只要你理解了通配符，就知道“本地所有文件”可以用N种方式来表达。比如说：*      、 **\*\**      、  **\*   、 **\**等等。

lujunji1987 发表于 2008-8-14 22:43

但是出现个很奇怪的现象，我阻止了*向**\*\**的所有操作，排除了c:\windows\**   但是还是提示这个
2008-8-14        21:57:41        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        \\?\C:\WINDOWS\system32\WBEM\WMIADAP.EXE        C:\WINDOWS\system32\WBEM\Performance\WmiApRpl_new.h        用户定义的规则:文件保护        已阻止的操作: 创建


不知道怎么回事，所以我才来问问的

23tg33g073 发表于 2008-8-14 22:51

其实你这样的规则是不科学的，因为你要想在开启改规则的情况下，正常使用机器，那么你的该规则排除不止是
“   c:\windows\**    ”就可以了的，并且你的这个排除也写得不对，应该写成“    **\c:\windows\**  ”  。你这样写了就不会出现windows下的文件犯规的情况了。
我估计楼主现在使用咖啡还不熟练吧，那么你最好不要编写这么严厉的规则。

lujunji1987 发表于 2008-8-14 23:04

不是的，我其他也排除了，我只是觉得犯规的日志和我排除的的又出入，所以把疑惑的部分发上来了
c:\windows\**    和  **\c:\windows\**  有什么区别？

lujunji1987 发表于 2008-8-14 23:05

2008-8-14        23:03:29        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\svchost.exe        C:\WINDOWS\Prefetch\NOTEPAD.EXE-189578DA.pf        用户定义的规则:文件保护        已阻止的操作: 写入



按照你的方法排除了   **\c:\windows\**     但是产生了以上日志，怎么办

23tg33g073 发表于 2008-8-14 23:14

回复 8楼 lujunji1987 的帖子

排除了不会再出现WINDOWS文件夹下文件犯规的情况的，你把你的排除项复制出来给我看看。我估计是你在填写时，多打了逗号，或者是少打了逗号，或者是把应该当成英文的逗号打成了汉语的逗号了~~~·

lujunji1987 发表于 2008-8-14 23:17

文件保护

排除  ** \c:\windows\**, **\D:\M01\**, **\d:\Need for Speed Most Wanted\**, **\d:\Platform\**, **\d:\Warcraft III\**, **\program files\**, c:\docume~1\locals!1\temp\**\*.tmp, \??\C:\WINDOWS\system32\winlogon.exe

阻止 **\**   写，创，删

日志刚才发了
谢谢你

23tg33g073 发表于 2008-8-14 23:25

不客气。

排除项的逗号没有错误。我看了你的这条日志：2008-8-14        23:03:29        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\svchost.exe        C:\WINDOWS\Prefetch\NOTEPAD.EXE-189578DA.pf        用户定义的规则:文件保护        已阻止的操作: 写入
我估计是你刚添加添加**\c:\windows\**排除项后产生的吧，现在应该没有产生了吧？


还有你的 \??\C:\WINDOWS\system32\winlogon.exe这个排除项可以去掉了，因为**\c:\windows\**已经包含了它了~~~~~

lujunji1987 发表于 2008-8-14 23:28

不是的，现在还是在不断的产生，不知道使怎么回事，我按你的方法设置好后应用确定后，过了一会又又新日志了，就是我发你的那个，到目前移动5条了

lujunji1987 发表于 2008-8-14 23:34

还有我觉得很奇怪  svchost.exe   干要写入文件

23tg33g073 发表于 2008-8-14 23:34

刚才我自己也设置了一下这个规则测试，我也是用**\c:\windows\**进行了排除的，没有出现WINDOWS下文件犯规的日志。
我都觉得你的情况有待你诡异了，那你单独把  C:\WINDOWS\system32\svchost.exe  排除了吧~~~~~

23tg33g073 发表于 2008-8-14 23:36

回复 13楼 lujunji1987 的帖子

正常的，Prefetch是预取文件夹，这是加速你软件运行的，svchost.exe写入是正常的。

lujunji1987 发表于 2008-8-14 23:43

你的没有问题我的怎么会有，奇怪了，中毒了会这样吗？还有如果就用这条规则理论上是不是也能防止所有病毒了呢？

23tg33g073 发表于 2008-8-14 23:58

不可能的，因为如果这条规则没有排除项，那么也只是可以阻挡绝大多数病毒。况且这条规则还必须要排除项，必然你自己都无法使用电脑了，那么排除项就是病毒穿透你这条规则的途径了，我看了你的排除项，可以利用的有好几个。你要是不想被穿透，那么就必须要另设规则来对排除项进行控制，可见，一条规则是不可能阻挡住所有病毒的。

任何规则或规则组都不可能阻挡住“所有”病毒，所有楼主还是不要希望一条规则就能办到。楼主还是应该慢慢的学习别人的规则，然后汲取精华，通过若干条规则形成你防线~~~~~

lujunji1987 发表于 2008-8-15 00:07

呵呵，其实默认的规则就有好多是比较好的啊，还有我对浏览器，注册表进行了保护，还有很多，呵呵。如果说病毒不能利用排除的话是不是就是比较安全了啊就那一条，谢谢了，我今天刚开始玩咖啡，看了不少帖子，自己也在研究规则。就是对系统关键文件和注册表只是不甚了解，所以入手比较麻烦。不过本人是不喜欢直接套用人家的规则的，呵呵

23tg33g073 发表于 2008-8-15 00:14

恩，如果可以不排除当然是很强悍的，但是有些规则不可能不排除项。所以说从某种程度上来讲，咖啡8.0有时候比8.5还要安全一点，因为8.0 不能排除，所以我们在设置规则时就会更多的考虑它的精确性，并且规则只有开启和关闭的区别，所以病毒要想穿透不好办；但是因为8.5可以排除，那么某些人就不会在设置规则时考虑精确性了，并且在排除时也不够慎重，以致于被病毒利用了。

用咖啡当然不直接能套用别人规则了，要从别人做的规则中汲取别人的那种思路，这才是最重要的。

lujunji1987 发表于 2008-8-15 00:24

你的意思是要分别保护需要保护的内容，那不是会相当的繁琐，保护一个软件或进程设置一个注册表和文件保护，那样的工程将是及其庞大的，参考了一些规则，好些都是把未知*exe  *.dll   *.bat等等分别阻止创建等，想问下直接一条**不是更方便吗，而且我也没发现什么问题。

我觉得自带的规则也有很多了。还有你的意思是病毒会是和排除文件名字一样的文件吗，这样的话想百分百安全不是不能有排除项了，那怎么可能呢？[:xi22:]

查看完整版本: 请问**\*\**的含义