McAfee杀毒软件教程
(二零零九年一月)
一:简介下载安装 (1)
1、McAfee简介 (1)
2、文件下载 (1)
3、安装升级 (4)
二:基本设置 (6)
三:日志查看 (11)
四:常见问题解答 (11)
五:附录(选看) (15)
1、规则编写 (15)
2、日志详解 (18)
一:简介下载安装
1、McAfee简介
全球最畅销的杀毒软件之一,McAfee防毒软件, 除了操作介面更新外,也将该公司的WebScanX功能合在一起,增加了许多新功能! 除了帮你侦测和清除病毒,它还有VShield自动监视系统,会常驻在System Tray,当你从磁盘、网络上、E-mail夹文件中开启文件时便会自动侦测文件的安全性,若文件内含病毒,便会立即警告,并作适当的处理,而且支持鼠标右键的快速选单功能,并可使用密码将个人的设定锁住让别人无法乱改你的设定。
注释:软件不支持win98和winme系统
2、文件下载
McAfee企业版直接官方下载地址:
中文:
https://https://www.doczj.com/doc/621780726.html,/apps/downloads/my_products/login.asp?region=cn&segment=enterprise
english(英文):
https://https://www.doczj.com/doc/621780726.html,/apps/downloads/my_products/login.asp
英文网站進去后在Grant Number那里输入相应的grant number
然后打开McAfee Active VirusScan下面的View Available Downloads链接(下载)
选择想要下载的程序版本和补丁
下面以進入中文界面的McAfee官方网站下载为例加以说明。
首先确认浏览器安全设置为中,IE--工具--internet 选项--安全--默认级别。要不然打开McAfee的网站后有些页面打不开。
输入上面的中文网址,進入下面的页面:
有效授权码:
1362640-NAI
1759028-NAI
点击提交后進入下面的页面
点击后進入下载列表界面,选择你要下载的软件以及版本。
anti-spyware反间谍模块和VirusScan杀毒软件分别有8.0 8.5 8.7版。下载相对应的版本。就是说如果下载8.7版本的杀毒软件,就要下载8.7版本的反间谍模块安装。
進入协议界面点“同意”
3、安装升级
安装步骤(以McAfee8.7为例):
1 解压缩VSE870LML.Zip
2 运行SetupVSE.Exe
3 选择“永久” “中国” “接受许可”
4 自定义
5 标准安装(这个是默认设置)
6 开始安装
7安装McAfee的反间谍组件(ASEM870LALL.Zip)过程和上面一样
8 第一次安装,建议下载离线病毒升级包,手工升级。以后可以在线升级。
完成杀毒软件的安装,防间谍软件模块的安装和杀毒软件的安装大同小异,在此略过。
安装完首次最好下载McAfee的离线病毒库,手动更新一下。这样以后再自动更新就快了。
官方病毒库下载(包含完整升级包和最后一次病毒库的升级包)
https://www.doczj.com/doc/621780726.html,/apps/downloads/security_updates/dat.asp?region=us&segment=enterprise
進入上面的页面后点I Agree下载完成后运行安装就可以。
在线更新病毒库
二:基本设置
打开控制台:
可以在开始——程序——McAfee——VirusScan 控制台打开控制台。也可以在任务栏右击咖啡图标打开控制台。
控制台——工具——用户界面选项取消“允许此系统与其他系统建立远程控制台连接” 控制台——工具——用户界面选项——密码选项这里可以设置打开咖啡控制台是否需要密码。
控制台——工具——警报——其他警报选项,取消“记录到本地应用程序事件日志”
控制台——帮助——修复安装可以用来修复McAfee的安装程序。有时候病毒把McAfee 的文件或者注册表项个破坏了,可以在这里修复一下。如果设置乱了,可以勾选上“将所有设置恢复为默认设置”
缓冲区溢出保护设置
有害程序策略设置可以自定义添加你想查杀的文件
按访问扫描的设置
Quarantine Manager 策略(隔离管理策略)
打开隔离管理策略后可以在其中把被McAfee误杀的正常软件还原,或者可以把确认是病毒的文件删除。想知道在隔离文件夹中的文件原来的文件名是什么可以在上面这个图中双击对应的文件就可以看到。如果是敏感文件的可以用wywz擦除C:\QUARANTINE\目录下的文件。被隔离的文件默认保存在 C:\QUARANTINE\目录下。
完全扫描的设置,目标扫描的设置和完全扫描一样。
如果“灵敏度等级”是灰色的无法设置,可以在“完全扫描”属性中随便设置一个什么项目,确定后再次打开就可以设置了
不要忘了设置完了点“另存为默认值”
自动升级的设置
点击“计划”
McAfee每日更新,“起始时间”一般是调成比较频繁的上网时段,“启用随机选择”为开机10分钟即可。默认是开机1小时自动更新
访问保护设置
打开"控制台"--右键单击"访问保护"--选择"禁用"就是关闭 "访问保护"
等于所有访问保护里的规则失效。这样McAfee就相当于一个普通杀毒软件,没有了其类似hips软件一样的文件和注册表保护功能。
如果你对访问保护里的规则完全不是熟悉的时候,
或在安装软件硬件的时候可以先关闭"访问保护",之后再启用。
去掉图中“启用访问保护”的对勾和禁用"访问保护"效果一样。
窗口右侧的规则中,在“阻挡”栏打勾,相当于相应规则启用,去掉相当于不启用。
在“报告”栏打勾是说如有程序触动规则,McAfee任务栏变红,并在日志中记录。去掉相当于不报告不记录日志。
“禁止McAfee服务被停止”是防止病毒结束McAfee的進程和服务的。
这个勾选的话任务栏右键就无法禁用“按访问扫描”了。如果你想临时禁止“按访问扫描”可以把这个去掉。
“用户自定义规则”可以自行添加访问保护规则,来加强McAfee的防护能力。可以分别添加文件保护、注册表保护、端口保护。
三:日志查看
或者这样也可以查看。
打开控制台--右键单击"访问保护"--选择“查看日志”
四:常见问题解答
问:McAfee是国内还是国外的杀毒软件?
答:McAfee是国外的杀毒软件,而且官方有中文版。
问:McAfee杀毒软件的病毒查杀率如何?
答:McAfee的病毒检测率还是很令人满意的。从评测上看基本在90%多徘徊。查杀率高过avast!。而且误报率没有avast!那么高。McAfee的杀毒能力不比卡巴斯基弱多少的。
另外McAfee全盘扫描和目标扫描是凌驾一切规则之上的,即使排除也会被杀。
问:McAfee可以和其它杀毒软件同时安装吗?
答:不可以,杀毒软件最好安装一套,要不然系统会出问题的。
问:如何知道McAfee当前的病毒库日期及补丁版本?
右键任务栏McAfee图标——关于
问:McAfee的病毒库如何备份?
答:可以复制C:\Program Files\Common Files\McAfee\Engine”目录中的avvclean.DAT、avvnames.DAT、avvscan.DAT三个DAT文件到其它目录,重装McAfee后,将这三个备份的DAT文件复制回去就可以了。
问:如何备份McAfee的访问保护规则?
导出
开始——运行——输入 "regedit" (不包含引号)
定位到HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking在右侧,鼠标单击 AccessProtectionUserRules
在点上方的"文件"--"导出"--写个名字就可以了
导入
导入注册表前要在控制台里禁用"访问保护"
下次从新安装咖啡,直接运行导出的注册表文件就可以恢复上次的设置。
问:正常软件被McAfee误判为病毒误杀,如何排除?
按访问扫描的排除
答:以排除无界浏览的文件为例。
文件排除的话,最好不要只写u.exe,大家都这样排除的话容易被坏人利用。或者把u.exe改成其它名字,然后加入到排除内容里。或者用上面的绝对路径加文件名称来做为排除。
如果u.exe这个文件已经在磁盘中了可以把“写入时”去掉,只排除“读取时”。如果u.exe还没有在磁盘,是从其它存储介质上复制到硬盘或解压到硬盘的话,就要连“写入时”一起排除。要不然还没有解压就被McAfee给误杀了。
完全扫描的排除,排除方法和按访问扫描的方法一样。
按访问扫描的排除只是排除在文件打开运行读取时的查杀,而你手动扫描磁盘上的文件时还会扫描到,这个要在完全扫描中也排除一下才可以的。
问:我在按访问扫描、完全扫描、目标扫描中都排除掉了u.exe,可右键扫描磁盘的时候还是误报u.exe 为病毒,好象排除无效?
答:不是排除无效,是没有排除。上面说了按访问扫描的排除是不管手动扫描磁盘文件的。而在“完全扫描”“目标扫描”只是在这两个扫描任务中排除的。右键扫描的扫描属性中没有做u.exe的排除所以还是误报。解决误报的办法就是在设置“完全扫描”的时候,设置完加入排除内容后,点一下“另存为默认值”
问:如何用McAfee扫描的时候不删除我认为正常的程序?
答:如果是McAfee8.7的话,扫描的时候选择“继续”,这样扫描后只显示扫描结果,而不处理。
看到全部是病毒没有误报文件后再次扫描,这时选“清理”就可以把病毒清除。
或者在“按访问扫描”和“完全扫描”中设置发现危险是的动作。
问:如何扫描单个文件或文件夹?
答:在文件、文件夹或磁盘上右键——扫描威胁
问:安装咖啡后,U盘插上,双击没反应。McAfee变红了。日志如下:
2008-8-15 19:46:53 已由访问保护规则禁止C:\WINDOWS\System32\svchost.exe H:\Autorun.inf 用户定义的规则:A10 阻挡U盘病毒已阻止的操作: 读取
2008-8-15 19:46:53 已由访问保护规则禁止 C:\WINDOWS\Explorer.EXE H:\AutoRun.inf 用户定义的规则:A10 阻挡U盘病毒已阻止的操作: 读取
该怎么办?
答:这是因为你的U盘中有自动运行病毒,McAfee阻止了病毒的运行,所以打不开U盘。可以在“资源管理器”的目录树中定位到U盘,打开后删除其中的病毒文件和autorun.inf,desktop.ini文件。修复一下磁盘打开方式就可以了。
问:为何复制论坛上提供的McAfee授权码在其网站上粘贴后提示授权码无效等等。但手工输入同一个授权码就可以呢?
答:因为复制的时候多复制了一个空格,所以授权码无效。可以把鼠标定位到授权码的最后,当鼠标变成一个竖道时从后往前拖鼠标选中授权码,粘贴到McAfee网站就可以了。
问:進入McAfee的官方网站后,点“我同意”没有反应,无法進入下面的页面下载?
答:IE安全级别设置太高了,调整到默认级别就可以了。IE--工具--internet 选项--安全--默认级别
问:关于离线病毒库升级包,下载的一个exe的升级包,但安装时提示“校验码错误”?
答:SuperDAT 是连杀毒引擎+病毒库一起升级的。DAT只是病毒库而已,平时的升级就是这个。
提示“校验码错误”,从新下载一个就可以了。
问:AntiSpyware Enterprise Module v8.7 反间谍模块(ASEM870LALL.Zip) 解压安装后,好像没有看到用户界面有任何新的选项。请问在那里可以找到反间谍模块的设置选项啊?
答:有变化的地方是访问保护,安装反间谍模块后增加了几条新的规则,扫描项中还有些变化。这些都不用管,不用设置的。
问:McAfee控制台中的“完全扫描”和“目标扫描”有什么不同?
答:这些只是控制台给这两个扫描任务起的一个名字。“完全扫描”就是很完全的病毒扫描,包括所有本地磁盘、内存和進程等。而“目标扫描”这个名字不太好理解,其实它扫描的是系统盘比较容易被病毒侵入的目录,比如:windows目录,temp目录等,是非全面的扫描。
问:我的系统任务栏中的McAfee图标似乎被禁用?
答:如果McAfee图标上覆盖有红色圆圈加红线,则表明按访问扫描程序已禁用。解决方法:
确保已启用按访问扫描程序:
①任务栏中右键McAfee图标。如果按访问扫描程序已禁用,则菜单中将显示“启用按访问扫描”。
选择“启用按访问扫描”。
②确保 McShield 服务正在运行:
从“服务”中手动启动该服务,并设为自动启动。
答:你可以导入下面的注册表键值来恢复McAfee的启动项,这里以McAfee安装到C盘来设置的,如果是其它盘请做相应修改:
Windows Registry Editor Version 5.00
[HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run] "ShStatEXE"="\"C:\\Program Files\\McAfee\\VirusScan Enterprise\\SHSTAT.EXE\" /STANDALONE"
如果还不行可能是中毒了。可以在咖啡的控制台中点帮助——修复安装
问:如何暂停McAfee的保护?
答:第一步打开"控制台"--右键单击"访问保护"--选择"禁用" 就是关闭 "访问保护"
之后。第二步打开"控制台"--右键单击"按访问扫描程序"--选择"禁用" 彻底停止咖啡。
恢复:在控制台里记得启用 "按访问扫描程序"和"访问保护"。
问:McAfee的進程都有哪几个?
答:McAfee的進程如下:
EngineServer.exe , Frameworkservice.exe(升级),Mcshield.exe(实时监控),Mctray.exe ,mfeann.exe , mfevtps.exe , naPrdMgr.exe,SHSTAT.exe(任务栏图标),UdaterUI.exe(升级),Vstskmgr.exe(控制台)
问:如何卸载McAfee杀毒软件?
答:停用“访问保护”和“按访问扫描”,之后在控制面板——添加删除程序找到McAfee的程序卸载。
五:附录(选看)
1、规则编写
自己不会编写规则,最好的学习方法就是知道规则的写法后,查看和修改其他人现成的规则并学习。
咖啡通配符的解释:
问号 (?) :用于表示任意单个字符,不能为空。如:maxthon? 包含 maxthon1、maxthon2,但不包含maxthon
星号 (*) :用于排除多个字符,可以为空。如:maxthon* 包含 maxthon1、maxthon1234、maxthon等等
双星号 (**) :表示零个或多个含有反斜杠的字符,这样允许多层次排除。例:C:WINDOWS\**,即为windows目录下(包含各级子目录)的所有文件
另外,**\** 和 **\* 是完全等价的。* 和 **\** 在单独使用时是等价的,均代表“所有的文件”。而*.* 则是代表“所有带后缀的文件”
例如:
C:\WINDOWS\*,代表windows根目录下的所有文件(不包含子目录)
“C:\WINDOWS\**”=“C:\WINDOWS\**\*”=“C:\WINDOWS\**\**”,均代表windows目录下的所有文件(包含子目录)
C:\WINDOWS\*.*,代表windows根目录下的所有带后缀的文件(不包含子目录)
文件操作解释:
对文件進行读访问[G]:表面上说禁止对文件的读取,实际上,禁止了读取,效果等于选择了所有项目。即[G]=[G]+[I]+[K]+[H]+[J]+[R]。其中[G]、[I]、[K]、[H]、[J]、[R]仅对规则对象有效。
对文件進行写访问[I]:不折不扣的禁止写入,没有其他副作用,但是一个被保护的文件一旦更名,就可以写入了,且更名不在阻挡范围。
正在执行的文件[K]:仅对执行文件有效(EXE、COM、BAT、DLL、SCR),对CHM、MSI、VBS无效。可更名。正在创建的新文件[H]:阻挡新文件创建,可以使用名称通配符,后缀通配符。Ⅲ中使用通配符后,有[H]=[H]+[R],[R]根据通配符的不同而不同。没有使用通配符,[R]仅对规则文件有效
正在删除文件[J]:实际效果为:[J]=[J]+[R],[R]仅对规则有效。
重命名文件[R]:不存在的文件操作,但是很重要。
由上述解说可见,[I]和[K]存在更名逃脱规则的风险,所以文件保护规则中只有[I]和[K]时,根据需要选
择[J]锁定文件。
注册表保护
在⑥中选择注册表主键,各主键说明如下:
空白项:默认状态,无任何意义。
HKLM:表示HKEY_LOCAL_MACHINE主键。
HKCU:表示HKEY_CURRENT_USER主键。
HKCR:表示HKEY_CLASSES_ROOT主键。
HKCCS:表示HKEY_LOCAL_MACHINE\SYSTEM\CurrentControlSet部分和HKEY_CURRENT_CONFIG 主键。
HKULM:表示HKCU+HKLM+HKEY_USER三大主键。
HKALL:表示所有主键。可以近似地当作自定义项来使用。
在⑦中补充完整的键值名,可以使用通配符*或**代表任意项或值
注意,在⑦中填写注册表项隔开的是 /(斜杠)而不是通常的 \(反斜杠)
端口保护
阻挡端口的范围可以是1——65535
2、日志详解
学会自己看日志,看到不确定不认识的進程,用Google搜索一下,看是不是病毒。反复多次,你就能区
如果日志打开后,一行看不全,可能是因为记事本没有设置“自动换行”,只要点“格式”——“自动换行”就可以。
红色的是日期,蓝色的是时间粉红色的是计算机名,深蓝色的是用户名,绿色的是触动规则的程序,橙色的是被操作的对象,蓝灰色的所触动规则的名词,紫色的是触动的动作,比如:创建,执行等
---------------------------------------------------------------------------------------------------------------------
2008-11-148:00:511092 GHOST\Administrator D:\www\wywz\Wywz.exe
C:\WINDOWS\system32\wbem\Logs\dsauth.dll通用最大保护:禁止在Windows 文件夹中创建新的可执行文件
根据日志这条规则不要排除dsauth.dll,它是被操作的对象,而不是触动规则的程序,应该排除wywz.exe 才对。加入排除项的话有几种加法:
一可以排除wywz.exe,
二可以排除D:\wywz\wywz\**
三可以排除D:\www\wywz\Wywz.exe
上面随便一条排除项都可以使wywz不再触动这条规则,但是McAfee对排除项文件没有校验,所以如果加入wywz.exe的话,病毒也取这个名字,也就阻挡不住病毒了。而第二个,排除的范围有点大,把wywz 整个目录都排除了,没有必要。第三个是比较好的,文件名加上了绝对路径。因为windows有一个特点,同一个目录下不能有两个同名的文件,所以D:\www\wywz\Wywz.exe是唯一的,这样排除相对安全系数高点,是最好的。
多个文件加入排除项的时候用英文的逗号分开。
---------------------------------------------------------------------------------------------------------------------
2008-11-114:49:29已由访问保护规则禁止GHOST \112233C:\ProgramFiles\Internet
Explorer\iexplore.exe C:\Program Files\Common Files\System\msadc\msadco.dll用户定义的规则:A31 管制浏览器(禁止调用MDAC组件)已阻止的操作: 执行
这条日志是浏览器iexplore.exe触动了A31的规则,触动的是“执行”,这个动作有可能是网页病毒木马触动的,所以一般不影响浏览器使用的话,关于浏览器的规则可以不用管,不用排除。
---------------------------------------------------------------------------------------------------------------------
按访问扫描的日志
2008-10-23 18:22:12 未采取操作CHINA\Administrator C:\ProgramFiles\WinRAR\WinRAR.exe Q:\3\u\u.exe Generic Packed (特洛伊)
这条是mcafee检测说有特洛伊程序u.exe,文件在Q:\3\u\ 目录下,是在用winrar解压缩的时候检测到了这个特洛伊程序u.exe,但这个u.exe是无界浏览,是经过校验签名没有问题的程序,所以这是一个误报,可以把u.exe加入到按访问扫描的排除项中。