目前没在用了(主要以前阻止之后软件仍然一直在写,进入了死循环,CPU爆炸。点名批评Onedrive) - 2021-10-26 20:50
以前用,自己写规则经常不起作用,而且找不到官方文档…..
但实际上来讲,McAfee的规则还是很难用的
现在总算是找到了文档(原来很多地方要用“**”而不是”*“)
分隔符
‘,’用于在匹配进程以及排除进程中进行分割,支持带路径的以及进程名
通配符
最重要的就是’‘以及’**’的区别,可以这么理解,’‘只是一级目录,’**’则表示多级目录。比方说’C:*‘代表C盘根目录下能看到的所有文件夹以及文件,’C:**’则代表所有C盘下的东西
McAfee 8.8 规则设置之难,难于通配符而已。通配符之难,难于8.8不支持“?:\”表示任意盘符。以WINDOWS和Program Files文件夹为例,下面是文件夹的表示方法:
1 | *\WINDOWS:表示任意盘符下的WINDOWS文件夹(在“要阻止的进程”中无效)。 |
文件的通配符表示方法:
1 | *\WINDOWS\**:表示任意盘符WINDOWS文件夹下多级目录中的所有文件(在“要阻止的进程”中无效)。 |
文件夹名的通配符表示方法:
1 | Program Files*:表示Program Files文件夹以及其后有多个任意字符的文件夹,当然包括Program Files (x86)。 |
要包含的进程通配符表示方法:
1 | *:表示所有进程。 |
其它:?:以及*:单独表示根目录继续有效。
说明:经实践,以上语法在8.7i中同样有效
规则备份
需要在关闭软件自保护的情况下导出如下注册表
1 | HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner |
(导入时同样需要关闭软件自保护)