McAfee企业版日志详解
McAfee企业版日志样式:
图片1
学会自己看日志,看到不确定不认识的進程,用Google搜索一下,看是不是病毒。反复多次,你就能区分并记住这是系统文件还是病毒了。
如果日志打开后,一行看不全,可能是因为记事本没有设置“自动换行”,只要点“格式”——“自动换行”就可以。
红色的是日期,蓝色的是时间 粉红色的是计算机名,深蓝色的是用户名,绿色的是触动规则的程序, 橙色的是被操作的对象,蓝灰色的所触动规则的名词,紫色的是触动的动作,比如:创建,执行等
---------------------------------------------------------------------------------------------------------------------
2008-11-14 8:00:51 1092 GHOST\Administrator D:\www\wywz\Wywz.exe C:\WINDOWS\system32\wbem\Logs\dsauth.dll 通用最大保护:禁止在 Windows 文件夹中创建新的可执行文件
根据日志这条规则不要排除dsauth.dll,它是被操作的对象,而不是触动规则的程序,应该排除wywz.exe才对。加入排除项的话有几种加法:
一可以排除wywz.exe,
二可以排除D:\wywz\wywz\**
三可以排除D:\www\wywz\Wywz.exe
上面随便一条排除项都可以使wywz不再触动这条规则,但是McAfee对排除项文件没有校验,所以如果加入wywz.exe的话,病毒也取这个名字,也就阻挡不住病毒了。而第二个,排除的范围有点大,把wywz整个目录都排除了,没有必要。第三个是比较好的,文件名加上了绝对路径。因为windows有一个特点,同一个目录下不能有两个同名的文件,所以D:\www\wywz\Wywz.exe是唯一的,这样排除相对安全系数高点,是最好的。
多个文件加入排除项的时候用英文的逗号分开。
---------------------------------------------------------------------------------------------------------------------
2008-11-1 14:49:29 已由访问保护规则禁止 GHOST \112233 C:\ProgramFiles\Internet Explorer\iexplore.exe C:\Program Files\Common Files\System\msadc\msadco.dll 用户定义的规则:A31 管制浏览器(禁止调用MDAC组件)已阻止的操作: 执行
这条日志是浏览器iexplore.exe触动了A31的规则,触动的是“执行”,这个动作有可能是网页病毒木马触动的,所以一般不影响浏览器使用的话,关于浏览器的规则可以不用管,不用排除。
---------------------------------------------------------------------------------------------------------------------
按访问扫描的日志
2008-10-23 18:22:12 未采取操作 CHINA\Administrator C:\ProgramFiles\WinRAR\WinRAR.exe Q:\3\u\u.exe Generic Packed (特洛伊)
这条是mcafee检测说有特洛伊程序u.exe,文件在Q:\3\u\ 目录下,是在用wi
nrar解压缩的时候检测到了这个特洛伊程序u.exe,但这个u.exe是无界浏览,是经过校验签名没有问题的程序,所以这是一个误报,可以把u.exe加入到按访问扫描的排除项中。
转载请注明: @ 卡饭学院 杀毒软件 免费杀毒软件 时间:2009-07-11 12:40
卡饭,中国计算机安全软件交流学习第一选择;