咖啡的味道

呃，就当吾，无事可干吧～～

企业8.8出来很久很久了，可总使用率并不理想，或许有各种各样的原因；但此文的目的只有一个——让你使用Mcafee 8.8！


内容：

   I、安装，及相关图鉴说明  点击

   II、咖啡，为何为Mcafee

       1、何谓『强大』 点击

       2、何谓『伪神』 点击

       3、规则『神韵』——本文没有讲述。

   III、结束语  点击

什么也不说....（因为，语言是苍白的）





1、一个实验：   『一个实验引发的问题～～』





1、在仅启用规则中“咖啡自保”的规则，而后运行具有关闭杀软功能的病毒：




结果：病毒并没有能关闭咖啡（图中那个“Full PC Scan”，就是传说中的“fakeav病毒”）




日志：

        C:\Users\story\AppData\Roaming\defender.exe           C:\Program Files\McAfee\Common Framework\UdaterUI.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
        C:\Users\story\AppData\Roaming\defender.exe          C:\Program Files\McAfee\Common Framework\McTray.exe         通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
        C:\Users\story\AppData\Roaming\defender.exe                C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE                通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
        C:\Users\story\AppData\Roaming\defender.exe                C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe          通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止




2、启用规则中的，所有全局权限规则，而后  【重启】 ：




结果：病毒不能运行，且系统部分功能恢复（在感染病毒时，任务管理器是不能打开的）






日志：

        C:\Users\story\AppData\Roaming\defender.exe            C:\Windows\System32\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取


----------------------




2、咖啡规则除了防毒，还能做什么？？——～病毒的双击规则测试~（试样）

以下，为没有安装病毒库时的，病毒双击测试的部分内容截取


样本1
C:\Users\story\Desktop\9.27\9.27 (1).exe          \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings    已阻止的操作: 写入
C:\Users\story\Desktop\9.27\9.27 (1).exe               C:\Users\story\AppData\Local\Temp\Temporary Internet Files\Content.IE5\75LQUITX\desktop.ini          已阻止的操作: 读取
C:\Users\story\Desktop\9.27\9.27 (1).exe             113.105.247.36:80      禁止 HTTP 通信        
-------无感染现象——拦截成功-----------

样本2
C:\Users\story\Desktop\9.27\9.27 (2).exe           \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect            已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (2).exe             C:\Users\story\AppData\Local\Temp\大飞辅助.exe        已阻止的操作: 执行
C:\Users\story\Desktop\9.27\9.27 (2).exe              C:\Users\story\AppData\Local\Temp\大飞辅助.exe.bat           已阻止的操作: 执行
------无感染现象——拦截成功-----------

样本3
C:\Users\story\Desktop\9.27\9.27 (3).exe             \REGISTRY\MACHINE\Software\Microsoft\91800           已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (3).exe         \REGISTRY\MACHINE\SOFTWARE\Microsoft\DClock                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (3).exe               C:\Program Files\Cmmvwgypeu\Path.rcd                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (3).exe               C:\Program Files\Zsobuu Mdwpaipn\explorer.exe                 已阻止的操作: 创建
-----无感染现象——拦截成功-----------

样本4
C:\Users\story\Desktop\9.27\9.27 (8).exe               C:\WINDOWS\Winhows Pudx\services.exe.txt        已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (8).exe                \REGISTRY\MACHINE\SOFTWARE\Classes\.wnl                 已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (8).exe               \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings           已阻止的操作: 写入
-----无感染现象——拦截成功-----------

样本5
C:\Users\story\Desktop\9.27\9.27 (10).exe        C:\hahagamesss2.exe                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (10).exe        C:\Baidu-Toolbar.exe                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (10).exe        C:\Program Files\Internet Explorer\iexplore.exe           已阻止的操作: 执行
-----无感染现象——拦截成功-----------

样本6
C:\Users\story\Desktop\9.27\9.27 (17).exe        \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                 已阻止的操作: 写入
-----无感染现象——拦截成功-----------

样本7
C:\Users\story\Desktop\9.27\22.exe        C:\Users\story\AppData\Local\Temp\~24C.tmp                 已阻止的操作: 执行
C:\Users\story\Desktop\9.27\27.exe        C:\Windows\system32\mn.dll                 已阻止的操作: 创建
-----无感染现象——拦截成功----------

样本8
C:\Users\story\Desktop\9.27\33.exe        \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings                 已阻止的操作: 写入
C:\Users\story\Desktop\9.27\33.exe        173.242.116.230:80
-----出现全屏弹窗，而后死机——拦截失败----------------


------这些测试，有意义么？？ 当然，有；测试你规则的强度，根据病毒感染规律，编辑更好的规则，让你的电脑永远没有病毒------





3、纷繁的规则目录

参看本区“原创”标签





   

记得，卡饭杀软防毒之最强....或许有人记得，或许已近被遗忘；但，咖啡一直存在！



仅需开启一条规则，卡饭毒区的所有病毒，都是浮云





规则名称：阻止对所有共享资源的读写访问

要包含的进程：*.*

要排除的进程: C:\Program Files (x86)\**\*.*, C:\Program Files\**\*.*, C:\Users\storyhare\AppData\Local\Google\**, C:\Windows\**\*.*, D:\Program Games\**\*.*


这并不需要验证，因为是不可改变的事实￥



但是呢～～～咖啡，可以是『神』，但必须是『伪神』！！


因为：

1、咖啡开机时的防护启动，普遍慢于系统加载项

2、咖啡规则的封闭，使得系统最脆弱的时候，咖啡却是不闻不问（软件安装，关闭规则）

3、对于直接访问底层的行为（包含恶意），咖啡的规则永远是旁观者

4、咖啡的规则，对于ring0权限的行为，只是无聊的摆设


神，是永远强大而不可捍卫的；而咖啡，需要『预热』....


--------------


仍旧，是一个实验：  咖啡规则与杀毒实验报告


规则实验报告：

目的——验证规则的效力范围是否包含杀毒模块


使用规则：

规则名称：自锁规则1
要包含的进程：*
要排除的进程：
要阻止的文件或文件夹名：C:\Program Files\McAfee\**
要禁止的文件操作：读取 创建 写入 删除 执行

规则名称：自锁规则2
要包含的进程：C:\Program Files\McAfee\**
要排除的进程：
要阻止的文件或文件夹名：**
要禁止的文件操作：读取 创建 写入 删除 执行

规则名称：验证规则
要包含的进程：winrar.exe
要排除的进程：
要阻止的文件或文件夹名：**
要禁止的文件操作：创建


---------实验过程：


1、所启用的规则：




2、规则验证：rar无法解压（实验前验证规则的有效）






重启后：


3、右键菜单“右键扫描”不见




4、点击咖啡控制台图标无效




5、右下角咖啡图标




6、任务管理器中咖啡进程：6个（正常8个）




7、解压文件，失败，规则仍有效




8、注册表导入咖啡规则，失败，规则仍有效




9、双击病毒，被实时监控删除，咖啡杀毒组件有效



------------


试验结果：

规则可以阻止咖啡本身的一些功能，但并不能阻断其防御组件（规则和杀毒模块）；

注意，在其规则具有效力的时候，规则并不能限制咖啡的杀毒功能


----该实验，有何意义～～只是咖啡 杀毒模块 与 规则模块 的 “决战” ，而已......







咖啡的神韵

难道以上的所有不是？？？  其他的任何一款杀软，有么？？？？～～～

安装

找到安装包中的安装文件，双击




安装过程

























安装完成















剩下的，自己去『折腾』吧～～～



相关，应急教程

『规则排除应急教程』

其实，很多内容都偏题了，但有何干？！！



只要你了解到了，什么是『咖啡』，那么，该文也就可以含恨而终了～～～





咖啡：

  1、我们的角度，不只是它的优点，而是她的所有

  2、我们不是用来杀毒，只是用来折腾『寂寞』

  3、我们并不骄傲，因为，不需要

  4、欢迎你的加入

智琛

那个关于自保规则是咖啡本来就有的？
系统启动时，咖啡完全加载完毕之前一般软件都要快于它？

eagleye

咖啡真的用来 折腾的
每个人都思路都有局限性
所以，不断的学习，不断的否定自己，不断的折腾
所谓木有最折腾，只有更折腾～～～

tank200706

这篇看着莫名地舒服。

gyfeva01

现在一直在用咖啡感觉很不错~BZ加油~

卡卡洛夫

path1快出来。。。

LisaLan

卡卡洛夫 发表于 2011-10-3 19:38
path1快出来。。。

10月到了，快出来了，别着急。

S版主，请问那个端口防御怎么到底怎么弄，我学了半天还是搞不懂

LisaLan 发表于 2011-10-3 19:59
10月到了，快出来了，别着急。

S版主，请问那个端口防御怎么到底怎么弄，我学了半天还是搞不懂

规则名称：全局控制网络端口连接
要包含的进程：*.*
要排除的进程：dwwin.exe, explorer.exe, FireSvc.exe, FrameworkService.exe, iexplore.exe, McScript_InUse.exe, mcshield.exe, sppsvc.exe, svchost.exe
要阻止的端口：1 -  65535
方向：入站 出站

这个就是“全局”端口规则了，其中包含了计算机的所有端口（1～65535）；当然还可以细化，这的看需要和对端口的了解程度了（如，默认规则的那个『禁止 HTTP 通信』就是具体阻止的80端口）

墨池

LisaLan 发表于 2011-10-3 19:59
10月到了，快出来了，别着急。

S版主，请问那个端口防御怎么到底怎么弄，我学了半天还是搞不懂

规则名称：全局控制端口_入站
要包含的进程：*.*
要排除的进程：cmdagent.exe, FrameworkService.exe, iexplore.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, svchost.exe
要阻止的端口：1-65535
方向：入站
是否勾选报告：是

规则名称：全局控制端口_出站
要包含的进程：*.*
要排除的进程：C+WClient.exe, cfpupdat.exe, cmdagent.exe, dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, iTudou.exe, KSWebShield.exe, kwsmain.exe, kwstray.exe, kwsupd.exe, McScript_InUse.exe, mcshield.exe, NPE.exe, sppsvc.exe, svchost.exe, Thunder.exe, Virtual PC.exe
要阻止的端口：1-65535
方向：出站
是否勾选报告：是

大概就是这样，8.8目前不支持路径排除。也可以合二为一。不知是否问的是这个意思。

jone_jys

试验结果：

规则可以阻止咖啡本身的一些功能，但并不能阻断其防御组件（规则和杀毒模块）；

注意，在其规则具有效力的时候，规则并不能限制咖啡的杀毒功能

“杀毒”永远是至高无上的，从8.0i一直延续至今。。。

w1122k

现在一直在用咖啡感觉很不错~BZ加油~

LisaLan

墨池 发表于 2011-10-3 20:37
规则名称：全局控制端口_入站
要包含的进程：*.*
要排除的进程：cmdagent.exe, FrameworkService.exe,  ...

不晓得这个在XP、WIN7（64位）下面效果怎么样

LisaLan

storyhare 发表于 2011-10-3 20:34
这个就是“全局”端口规则了，其中包含了计算机的所有端口（1～65535）；当然还可以细化，这的看需要 ...

还是不太懂，墨池的那个规则不知道有什么用

LisaLan 发表于 2011-10-4 10:30
还是不太懂，墨池的那个规则不知道有什么用

就是所有防火墙最基本的功能——限制程序联网

LisaLan

storyhare 发表于 2011-10-4 10:49
就是所有防火墙最基本的功能——限制程序联网

VSE中可以加ARP或者更多的防火墙规则吗

LisaLan 发表于 2011-10-4 10:53
VSE中可以加ARP或者更多的防火墙规则吗

arp肯定的没有；至于更多的防火墙规则，如防止别人的端口扫描什么的，也是没有的；只有最简单的联网限制；防火墙，到底重要与否，呃，你可以试着装装Comodo的纯墙（目前，完全不与咖啡冲突）