无缝对接：墨池咖啡豆搭配技巧与规则设置

墨池

    记得第一版“咖啡豆规则”发布时，版主就提出过解释一下二者怎么搭配，一直没有时间。这次忙里偷闲，搞了一套新规则，顺便试着解释一下。

    首先，咖啡为何能与毛豆搭配而不冲突。这是因为二者的规则思路完全不同，甚至相互弥补。从监控范围上看，咖啡只监控文件和注册表，而毛豆还监控COM接口、磁盘底层、物理内存、内存间访问、键盘、屏幕显示器等，毛豆的其它如钩子、消息等也是文件监控，二者重复的就是文件和注册表。进一步从从行为控制上分析，例如文件监控，任何文件的读写，二者都会监控（前提是你设置了相关规则），但侧重点不同。毛豆首先会用各种命令和云检查文件的是否已知，如果已知，有明确允许或阻止的就套用规则，否则就不管了，因为无害；如果未知，就会自动入沙或弹窗询问（如果你的“所有程序”规则是“询问”），这个过程虽然肉眼感觉不太明显，但需要时间。就在毛豆检测的同时，咖啡已经根据相关规则作出了相应的拦截，咖啡没有拦截的才会轮到毛豆管，而毛豆管时咖啡已经管过了，反复的相同行为也是如此。咖啡由于简捷所以迅速，毛豆由于细腻所以会稍慢，正是这个时间差，导致二者不会因抢着干活而发生冲突。从拦截行为上看，咖啡更加细腻，读取、写入、执行、创建、删除，一应俱全，而且迅猛；毛豆不防读，防创建也不大利索，所以相比较而言比较温和。这就好比拳击不许打击腰部以下，咖啡是发现违规就制止，毛豆发现违规则不然，他得先看看是不是造成伤害，再根据情节作出处罚，两个裁判同时判罚，咖啡先制止了违规行为，让毛豆自己去判断和作后期处罚去吧。又如治病，咖啡像西医，一检查，哪儿坏了治哪儿，治不好切除，快；毛豆像中医，望闻问切，开方熬药，整体治疗，再加上后期调理，稳。中西医结合呢？西医检查，先哪儿坏了治哪儿，再配合中医整体调理，不留后患。

    第二，二者怎样分工。咖啡与毛豆各有长短，分工需要各尽所长。咖啡的长处是简单，快捷，凶狠，防读，排除简单。短处是（1）没有命令检测，某些文件类型判断不准（如.cpl）；（2）“要阻止的文件或文件夹名”不支持多个文件或文件夹，单个规则无法控制复杂行为；（3）没有内存、磁盘底层防御，绕过文件的病毒行为防不了（如硬盘炸弹）；（4）优先级不明确，规则多了影响系统性能。毛豆的长处是命令检测，规则设置细腻，监控全面，规则多少对性能影响很小。短处是不防读，反应慢，有时不稳定，排除难度大。
    举几个例子。如想要设置一条“禁止非信任区所有操作”的规则，咖啡很容易，一条规则解决，而且效果好，把绝大多数未知程序都防了；毛豆则很困难，需要把信任区内的所有程序都设置了相应规则后，把“所有应用程序”设成“被隔离的程序”垫底，才会取得相同的效果。所以全局规则以咖啡为宜。再如，要想限制IE的一些行为作为入口防御和保护IE，毛豆一条规则就能搞定；而咖啡则需要多条规则，而且由于太凶猛，对于正常功能影响较大。所以，程序控制控制用毛豆为好。再如可执行文件的修改控制，咖啡的优势是很容易控制谁能修改可执行文件，劣势是不能控制修改的区域，只能一条规则控制一种文件类型；而毛豆要想控制谁有权修改可执行文件，也需要在多个相应规则中添加，同样很麻烦，但毛豆可以在全局规则中“阻止”修改可执行文件，在“允许”中划分出可以修改的区域。所以，关于文件的执行与修改规则二者可以同时有，咖啡主管谁有权执行与修改，毛豆负责执行与修改的区域。总结一下，二者的分工可以这样：
    1、咖啡负责：保护隐私——与防读有关的保护规则（默认已经比较全面）
                 防未知病毒——信任区划分规则
                 防病毒爆发——信任区内哪些程序可以运行的规则
                 防入口——可执行文件（修改权限）
    2、毛豆负责：防病毒——命令、云检测
                 防流氓——程序控制规则
                 防入口——可执行文件（修改区域）

    第三，咖啡规则的设置。
    1、默认规则：在充分利用官方白名单的基础上加上本机排除，排除的原则是：白名单中没有的系统进程不要轻易排除；不影响使用的第三方软件进程一般不要排除。有些规则不要选用，如远程类规则（保留“阻止对所有共享资源的读写访问 ”）、端口类规则、浏览器类规则、禁止 Svchost 执行非 Windows 可执行文件等，这些规则在毛豆中设置更好。
    2、自定义规则：根据咖啡的职责制定，主要包括：
    信任区划分规则3条：信任区目录_文件，信任区目录_注册表项，信任区目录_注册表值
    信任区权限规则2条：信任区权限_系统进程，信任区权限_软件进程
    系统工具规则若干：regedit.exe，mmc.exe等
    可执行文件规则若干：exe,dll,bat,cpl,vbs,sys等
    排除较多的进程执行保护规则3条：Explorer.exe，WinRAR.exe，iexplore.exe
    3、默认规则中已经把隐私、危险地带都防了，很强大，只要不胡乱排除，自定义中不用特意制定防读规则了。
    4、毛豆的对文件的检测比咖啡强多了，咖啡“按访问扫描程序”默认监控一下就行了，不用把“月神”开到最高，不监控也没关系。扫描会经常用到的，比如扫扫U盘啥的，咖啡解毒能力一般，删除文件真的一流，还没见过他删不了的，很好。
    5、规则参考：
                        
    说明：
    （1）规则在McAfee 8.8 P1下设置，经过Windows XP\7\2008R2下测试，采用通配符排除，为通用型；
    （2）必须修改：信任区划分3条规则的软件目录排除，“信任区权限_软件进程”的“要包含的进程”和“要排除的进程”（软件列表）“信任区权限_系统进程”排除应该比较全面了，排除需谨慎。
    （3）其它规则对照默认规则经过精心排除，在不影响正常功能和使用的情况下，不要轻易添加排除。
    （4）排除排除到合适的时候，把报告关了，免得见红就想排除，排除多了影响安全。当然，有毛豆挡在前面，关系倒是不大。
    （5）一点心得：把默认规则导出一份，排除时用工具打开，对照一下，如果系统进程默认没有排除，就不排除。试了多次，发现根本不影响使用。这说明官方没有排除是道理的。
    （6）规则有效控制了信任区内外以及可执行文件，安全性很有保障。

    第四，毛豆规则设置。
    安装最新版本，提供两种玩儿法：
    1、默认加强
    （1）选择第二项配置（COMODO - Proactive Security）,需要重启；
    （2）D+：计算机规则—受保护的文件和文件夹—添加—?:\*|—确定（如果想在沙盘中运行程序，最好是?:\*）
        完毕。监测到未知或危险的进程才会弹窗或入沙。
        这种玩儿法最好把咖啡所有默认规则都用上，因为不防“流氓”——暂且这么叫吧！
    （3）防火墙：
        网络类型三选一：在家，在公司，在公共场所，自己确定；
        端口隐藏向导，一般第二项；
        网络安全规则——添加——添加——文件组——所有应用程序，添加——行为——询问——应用——应用——确定
        完毕。等着弹窗吧！
    2、导入墨池毛豆规则：
                                    
    说明：
    （1）导入后，立即修改“软件目录”、“非当前系统目录”文件分组中的路径，重启，防止影响软件使用（特别是毛豆与咖啡）。
    （2）规则在Windows 7\XP下用COMODO 5.9反复修改测试，为通用型，但“软件目录”、“非当前系统目录”文件组内容必须修改。其它通配符路径与咖啡搭配不用修改，其它搭配可以考虑改为绝对路径。
    （3）规则还支持与其它几个国外免费、半免费杀软搭配，与规则中所列杀软兼容良好。
    （4）规则融入咖啡精华，看似简单，实则安全性很高，本人单奔过一段时间。
    （5）规则为本人打磨，但也借鉴了一些毛豆区最新成果，在此深表感谢！
    （6）还是那句话，不是不敢把规则发到毛豆区，而是专为咖啡豆打磨，所以附在咖啡规则之后比较妥当。毛豆区前段时间风气不好，挑刺，对骂，但不影响我们去学习，希望龙年大家心态会平和下来，正常切磋交流。

    第五，咖啡豆搭配使用的几个技巧
    1、安装软件，关闭咖啡规则，联网，用毛豆默认的COMODO - Proactive Security规则监控（如果用墨池规则，切换一下就是了），可保安全。
    2、日常可以关闭咖啡的“按访问扫描程序”，不影响安全。
    3、运行大型软件可以关闭咖啡规则，不影响安全。
    4、遇到弹窗，需要仔细看看，别把恶鬼当好人。
    5、有了咖啡护航，可以放心使用毛豆沙盘了，因为沙盘虚拟目录不在咖啡信任区。
    6、二选一可以单奔，1+1是否大于2，或者是小于2，有待大家验证！

    狗屁声明这次就算了，好累！不对之处，敬请指正！
   顺便在此祝大家：新年过后更加快乐！
   

462588842

感谢分享！辛苦了……

感谢分享！辛苦了 收藏

墨池

462588842 发表于 2012-1-29 09:08
感谢分享！辛苦了……

这次的规则回归易用了一些。

墨池

utalents 发表于 2012-1-29 09:24
感谢分享！辛苦了 收藏

您的支持就是我的动力！

462588842

易用?安全上呢

常驻网络

纯属支持

zixiang5288

强烈支持

七月暮枫

多谢墨池原创。。

mpgk

感谢分享！前来学习