查看: 26456|回复: 133
收起左侧

[技术原创] 无缝对接:墨池咖啡豆搭配技巧与规则设置

  [复制链接]
墨池
发表于 2012-1-28 22:17:58 | 显示全部楼层 |阅读模式
本帖最后由 墨池 于 2012-1-30 09:08 编辑

    记得第一版“咖啡豆规则”发布时,版主就提出过解释一下二者怎么搭配,一直没有时间。这次忙里偷闲,搞了一套新规则,顺便试着解释一下。

    首先,咖啡为何能与毛豆搭配而不冲突。这是因为二者的规则思路完全不同,甚至相互弥补。从监控范围上看,咖啡只监控文件和注册表,而毛豆还监控COM接口、磁盘底层、物理内存、内存间访问、键盘、屏幕显示器等,毛豆的其它如钩子、消息等也是文件监控,二者重复的就是文件和注册表。进一步从从行为控制上分析,例如文件监控,任何文件的读写,二者都会监控(前提是你设置了相关规则),但侧重点不同。毛豆首先会用各种命令和云检查文件的是否已知,如果已知,有明确允许或阻止的就套用规则,否则就不管了,因为无害;如果未知,就会自动入沙或弹窗询问(如果你的“所有程序”规则是“询问”),这个过程虽然肉眼感觉不太明显,但需要时间。就在毛豆检测的同时,咖啡已经根据相关规则作出了相应的拦截,咖啡没有拦截的才会轮到毛豆管,而毛豆管时咖啡已经管过了,反复的相同行为也是如此。咖啡由于简捷所以迅速,毛豆由于细腻所以会稍慢,正是这个时间差,导致二者不会因抢着干活而发生冲突。从拦截行为上看,咖啡更加细腻,读取、写入、执行、创建、删除,一应俱全,而且迅猛;毛豆不防读,防创建也不大利索,所以相比较而言比较温和。这就好比拳击不许打击腰部以下,咖啡是发现违规就制止,毛豆发现违规则不然,他得先看看是不是造成伤害,再根据情节作出处罚,两个裁判同时判罚,咖啡先制止了违规行为,让毛豆自己去判断和作后期处罚去吧。又如治病,咖啡像西医,一检查,哪儿坏了治哪儿,治不好切除,快;毛豆像中医,望闻问切,开方熬药,整体治疗,再加上后期调理,稳。中西医结合呢?西医检查,先哪儿坏了治哪儿,再配合中医整体调理,不留后患。

    第二,二者怎样分工。咖啡与毛豆各有长短,分工需要各尽所长。咖啡的长处是简单,快捷,凶狠,防读,排除简单。短处是(1)没有命令检测,某些文件类型判断不准(如.cpl);(2)“要阻止的文件或文件夹名”不支持多个文件或文件夹,单个规则无法控制复杂行为;(3)没有内存、磁盘底层防御,绕过文件的病毒行为防不了(如硬盘炸弹);(4)优先级不明确,规则多了影响系统性能。毛豆的长处是命令检测,规则设置细腻,监控全面,规则多少对性能影响很小。短处是不防读,反应慢,有时不稳定,排除难度大。
    举几个例子。如想要设置一条“禁止非信任区所有操作”的规则,咖啡很容易,一条规则解决,而且效果好,把绝大多数未知程序都防了;毛豆则很困难,需要把信任区内的所有程序都设置了相应规则后,把“所有应用程序”设成“被隔离的程序”垫底,才会取得相同的效果。所以全局规则以咖啡为宜。再如,要想限制IE的一些行为作为入口防御和保护IE,毛豆一条规则就能搞定;而咖啡则需要多条规则,而且由于太凶猛,对于正常功能影响较大。所以,程序控制控制用毛豆为好。再如可执行文件的修改控制,咖啡的优势是很容易控制谁能修改可执行文件,劣势是不能控制修改的区域,只能一条规则控制一种文件类型;而毛豆要想控制谁有权修改可执行文件,也需要在多个相应规则中添加,同样很麻烦,但毛豆可以在全局规则中“阻止”修改可执行文件,在“允许”中划分出可以修改的区域。所以,关于文件的执行与修改规则二者可以同时有,咖啡主管谁有权执行与修改,毛豆负责执行与修改的区域。总结一下,二者的分工可以这样:
    1、咖啡负责:保护隐私——与防读有关的保护规则(默认已经比较全面)
                 防未知病毒——信任区划分规则
                 防病毒爆发——信任区内哪些程序可以运行的规则
                 防入口——可执行文件(修改权限)
    2、毛豆负责:防病毒——命令、云检测
                 防流氓——程序控制规则
                 防入口——可执行文件(修改区域)


    第三,咖啡规则的设置。
    1、默认规则:在充分利用官方白名单的基础上加上本机排除,排除的原则是:白名单中没有的系统进程不要轻易排除;不影响使用的第三方软件进程一般不要排除。有些规则不要选用,如远程类规则(保留“阻止对所有共享资源的读写访问 ”)、端口类规则、浏览器类规则、禁止 Svchost 执行非 Windows 可执行文件等,这些规则在毛豆中设置更好。
    2、自定义规则:根据咖啡的职责制定,主要包括:
    信任区划分规则3条:信任区目录_文件,信任区目录_注册表项,信任区目录_注册表值
    信任区权限规则2条:信任区权限_系统进程,信任区权限_软件进程
    系统工具规则若干:regedit.exe,mmc.exe等
    可执行文件规则若干:exe,dll,bat,cpl,vbs,sys等
    排除较多的进程执行保护规则3条:Explorer.exe,WinRAR.exe,iexplore.exe
    3、默认规则中已经把隐私、危险地带都防了,很强大,只要不胡乱排除,自定义中不用特意制定防读规则了。
    4、毛豆的对文件的检测比咖啡强多了,咖啡“按访问扫描程序”默认监控一下就行了,不用把“月神”开到最高,不监控也没关系。扫描会经常用到的,比如扫扫U盘啥的,咖啡解毒能力一般,删除文件真的一流,还没见过他删不了的,很好。
    5、规则参考:

                        
    说明:
    (1)规则在McAfee 8.8 P1下设置,经过Windows XP\7\2008R2下测试,采用通配符排除,为通用型;
    (2)必须修改:信任区划分3条规则的软件目录排除,“信任区权限_软件进程”的“要包含的进程”和“要排除的进程”(软件列表)“信任区权限_系统进程”排除应该比较全面了,排除需谨慎。
    (3)其它规则对照默认规则经过精心排除,在不影响正常功能和使用的情况下,不要轻易添加排除。
    (4)排除排除到合适的时候,把报告关了,免得见红就想排除,排除多了影响安全。当然,有毛豆挡在前面,关系倒是不大。
    (5)一点心得:把默认规则导出一份,排除时用工具打开,对照一下,如果系统进程默认没有排除,就不排除。试了多次,发现根本不影响使用。这说明官方没有排除是道理的。
    (6)规则有效控制了信任区内外以及可执行文件,安全性很有保障。


    第四,毛豆规则设置。
    安装最新版本,提供两种玩儿法:
    1、默认加强
    (1)选择第二项配置(COMODO - Proactive Security),需要重启;
    (2)D+:计算机规则—受保护的文件和文件夹—添加—?:\*|—确定(如果想在沙盘中运行程序,最好是?:\*)
        完毕。监测到未知或危险的进程才会弹窗或入沙。
        这种玩儿法最好把咖啡所有默认规则都用上,因为不防“流氓”——暂且这么叫吧!
    (3)防火墙:
        网络类型三选一:在家,在公司,在公共场所,自己确定;
        端口隐藏向导,一般第二项;
        网络安全规则——添加——添加——文件组——所有应用程序,添加——行为——询问——应用——应用——确定
        完毕。等着弹窗吧!
    2、导入墨池毛豆规则:
                                    
    说明:
    (1)导入后,立即修改“软件目录”、“非当前系统目录”文件分组中的路径,重启,防止影响软件使用(特别是毛豆与咖啡)。
    (2)规则在Windows 7\XP下用COMODO 5.9反复修改测试,为通用型,但“软件目录”、“非当前系统目录”文件组内容必须修改。其它通配符路径与咖啡搭配不用修改,其它搭配可以考虑改为绝对路径。
    (3)规则还支持与其它几个国外免费、半免费杀软搭配,与规则中所列杀软兼容良好。
    (4)规则融入咖啡精华,看似简单,实则安全性很高,本人单奔过一段时间。
    (5)规则为本人打磨,但也借鉴了一些毛豆区最新成果,在此深表感谢!
    (6)还是那句话,不是不敢把规则发到毛豆区,而是专为咖啡豆打磨,所以附在咖啡规则之后比较妥当。毛豆区前段时间风气不好,挑刺,对骂,但不影响我们去学习,希望龙年大家心态会平和下来,正常切磋交流。


    第五,咖啡豆搭配使用的几个技巧
    1、安装软件,关闭咖啡规则,联网,用毛豆默认的COMODO - Proactive Security规则监控(如果用墨池规则,切换一下就是了),可保安全。
    2、日常可以关闭咖啡的“按访问扫描程序”,不影响安全。
    3、运行大型软件可以关闭咖啡规则,不影响安全。
    4、遇到弹窗,需要仔细看看,别把恶鬼当好人。
    5、有了咖啡护航,可以放心使用毛豆沙盘了,因为沙盘虚拟目录不在咖啡信任区。
    6、二选一可以单奔,1+1是否大于2,或者是小于2,有待大家验证!


    狗屁声明这次就算了,好累!不对之处,敬请指正!
   顺便在此祝大家:新年过后更加快乐!
   


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 5经验 +50 魅力 +2 人气 +4 收起 理由
谁吵我睡觉 + 1 版区有你更精彩: )
一晴空 + 1 版区有你更精彩: )
xiaofeizei + 1 版区有你更精彩: )
大猫熊 + 1 版区有你更精彩: )
storyhare + 50 新年快乐

查看全部评分

462588842
发表于 2012-1-29 09:08:01 | 显示全部楼层
感谢分享!辛苦了……

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 感谢支持:)

查看全部评分

utalents 该用户已被删除
发表于 2012-1-29 09:24:18 | 显示全部楼层
感谢分享!辛苦了 收藏

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 感谢支持:)

查看全部评分

墨池
 楼主| 发表于 2012-1-29 10:18:45 | 显示全部楼层
462588842 发表于 2012-1-29 09:08
感谢分享!辛苦了……

这次的规则回归易用了一些。
墨池
 楼主| 发表于 2012-1-29 10:19:38 | 显示全部楼层
utalents 发表于 2012-1-29 09:24
感谢分享!辛苦了 收藏

您的支持就是我的动力!
462588842
发表于 2012-1-29 13:26:41 | 显示全部楼层
易用?安全上呢
常驻网络
发表于 2012-1-29 14:27:02 | 显示全部楼层
纯属支持
zixiang5288
发表于 2012-1-29 14:45:49 | 显示全部楼层
强烈支持
七月暮枫
发表于 2012-1-29 14:49:35 | 显示全部楼层
多谢墨池原创。。
mpgk
发表于 2012-1-29 15:21:28 | 显示全部楼层
本帖最后由 mpgk 于 2012-1-29 15:21 编辑

感谢分享!前来学习
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 00:46 , Processed in 0.129531 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表