查看: 12233|回复: 63
收起左侧

[其他相关] 新手喝咖啡

  [复制链接]
柯林
发表于 2012-11-27 19:15:40 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2012-11-27 21:14 编辑

有些新人觉得咖啡(企业版)太难理解和把握了。正巧,俺也是新人,就分享一下自己的体会。

要流利地使用咖啡,理解其规则和操作,个人以为,只须通过两关就可以了。

第一关:排除关。学会看日志添加排除,这是必过的第一关。实际上很简单的:日志记录了某个程序被某条规则拦截,如果你要放行,只要找到那条规则,在它的排除项里添加该程序的名称或者路径(推荐)就可以了。
譬如:2012-11-27        18:34:32        已由访问保护规则禁止         ZKBSC-50D91860C\DTY         C:\Program Files\alipay\SafeTransaction\Alipaybsm.exe        C:\Documents and Settings\DTY\Local Settings\Temp\Temporary Internet Files\Content.IE5\index.dat        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取
以上日志,说的就是Alipaybsm.exe这个程序读取IE缓存里的index.dat时,被“防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击”这条规则阻止了,要排除,那就打开咖啡的控制台,在“访问保护”里找到“防病毒最大保护”,双击“保护缓存文件免受密码和电子邮件地址窃贼的攻击”,在“规则详细信息”这个画面的“要排除的进程”里添加        C:\Program Files\alipay\SafeTransaction\Alipaybsm.exe就可以了(记得在原有的排除项的结尾加个英文的逗号,再添加所要排除的程序路径)

第二关:规则关。学会理解咖啡的规则。咖啡规则与其它hips产品不同,优先级以及整体上似乎显得混乱。在别的hips那里,规则是严格按照优先级关系匹配的-优先执行允许的,下面的阻止不起作用,反之亦然。咖啡则不是这样,好像乱糟糟的,没什么逻辑和优先级。实际上,咖啡的规则,也是有优先级的——在同一条规则内部,允许优先于阻止(这是可以添加排除的依据);而对于各条规则之间,可谓无所谓优先,权利是一样的——对于涉及或者说适用于某个程序的很多条规则来说,它们全部是有效的。理解这点,可以用“路霸条例”的比喻加以说明:程序好比一个人,规则好比拦路设卡的路霸,只要你从这条路上过,凡是涉及你的关卡都会拦住你进行检查,只要有一个关卡把你拦阻,你就无法通过。同样的道理,不管有多少条规则放行了该程序,只要有一条规则不买账,就会被该规则拦截。
例如:默认规则已经规定了禁止在windows目录及C:\Program Files里创建新的可执行文件,如果你在这两条规则里排除了某个程序(譬如winrar),当你在自定义规则里写上禁止在本机任何地方创建改写exe之类的规则时,如果没有排除winrar,那么它依旧被你写的规则拦截。
总结:1、所有的规则都是有效的(除非你把路径写错、通配符用错而变成无效规则)2、规则可以增加覆盖,可以由很多条规则来涉及和共同管理同一内容 3、只要有一条规则规定了拦截,它就被拦截 4、规则之间的平等以及可以增加覆盖以包含的特性,允许你进行组合筛选过滤,以实现一定的目的

以上,是俺这个新手的一点个人看法,如有说错或理解不对之处,还请老鸟指正。至于具体的规则写法及通配符用法,请参考相关帖子。
最后说下,个人愚见,一般用户其实不需要特别严厉的规则,默认的基本够了(视需要稍微补充一点),流畅易用才用得舒服。
=================================================================
补充一点,自己写规则,是在“用户定义的规则”里进行操作。”访问保护里“的这些东东,可以用组的概念来理解,也就是说,我们可以理解成,咖啡设置了几组规则:
第一组规则——防间谍标准保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第二组规则——防间谍最大保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第三组规则——防病毒标准保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第四组规则——防病毒最大保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第五组规则——防间病毒爆发控制 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第六组规则——通用标准保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第七组规则——通用最大保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第八组规则——虚拟机保护 (不能添加新规则,只能设置启用或禁用,以及添加排除)
第九组规则——用户定义的规则(可以添加新规则,可以设置启用或禁用,可以添加排除)【用户自定义组】
一共九组。设置组的目的,是便于管理和使用,不至于因为所有规则放到一处而太多太杂太乱。实际使用当中,只要是你设为启用的规则,都是起作用的——咖啡工作时,会比对这九组里面所有被启用的规则,只要某条规则规定阻止而未排除,就按该规则的规定加以阻止。【所以,我们理解和掌握咖啡规则时,需要把这九个组里的所有规则集中起来进行查看和理解;而添加排除时,只须按日志的记录,找到相关组里面的对应规则,进行排除即可】
============================================================
按照咖啡”只要有一条规则阻止就被阻止“的精神,一般情况下,不管你怎么写规则,是不会产生漏洞的,除非全部规则都放行了,没有一条阻止限制的规则存在。这也是咖啡”路霸条例“的优势所在吧——不存在高优先级规则之说。

评分

参与人数 3经验 +10 人气 +2 收起 理由
WEI.ER + 1 感谢支持,欢迎常来: )
心跳回忆 + 10 感谢分享~~
墨池 + 1 老树新枝!

查看全部评分

zixiang5288
发表于 2012-11-27 19:18:20 | 显示全部楼层
感谢柯林开蒙
无泪Oo之oO无痕
发表于 2012-11-27 19:54:46 | 显示全部楼层
怎么没人顶呢?
dehuar
发表于 2012-11-27 20:16:57 | 显示全部楼层
喝咖啡是很爽的,呵呵!
kyk0416
发表于 2012-11-27 20:34:52 | 显示全部楼层
第一关:排除关   说的好啊,早几天发就爽了,当时琢磨了半天,看了不少帖子才解决~
支持!
kyk0416
发表于 2012-11-27 20:39:46 | 显示全部楼层
本帖最后由 kyk0416 于 2012-11-27 20:40 编辑

顺道请教:XP下,文件后缀设为显示,过一会又隐藏了,
咖啡与毛豆谁在起作用?如何解决~
墨池
发表于 2012-11-27 20:40:29 | 显示全部楼层
好久没来了,稀客!
嵩弦离合
发表于 2012-11-27 20:47:34 | 显示全部楼层
新手一起喝
柯林
 楼主| 发表于 2012-11-27 20:49:09 | 显示全部楼层
kyk0416 发表于 2012-11-27 20:39
顺道请教:XP下,文件后缀设为显示,过一会又隐藏了,
咖啡与毛豆谁在起作用?如何解决~

不好说  你自己排查下
毛豆里涉及文件后缀名隐藏的,是注册表规则
咖啡里一般是文件规则吧(默认的应该没这个)
kyk0416
发表于 2012-11-27 21:07:22 | 显示全部楼层
柯林 发表于 2012-11-27 20:49
不好说  你自己排查下
毛豆里涉及文件后缀名隐藏的,是注册表规则
咖啡里一般是文件规则吧(默认的应该 ...

嗯~感谢解答!装在另一台本子上的,稍后去看
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:00 , Processed in 0.137127 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表