VSE规则 对.exe文件进行全盘禁读有没有必要？

shiyi602

我个人也认为全禁的话，排除的并不多啊。你要运行的软件数量是有限的，你归到一个文件夹下面。然后对这个文件夹放行，不得了？
然后再建条规则管控下文件夹的新建

马云波波波

jml521m 发表于 2012-12-8 11:11
建议全拉进来。。。。

他们当中有好多本来就是卡饭大家庭中的一员。另，其实我们班的同学爱折腾都是受到了我们植物生理学路老师的影响，路老师主要是搞malware defender和look.n.stop的，后来有些同学因为malware defender和look.n.stop太复杂而转投麦咖啡企业版或comodo。

提出一个小小的错误：

（1）有必要，因为这样做防御力绝对强悍，而且可使硬盘炸弹之类的病毒在运行前就变成一个没有意义的符号

防不了硬盘炸弹......（除它之外的，可以）

---

我个人的建议是：

1、版区，除了我的规则；其他所有大大的，都是默认采用的(是完全融为规则的一部分的，而并没有像我一样，是备用的)

2、之所以，我是采用了【备用处理】；是让规则拥有严格等级可调度！（第六版，才是出现这样的备用规则）；从第八版的规则，你其实可以看到更多的“备用规则”（是藏在默认规则里的）；我个人的规则理念是：不同的人，需要不同的规则，以及不同的严格程度。（所以，我用备用规则，将整体的防御能力，一定程度上可调整）

3、禁读，只是【可执行区域】的更加细化限制（一般是用文件夹区域排除；而这里，更加严格，用准确的进程）；所以，我才是将其备用（一般而言，没有必要；而且排除很烦，规则整体安全收益很低）

4、真正的全盘禁读，不是这样的；而是以下规则模式：

这样的规则，才是全局禁读（要排除必要的可访问区域）

要包含的进程：*
要排除的进程：有必要的少量进程
要保护的文件或文件夹名：*
要排除的文件或文件夹名(这项，规则是没有的)：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**（以及其他可执行区域；需要广泛访问的区域）
要禁止的文件操作：读取

5、同样真正的全局禁运（可执行区域控制）；是这样的规则：

这样的规则，才能够防御几乎所有的病毒（包括硬盘炸弹；但不能拦截脚本）

要包含的进程：*
要排除的进程：无排除
要保护的文件或文件夹名：*
要排除的文件或文件夹名(这项，规则是没有的)：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**（以及其他可执行区域）
要禁止的文件操作：执行

---

jml521m

楼主的福音啊，版主亲自给你讲解全局禁运，以及备用规则了。。   在下也获益匪浅

马云波波波

storyhare 发表于 2012-12-8 12:30
提出一个小小的错误：

版主亲自出马，进行细致的讲解，让我等小辈感激不尽！

小仙仙

我认为有必要的

小仙仙

马云波波波 发表于 2012-12-8 10:56
不但有，而且还比较多。我所知道的就有8个（包括我在内）！

恭喜楼主，班里技术气氛很好

Savoor

这种规则的使用与完整的规则体系是密不可分的.单独拿出这条规则,完全没有意义.

全局禁读,原本是作为一套完整规则体系的底层规则存在的.目的是便于其"上层规则"能有一个更好的阶梯式编制.从而使整套规则能够完整的对全局进行权限控制(包括"已知程序"和"未知程序").而"全局禁读"本身也是对整体的"最强降权".

其上的"阶梯式规则"编写,是对已知的程序给予其应该有的"适度权限".通过这种阶梯式的晋级,使得这条"全局禁读"规则发挥了对"已知程序"不加限制,而对"未知程序"直接给予死刑的效果.

但是"全局禁读"规则,很多时候,可以被其"上层规则"替代.其"效用"仅仅是在"理论"上强大.

思考病毒入侵的基本方式,"大体"分为两种:1.网络.     2.人为.
先看网络:这种中毒的方式,多数为浏览某个网页,不明所以的后台中毒.也就是网站通过恶意代码,或浏览器的下载功能自动下载病毒木马到本地,然后病毒木马"后台"破坏本地文件.
再看人为:大多数为自己手动使用某些软件,至使被动中毒.极为罕见的是他人恶意进攻.

首先要说的,咖啡是一个杀毒软件.如果病毒被识别,则直接干掉.不关"全局禁读"什么事.
如果病毒没有被识别,则体现出规则的效用了.一套完整的规则体系,一般都会对"下载区"做特殊限制.亦即"特别区域"的"特别禁运".同时,也会对"浏览器"做好管制工作------禁止其访问写入除"规定路径"外的其他区域.也就是说,在"全局禁读"发挥效用前,其"上层规则"已经把该做的都做了.

再说另一种情况,咖啡识别为病毒,而使用者仍然要使用(比如某些修改器,破解器,算码器,破解软件等有特殊效用的软件).这种情况纯属人为操作,规则,已经不起决定作用了.比如我们使用一个破解软件,如果不关闭规则,则是大面积的触红,我们会怎么做??------只能是排除.因为你要用,并且要毫无理由的排除.恶意程序的许多行为表现,在咖啡规则的排除中,并不能很好的体现出来.比如运行恶意的DLL,从而获得了进程访问与修改的能力.这在规则中很难看出.而使用者,毫无理由的排除,是因为你要用它,并毫无理由的相信它.这时"全局禁读"完全报废.

如果不排除,又想使用这类程序,我们做的,则是关闭规则.此时"全局禁读"更加报废.

所以,很大程度上,"全局禁读"并没有理论上的那么强大.其有效作用,仅仅是作为一套完整规则体系的"降权基石"存在于一套阶梯式明显的规则体系中.单独拿出,更是毫无意义.

shiyuelaohu

storyhare 发表于 2012-12-8 12:30
提出一个小小的错误：

能否写成下面的形式？
要包含的进程：*
要排除的进程：无
要保护的文件或文件夹名：C:\Users\**,D:\**,E:\**,F:\**
要禁止的文件操作：读取或执行

shiyuelaohu

有必要的，exe、dll全局禁运能杜绝绝大部分病毒和木马，如果电脑上的软件不多的话，排出量也不会太大。但要是安装了一些大型的软件，排出量就大了去了。我电脑上有ansys这个软件，那个排除叫一个累人啊。