查看: 82889|回复: 192
收起左侧

[其他相关] 蓝核版咖啡新手上路,包括8.8VSE的安装,设置和搭配

  [复制链接]
蓝核
发表于 2013-2-17 21:33:33 | 显示全部楼层 |阅读模式
本帖最后由 蓝核 于 2013-8-7 18:18 编辑

目前包括5楼

#1 废话&安装

#2 设置和搭配

2楼到4楼

#3 推荐的帖子
5楼
#4 搭配思路以及对规则和白加黑的再次讨论

楼主本人是个杀软至上的使用者,所以我的思路是用杀软,不搭配规则。

这是一个个人习惯,所以楼下就不用提醒我,规则才是咖啡的精华!不用规则你就是个渣渣!不好好用规则还不如XX!等等了。

或者说,明明靠规则就可以做到的事情,为什么还要靠其他的东西了?

因为很简单……大部分人都一样。懒啊……难啊……

咖啡区的入手基本上都是企业版,然后很多人刚刚吃过一口就吐出来,没有认真读入门贴就开始套用别人的规则,又不会看日志排除,也不懂触红,然后这个不好用那个不好用就开始吐槽了就开始放弃了。

所以我这个帖子的目的很简单,就当一个小白在咖啡区这十几天的所思所想而已,希望能给后来的人一些小小的帮助。

在这里,我要先强调的是,默认保护,就已经够用了。

为什么相信咖啡?为什么使用方便?

一个是稳定而又流畅,二个是月神高度流畅灵敏。三个是排除真方便啊!!至于其他的什么修复能力那都是人家强项我们就不说了,没事还可以当作HIPS玩,多么好用啊~

关于排除,我自己用过那么多,咖啡的排除真真是灵敏快速不反弹的机智型~比我大fs好多了(当然排除的方法也有,详情请去fs区查看我写的……)……就是不知道双方比的反应速度如何,我就知道BD的反应最快好像2个小时之内都可以下发新定义解除误报?咖啡上次看见貌似也很快。

我觉得,查杀率也不是问题。

很简单,常见的病毒入口,要么就是挂马,u盘引入,下载里面的.ARP啥的不算常见的跳过去不说。

挂马的话,咖啡家有插件在驻守。还有我下面要用的SEP的墙。IPS堵死漏洞进不来木马那叫呱呱叫~现在的浏览器要么用谷歌的恶意网址库要买就是微软家自己的~opera貌似还跟AVG合作了

u盘的话……我绝对绝对不相信咖啡杀不了常见的u盘病毒。如果是通过系统漏洞攻击,如果你自身补丁打好的话,本身也没事,如果是0day漏洞……哥们你运气真好……这个没法子的……我觉得。

下载里面就是常见的白加黑等等或者其他,一般都是注册机,破解外{过}{滤}挂等等。本来也是大部分杀软都是杀的,你说这个时候相信谁?你要用肯定要排除的,这个本身也是一个矛盾。全局禁运……我表示这种封锁死掉的规则在我真正的想用面前,算得了什么,这个时候最大的病毒反而就是我们自己。没事去正规的地方下载好了,或者试试VT。当然火狐的全杀样本不算啊……因为本身就是你自己引入病毒的,咖啡这个时候能杀掉最好,但是我既然下载了就代表我一定想用……

很多人都是在样本区被吓得,但是又有多少人在生活中会真正遇到了??

关于安装过程中,几张图片的选择
注意,选择我同意啊!不然你无法安装!!
我建议是直接选择典型,当然你也可以去掉电子邮件扫描
选择标准保护,我个人反对第一次使用就直接选择最大保护!!
至于扫描不扫描……随意
等待更新完成
就可以重启

2013-2-17 第一稿 初步修订
2013-2-18 补充规则2份
2013-8-7  补充安装部分的选项在1楼

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 7魅力 +1 人气 +8 收起 理由
心跳回忆 + 1
huihui458 + 1 抱歉,这个帖子按规定属于广告
萧逆水 + 1 大核核~~~
驭龙 + 1 版区有你更精彩: )
jone_jys + 1

查看全部评分

蓝核
 楼主| 发表于 2013-2-17 21:33:55 | 显示全部楼层
本帖最后由 蓝核 于 2013-2-17 23:13 编辑

搭配
##主体 咖啡

##防火墙 SEP 系统墙

## 浏览器插件

##主体 咖啡

可能会包括以下部分

###综述
###排除
###设置

排除和设置互相穿插的。

    关于这里,安装可以看看这里http://bbs.kafan.cn/thread-1467642-1-1.html
    但是!!!一定要是安装在C盘啊^……我觉得安全软件就应该是C盘的货啊!
    64位的初步设置可以看这里……挖坑的同学还么有补上他的规则http://bbs.kafan.cn/thread-1417956-1-1.html

下面我可以上截图了!!

先补充一个我觉得是常识的东西
  1. 访问保护就是规则,排除什么的就是在这里啊~~触红啥的我们要先看日志,右键桌角的咖啡,然后选择查看日志。

  2. 按访问扫描程序就是我们说的实时扫描。正常杀软的实时扫描。

  3. 按需/目标扫描就是我们说的右键扫描。

  4. QUARANTINE Manage 策略就是隔离区

  5. 有害程序策略就是选择扫描的种类。
复制代码
大家可以比较下……关闭规则和不关闭,windows和咖啡会不会提醒

关闭杀毒,会不会有提示



所以对于我们来说,我们要强化的就是杀毒的作用。

先戳进去的是规则,我们可以不会用规则,但是一定要排除,因为基本的规则已经提供了基本默认的保护,这一规则尽可能在保证安全的情况下还是可能会误报或者阻止某些操作,这个时候我们就需要排除了。



根据日志,可以找到那些规则阻止的,然后找到该规则,双击即可



关于使用单程序名还是按进程全部写上去?我觉得还好还随意了……官方是用单程序名的。

注意我加黄的规则,我已经直接去掉,连警报我都不要了。

这里有解释 关于IRC规则的讨论http://bbs.kafan.cn/thread-1287651-1-1.html

ps……我觉得这个交给防火墙就够了……

更激进点的上面那个群发蠕虫病毒的规则也可以不要。

因为很少有人用邮件客户端……对于家庭用户。

注意倒数第二个规则,
去掉阻挡,因为很简单,我要用mactype。

是的……mactype是我心头好。我宁愿换杀软也不要换mactype。

这个规则这么修改可以更好的兼容其他的软件哦~

下面我们要说的就是右键扫描。设置如图



这里展示的是如何排除



注意这里面的月神调到最高,就是最后的那个选项。

我用杀软的思路就是实时扫描是中度启发,右键就是高启发。一般来说右键的时候我们已经开始对这个样本抱有怀疑态度了。

这个时候就是操作了,注意,先清毒再删除。咖啡一般删除都是放到隔离区的。


重头戏来了~~一定要另存为默认值。看我加黄的地方!!

感谢会员jone-jys的提醒。

点是。

实时扫描



注意扫描的地方已经全部清空,更好地减轻系统的压力……虽然勾选上也不大影响。
常规的意思就是说……你要开机启动我们的实时监控么?肯定是要开机启动啊……没有人要告诉我他准备把咖啡当扫描器用吧。
月神是中度敏感。



先看这里,加黄的地方可以恶趣味哦~~比如有妖气啊啥的~~~

其他默认。

我们继续看所有进程这边。



可以一锅煮。
设置如下





尽可能的减少我们使用过程中的凝滞感和做好备份~

当然我们也可以尝试

选择按程序定扫描策略


大家可以看出,咖啡对于浏览器,通讯工具等等还是很用心的。不过我觉得还不如一锅煮了。

可以自定义阻止某些软件的安装,用用这个



哦……补充一点,咖啡企业版每天就更新一次……大家不必用BD和诺顿小a那种流式更新来要求他。









本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
蓝核
 楼主| 发表于 2013-2-17 21:34:22 | 显示全部楼层
本帖最后由 蓝核 于 2013-2-17 23:16 编辑

##防火墙 SEP或者系统墙

不建议用PF墙,就是小警察那个……一个是没有中文,另一个就是……貌似冲突很厉害啊!

首先,我要强调的一点。

咖啡企业版,代替不了防火墙。

防火墙究竟有啥用?最简单的功能就是阻止不喜欢的软件联网,举个例子,腾讯qq的升级组件,每次你打开之后都会提示,我们要升级!我们要升级!用防火墙阻止就好了。(当然会有人说……直接删除组件多好……表示小白不敢动手)

咖啡表示我也可以啊!!!

那防御端口扫描,要隐身等等呢?

有人会说系统墙啊!

是呀……那不就是防火墙么?

还有我记得好像是马云波波波同学提供的一个规则。
  1. > 咖啡端口规则出、入站写成:


  2. > 规则名称:全局端口控制(出站)

  3. >要包含的进程:*

  4. >要排除的进程:BaiduP2PService.exe, BaiduPlayer.exe, ccSvcHst.exe, FrameworkService.exe, GameHall.exe, iexplore.exe, McScript_InUse.exe, MeteorNetTV.exe, sndz.exe,  svchost.exe, Thunder.exe, ThunderPlatform.exe, TM.exe, TSchrome.exe, zclientm.exe

  5. >要阻止的端口:0-65535

  6. >方向:出站

  7. >阻挡


  8. >规则名称:全局端口控制(入站)

  9. >要包含的进程:*

  10. >要排除的进程:ccSvcHst.exe, FrameworkService.exe, iexplore.exe, McScript_InUse.exe, MeteorNetTV.exe, svchost.exe, ThunderPlatform.exe

  11. >要阻止的端口:0-65535

  12. >方向:入站

  13. >阻挡

  14. >因为不是所有需要连网的程序都必须是要入站的,入站仅排除有影响使用的
复制代码
本引用来自这里http://bbs.kafan.cn/thread-1441506-1-1.html以及jxfslu也有帖子在讨论过这个http://bbs.kafan.cn/thread-1419530-1-3.html

能不能起到防火墙的功能?看起来像是可以起到应用程序管理出入的功能,但是防火墙的其他功能了?而且这么繁琐的一个一个添加,是不是真的对用户友好了?排除不是主流。因为很简单,纯本地的不联网的软件还有多少?现在连微软的office都要联网的权限了,因为云已经是个主流。

这里提到的就是,防火墙仍然要一个一个点击允许啊?有区别么?

有的……操作习惯的简化问题。点鼠标容易还是Ctrl +C Ctrl+V容易?

就好比咖啡的触红就等于弹窗.只不过没有我们习惯的那种毛豆的智能记住放行而已。如果喝咖啡,倒不如暂时先放开,先看看常见的必读的东西。

回到防火墙。
都交给windows墙么,是个好主意。本人不否认windows 7的墙已经逐渐成熟可以独当一面了。这里有指路贴,柯林大大的《个人用户的最佳选择——系统防火墙》http://bbs.kafan.cn/thread-1307861-1-1.html 还有一个工具指路,看这里http://bbs.kafan.cn/thread-1303755-1-6.html

如果想要懂得更多,请看这里几篇帖子。http://bbs.kafan.cn/thread-1456448-1-1.html http://bbs.kafan.cn/thread-890640-1-1.html http://bbs.kafan.cn/thread-890963-1-1.html


当然,你可以全部默认。
这就是智能墙的好处。

下面我们来看SEP的安装和使用。

SEP的安装我就不多说了……就是去掉硬件控制,只安装网络威胁防护
http://bbs.kafan.cn/thread-1271546-1-1.html
这里有一个好例子。

等你重启之后,我个人设置如下
点击选项或者更改设置

注意加黄的地方

SEP做的好的地方就是对程序控制这一块特别细致。毛豆有的时候还比不上。我的大FS更比不上了。
为啥我这么要求了?
因为这里面就等同于说基本上出去的软件要经我允许,另一个就是如果该程序升级或者是怎么了,SEP墙就会暂时不允许他出去等待我的确认。
看图



大家就懂我的意思了。
其他的基本默认


我主要考虑到打印机的存在,反正官方也是默认的。


下面我想说的是……大家都知道如果你不小心给该联网的程序禁止联网的话……懂得如何排除吧
找到这个就可以了


点击选项,更多精彩等你来哦~

看这里~~我用彩色涂掉的一个地方,大家没事可以玩玩看




## 插件

      http://bbs.kafan.cn/thread-1459503-1-1.html 三大都有哦~
     
      我都备份了一个,但是用的时候还是优先考虑了咖啡,一个是有中文,另一个是为了更好的兼容。

      SiteAdvisor http://www.siteadvisor.com/
      
      咖啡的插件优势在于敏感快速目前还不影响网速,其实咖啡的脚本查杀也很敏感啊……

      在样本区就是基本上扫描不报,但是咖啡插件就会报警。
      在网马区反应还算不错……但是还是比不上IPS的牛逼的……网马区大家最好少去闲逛……

基本上安装完之后
就是妥妥的双盾组合

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
蓝核
 楼主| 发表于 2013-2-17 22:36:51 | 显示全部楼层
本帖最后由 蓝核 于 2013-2-17 23:01 编辑


这个就是插件的大小

咖啡家族的体积……
额……呵呵呵……SEP一个墙就够了


没办法,为了智能性只能牺牲体积了。

铁壳的高效稳定细致的墙,加上IPS基本上入毒网无压力
详细东西看这里
http://bbs.kafan.cn/thread-1215671-1-1.html
http://bbs.kafan.cn/thread-1449606-1-1.html

咖啡的插件对于大多数的恶意网址,基本上都是刚刚的。至于新鲜出炉的钓鱼,还是靠人脑吧。
就好比我在网马区找到的最简单的钓鱼……指望国外的还是靠不住的,都是靠快速入库拉黑的。
钓鱼没有办法……

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
蓝核
 楼主| 发表于 2013-2-17 23:04:22 | 显示全部楼层
本帖最后由 蓝核 于 2013-2-19 12:59 编辑

下面是推荐的帖子。
http://bbs.kafan.cn/thread-1418291-1-1.html 柯林的《新人喝咖啡》大概由于咖啡区好久没有死缠烂打的新人追问了……已经好久没有看见设置贴了,唯一一个在企业版给出的设置贴还失效了……

http://bbs.kafan.cn/thread-1417956-1-1.html 来自jone-jys的VSE8.8P2的设置贴。

http://bbs.kafan.cn/thread-1449482-1-1.html 另类用法

http://bbs.kafan.cn/thread-1437923-1-1.html 比大多数的帖子更温柔的入门

http://bbs.kafan.cn/thread-1395155-1-1.html 一样的温柔的入门

http://bbs.kafan.cn/thread-1270257-1-1.html 麦咖啡和白加黑

http://bbs.kafan.cn/thread-964518-1-1.html 墨池大大的解释了咖啡的默认规则

http://bbs.kafan.cn/thread-1416767-1-1.html 叶知版主的访问保护规则的语法解释

排除的规则的讨论 http://bbs.kafan.cn/thread-1380379-1-1.html
http://bbs.kafan.cn/thread-1426553-1-1.html
http://bbs.kafan.cn/thread-1426425-1-1.html

http://bbs.kafan.cn/thread-1416329-1-1.html 规则中读写的细化

规则整理 http://bbs.kafan.cn/thread-1004710-1-1.html
http://bbs.kafan.cn/thread-1283734-1-1.html 舒服排除版

最新向的P3和win8 的简易规则,系统通用 http://bbs.kafan.cn/thread-1448384-1-1.html

墨池大大的咖啡豆 http://bbs.kafan.cn/thread-1407137-1-1.html

关于IRC规则的讨论http://bbs.kafan.cn/thread-1287651-1-1.html

绝对路径排除 http://bbs.kafan.cn/thread-1423574-1-1.html

这个选取的标准就是……对于新人来说简单好懂的……尽可能的简单和有趣味性
可能继续更新~~只要我还在咖啡区巡版的话~
大家也可以继续推荐啊~尽可能的降低难度~
蓝核
 楼主| 发表于 2013-2-17 23:07:58 | 显示全部楼层
本帖最后由 蓝核 于 2013-2-17 23:17 编辑

关于设置的补充和本人的思路&坑爹一样的白加黑~

简单的来说,就是上帝的归上帝,凯撒的归凯撒。

还记得shiyuelaohu的帖子《由白加黑和硬盘炸弹想到的》http://bbs.kafan.cn/thread-1430126-1-1.html里面其实提到的一个观点,全局禁运当然好,但是你怎么排除的是个大问题?这个时候需要外力国内云的参与。

限权的思路可能在以前是个不错的主意,但是现在可能有点困难。

但是我特别赞同的是这样的一段话,savoor同学的发言,全文引用

>咖啡规则中,"全局禁运"仅在"后台文件动作"防御上才有意义.很多时候,"全局禁运"在防御上是无意义的.

>一旦未知程序的启动者是"人"的话,此"全局禁运"规则就会作废.

>只要你想运行一个未知程序,必须做两件事1.关闭规则 2.添加排除

>"白加黑"这种,如果使用者不知情,在初次运行时,就已经将其视为"安全程序"了.因为其"文件行为"完全正常.不正常的,只是进程间的行为,以及一些由黑DLL赋予的额外行为,比如"监视"等行为.而这些,在咖啡的规则中是无法体现的.并且,这种程序,一旦"使用者"运行,必然会采取以上两种行为,然后,规则失效.

>"后台文件行为",即非本人认可操作的文件行为.这种行为,咖啡规则直接干掉,不存在任何质疑.

这个对很多杀软都是同样的问题,但是咖啡企业版的劣势就在于,由于给了一个规则作为底线,会让人暂时放松。

说得对,哪家企业会像我们家庭个人用户,升级软件那么勤快,尝试软件那么凶?尤其是我个人还是个软件狂的情况下。企业版所以不会想那么多啊……

特别的,对于咖啡还有一个现象,正如柯林在毛豆区的帖子http://bbs.kafan.cn/thread-1094218-1-1.html 指出

>这个论坛讨论的主流,是以严厉著称的,适用的人群是对计算机安全知识比较有了解和对系统安全比较苛求的用户。很多新手不明白这点,一踏进来就盲目跟风,然后就叫苦,这属于进门不看路。

>你对计算机安全知识了解多少?你是否真的需要那种单奔性质的防护?如果这两个问题闹不清,那就不用忙着跟风去套严厉规则了,先从默认规则用起吧。

很多人在新人区或者直接在咖啡区进门就问,我适合哪套规则啊,怎么做规则啊?都没有想过自己能不能接受带着链铐跳舞就匆匆忙忙上阵,而且咖啡还没有毛豆的大量的白名单和云以及学习模式和游戏模式的帮助下,肯定吃瘪的太多。

所以我们的口号就是,先启用基本的,默认的,标准防护。

不要担心不够安全,不要担心有没有人攻击,不要担心检出率,先试试看。

顺便说一句,疑人不用,用人不疑。这个态度不仅仅局限在杀软上,还有用在某些软件上。实在不放心,找有名气的修改版本即可。

叹气,最后补充一句,白加黑不可怕……除了卡饭的样本区,其他的我还真没见过呢……而且病毒的名字都是那么长久而又经典的病毒名,我的照片,美女照,还有可疑的后缀和2个文件,一个dll一个exe。要么就是看起来很美好的程序名,如果你不知道不确保来源,还是,先VT然后打包给BD或者卡巴这种反应速度的厂商吧。

对于禁运和禁读,我觉得都太不适合家庭用户使用了,依靠这个规则,实质上还是封闭作用比较多。

因为很简单……我安装软件的时候……如果不是基本防护的话都会触红啊……我不觉得小白会认认真真一个一个的去看日志。而且你安装一个新软件的时候,你根本暂时无法估计到那些规则会被触发到。



评分

参与人数 1人气 +1 收起 理由
一晴空 + 1 thanks

查看全部评分

蓝核
 楼主| 发表于 2013-2-17 23:18:40 | 显示全部楼层
国际惯例,留一楼备用
ljp2993
发表于 2013-2-18 07:56:23 来自手机 | 显示全部楼层
支持一下,0708的时候单奔咖啡默认一年,很安全
cxy641028
发表于 2013-2-18 13:48:51 | 显示全部楼层
支持一下,不过感觉如果不用规则,还是单奔SEP好。
蓝核
 楼主| 发表于 2013-2-18 13:52:49 | 显示全部楼层
cxy641028 发表于 2013-2-18 13:48
支持一下,不过感觉如果不用规则,还是单奔SEP好。

我只是提供一个思路而已~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 01:37 , Processed in 0.142654 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表