本帖最后由 蓝核 于 2013-2-17 23:17 编辑
关于设置的补充和本人的思路&坑爹一样的白加黑~
简单的来说,就是上帝的归上帝,凯撒的归凯撒。
还记得shiyuelaohu的帖子《由白加黑和硬盘炸弹想到的》http://bbs.kafan.cn/thread-1430126-1-1.html里面其实提到的一个观点,全局禁运当然好,但是你怎么排除的是个大问题?这个时候需要外力国内云的参与。
限权的思路可能在以前是个不错的主意,但是现在可能有点困难。
但是我特别赞同的是这样的一段话,savoor同学的发言,全文引用
>咖啡规则中,"全局禁运"仅在"后台文件动作"防御上才有意义.很多时候,"全局禁运"在防御上是无意义的.
>一旦未知程序的启动者是"人"的话,此"全局禁运"规则就会作废.
>只要你想运行一个未知程序,必须做两件事1.关闭规则 2.添加排除
>"白加黑"这种,如果使用者不知情,在初次运行时,就已经将其视为"安全程序"了.因为其"文件行为"完全正常.不正常的,只是进程间的行为,以及一些由黑DLL赋予的额外行为,比如"监视"等行为.而这些,在咖啡的规则中是无法体现的.并且,这种程序,一旦"使用者"运行,必然会采取以上两种行为,然后,规则失效.
>"后台文件行为",即非本人认可操作的文件行为.这种行为,咖啡规则直接干掉,不存在任何质疑.
这个对很多杀软都是同样的问题,但是咖啡企业版的劣势就在于,由于给了一个规则作为底线,会让人暂时放松。
说得对,哪家企业会像我们家庭个人用户,升级软件那么勤快,尝试软件那么凶?尤其是我个人还是个软件狂的情况下。企业版所以不会想那么多啊……
特别的,对于咖啡还有一个现象,正如柯林在毛豆区的帖子http://bbs.kafan.cn/thread-1094218-1-1.html 指出
>这个论坛讨论的主流,是以严厉著称的,适用的人群是对计算机安全知识比较有了解和对系统安全比较苛求的用户。很多新手不明白这点,一踏进来就盲目跟风,然后就叫苦,这属于进门不看路。
>你对计算机安全知识了解多少?你是否真的需要那种单奔性质的防护?如果这两个问题闹不清,那就不用忙着跟风去套严厉规则了,先从默认规则用起吧。
很多人在新人区或者直接在咖啡区进门就问,我适合哪套规则啊,怎么做规则啊?都没有想过自己能不能接受带着链铐跳舞就匆匆忙忙上阵,而且咖啡还没有毛豆的大量的白名单和云以及学习模式和游戏模式的帮助下,肯定吃瘪的太多。
所以我们的口号就是,先启用基本的,默认的,标准防护。
不要担心不够安全,不要担心有没有人攻击,不要担心检出率,先试试看。
顺便说一句,疑人不用,用人不疑。这个态度不仅仅局限在杀软上,还有用在某些软件上。实在不放心,找有名气的修改版本即可。
叹气,最后补充一句,白加黑不可怕……除了卡饭的样本区,其他的我还真没见过呢……而且病毒的名字都是那么长久而又经典的病毒名,我的照片,美女照,还有可疑的后缀和2个文件,一个dll一个exe。要么就是看起来很美好的程序名,如果你不知道不确保来源,还是,先VT然后打包给BD或者卡巴这种反应速度的厂商吧。
对于禁运和禁读,我觉得都太不适合家庭用户使用了,依靠这个规则,实质上还是封闭作用比较多。
因为很简单……我安装软件的时候……如果不是基本防护的话都会触红啊……我不觉得小白会认认真真一个一个的去看日志。而且你安装一个新软件的时候,你根本暂时无法估计到那些规则会被触发到。
|
[复制链接]
发表于 2013-2-17 21:33:33
楼主
