查看: 65340|回复: 45
收起左侧

[技术原创] 我们为什么要使用VSE和一些常见使用问题

  [复制链接]
shiyuelaohu
发表于 2013-4-11 15:59:10 | 显示全部楼层 |阅读模式
本帖最后由 shiyuelaohu 于 2013-9-1 20:23 编辑

      这段时间在生活中也遇到了一些很苦恼很无奈的事情,一团糟,比前段时间的争吵还要糟糕一百倍。所有的事情根本无法逃避,无法掩盖,越是不敢去面对结果就越是糟糕。所以,还是决定偶尔回卡饭冒个泡。这段时间倒有了一些心思考虑我们到底为什么使用VSE这个问题。归结起来,也没多少新意,权当是个老菜鸟在误导新菜鸟了。
      一、VSE的使用环境决定了她是否无敌。
      “听人说咖啡的规则设置好了之后可以无敌,真是这样的吗?”有一些饭友会问这样的问题,我个人的回答并不明确:“是这样,但有可能也不是这样。”这算是一个什么回答?且听我慢慢说来。
      VSE首先是一个企业版杀软,她的“无敌”的功力能够在企业环境中彻底地发挥出来。那什么是企业环境呢?
我个人的理解是,企业中有很多重要的文件,一旦遇到文件被病毒感染的情况,一定不能直接将病毒连同被感染的文件一起干掉,这属于极不负责任的做法,遇到这种情况,首先要修复文件。其次,删除病毒的能力要强悍,速度要快,清除要干净彻底(连其附带的注册表最好也一块删除,斩草要除根)。第三,对付宏病毒要拿手,企业中的办公软件是最多的,不能被宏病毒缚住了手脚。第四,企业上不能随便安装一些不必要的非法动作多的软件,尤其不能玩破解软件。第五,对于无法检测到的病毒,要有一套独特的手段来应对,最好能以不变应万变。第六,最重要的一点,一定要稳定(废话,三天两头崩溃谁还用?)。
      VSE恰恰有上述的这些优点,修复能力强,清除病毒迅速彻底,查杀宏病毒是她的拿手好菜,规则辅助杀毒可以在一定程度上做到密不透风,还有就是她稳定得不能再稳定了。
      个人的使用环境却不是如此,尤其是对一些喜欢折腾软件,玩破解软件的同学来说更是这样。折腾软件的时候是VSE最为脆弱的时候,这个时候为了方便折腾,童鞋们差不多都是关闭规则的。要知道,没有了规则,VSE是没有任何防护能力的,如果这时手贱,运行了一个病毒,怎么办?我曾经就遇到过qvod账号被盗的情况,就是因为使用了一个绿色版的qvod。
      从另外一个方面来说,在卡饭逛的同学遇到的中毒情况也差不多都是泡样本区,实机试毒惹的祸。只要不去双击,也没有多大问题,你不去碰它,它也懒得去鸟你。从这个角度来说,咖啡的规则似乎是没有多大用了,VSE似乎根本就不适合小白使用了。
       二、VSE是否适合小白使用?
       那么,我们还用VSE吗?如果过多地纠结这个问题,那就忽视了VSE的杀毒部分了。我用咖啡有一年半了,当时就是因为崇拜她的规则,拦截迅速彻底,可以做到百毒不侵才用的。伴随着使用时间的增加,我反倒越来越喜欢她的杀毒部分,前面已经说过,杀毒迅速彻底,修复能力强,对付宏病毒最为拿手,很适合爱学习、经常使用办公软件的人使用。
       再来看一下她的资源占用,我用的是VSE8.8P2,系统是win7 x86。
       第三列是cpu,第四列是内存,第五列是I/O读取,第六列是I/O写入,第七列是I/O读取字节,第八列是I/O写入字节。



      进程数有点儿多,有9个,不过资源占用很少吧,I/O读写也很少吧,资源控制非常合理,看到这里应该有用一下的冲动吧?
       从这里可以看出,其杀毒部分是相当优秀的。
      那么规则部分是不是根本就不适合小白使用呢?我个人认为,如果确信自己的电脑够干净,可以放心大胆的排除。论坛里面经常有饭友发帖询问某某进程应不应该排除,其实,只要谷歌或百度一下这个进程,如果是安全的进程完全可以排除,因为出现病毒调用正常进程这种情况的概率实在是太小了,另外,咖啡版块的规则也都是很立体的,不会说一个进程把握不好,就立马会中毒,照样还有其他规则去拦截后续的操作。排除这一关把握好之后,基本上VSE用得就可以了。不过,如果某个进程要修改咖啡的设置,不能排除,也就是说,咖啡可以动别人,不允许别人动咖啡。
      最重要的一点是,少玩破解软件,不要在关闭规则的情况下进行非法操作,把握好这一点,就可以做到百毒不侵,VSE的百毒不侵的说法是指在开启规则的情况下,规则可以拦截绝大部分病毒木马。当然,百毒不侵的软件是没有的,墨大说过软件本身都是会有漏洞的,但VSE好歹是杀软巨头的得意之作,咖啡跟微软又是合作关系,跟windows的贴合是很紧密的,相信她的漏洞是比较少的,要不然,美国白宫能用她?
      三、规则最实际的效用
规则对于小白来说,总还是有一些实际的效用的,我举个例子来说。借用MD区珊瑚大大的图片。
病毒利用者常常使用社会工程学,利用大部分人对于电脑的使用常识不足的弱点,诱骗新手点击实际为病毒伪装文件的文件。
      例如:文件名为 艳照.bmp.exe  XX门.jpg.exe 的文件。  实际文件样式如图,

      一般新手电脑 文件夹选项 勾选了隐藏拓展名的选项。如图,

      那么,

      尤其是当图标再换成图片形式的时候就更具有迷惑性了。
      这个时候,不小心点击之后,咖啡的规则可以百分百拦截。智能主防在这个时候想必不会百分百拦截,手动hips和VSE的规则可以发挥最大效力。
      四、搭配问题
      个人在使用VSE的时候总免不了要关闭规则,这个时候如何还能做到很好的防护?建议,可以搭配智能hips来实现,比如说,安全模式的COMODO(个人强烈推荐,除了在右键扫描的时候出现弹窗外,没有任何不良反应。),个人觉得小白可以使用这种组合,这样即使VSE关闭了规则,毛豆还可以拦截非法动作。这里补充一下,win8下慎用这个组合,会出现一些难以预料的冲突。不过引擎更新到5600以后,冲突貌似消失了,右键扫描不会出现错误弹窗提示,不过这在win7和xp下还是照旧出现弹窗。
      我虽然用VSE有一年半,但始终还是个小白,每次在排除的时候,即使知道这是个安全的进程也不免有些担心,这个进程调用那个文件到底是为了干什么?不得而知,唯一能够确定的就是,自己电脑很干净,可以放心大胆的排除安全进程。所以,我上面所说的一连串的东西都是站在小白的角度,从整体的感性认识上来说的,相信大多数人能够看得懂。
      对于高手来说,VSE配合系统墙单奔就可以了,或者是搭配其他的纯墙来使用,比如sep的墙,又或者是搭配玩毛豆的自定义模式。
      写这些东西,只是为了帮助像我一样的小白如何去正确看待VSE,如何去更加有效率地去使用她,最终做到人机合一。
P.S:
      为什么将VSE称之为“她”?用久了感觉她安静、孤傲、优雅,这种气质就像是一个高贵的情人一样,看与不看,爱与不爱,她都在那里。

      

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 3魅力 +1 人气 +5 收起 理由
大猫熊 + 4 已更新常见问题:)
蓝核 + 1 感谢支持,欢迎常来: )
心跳回忆 + 1 精品文章

查看全部评分

shiyuelaohu
 楼主| 发表于 2013-4-11 15:59:39 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2013-9-2 22:35 编辑

常见的VSE使用问题:
      1、VSE+COMODO的搭配组合问题
       (1)这两个搭配没有任何冲突,只是在右键扫描的时候会出现弹窗,不过也不影响使用。
       (2)两个搭配之后,毛豆可以开启hips,咖啡的拦截更加快一些,使用这个组合后就会发现毛豆的弹窗变少了,这是因为咖啡先于毛豆拦截的缘故。至于原因,我想可以从两个角度去理解:1、墨大的理解,咖啡在拦截的时候只考虑是不是触犯了规则,而毛豆则还需要判断是不是对电脑造成伤害,所以咖啡更快一步。2、柯大的理解,毛豆的FD部分比较弱,读写不分,咖啡的FD非常完善。一般来说,FD总是先于ND、AD和RD的,所以,咖啡更快一步。
      (3)搭配之后,个人建议,毛豆开安全模式,因为白名单中有咖啡,所以,不必在毛豆中排除咖啡,只需在咖啡中排除毛豆即可。
      (4)这个组合有个优点,就是在非常情况下关闭咖啡规则的时候,毛豆的智能主防仍然可以保护你的电脑。
       2、VSE可以跟什么搭配?
      毛豆、OP、PFW、MD、sep墙、瑞星墙、金山卫士、360卫士、onlinearmor free。这只是我个人用过的搭配。更多搭配请看j大的组合,http://bbs.kafan.cn/thread-1430679-1-1.html
      搭配360卫士和金山卫士的时候可以考虑不开机启动,他们对磁盘的读写比较频繁,容易拖慢系统,老机器尤为明显(在开启国产卫士的时候应该能够感觉到硬盘咯咯吱吱响)。用他们来升级补丁,清理系统垃圾即可,另外使用破解软件的时候,也可用他们的云检测一下。
      3、VSE右键扫描的时候怎么会出现一些bug?


      墨大最先提出解决方法。我个人的理解,咖啡通用标准保护里面有一条英文规则“prevent hooking of mcafee processes”,这条规则是咖啡为了防止其他软件将钩子挂到自己头上,跟毛豆、onlinearmor free 搭配会有这种情况,另外,如果电脑上的显卡是英伟达的话,也可能出现这种情况。都是因为,咖啡见到有钩子挂到自己头上感到不爽引起的。如果自己想避免这种情况,可以关闭这条规则,不过个人不建议这么做,因为并不影响使用,挂勾子本身是一种及其危险的行为。
    自从VSE引擎更新到5600之后,便不再有这些bug弹窗了。可以放心使用了。
      4、某某进程是否应该排除?
      用谷歌或者百度搜索一下,如果是安全的进程完全可以排除,病毒调用正常进程做坏事的情况是及其少见的,另外,版块里的各种规则都是比较立体的,很少会出现一条排除没把握好就立马中毒的情况,其他的规则照样还可以拦截。不过,如果某个进程要修改咖啡的设置,不能排除,也就是说,咖啡可以动别人,不允许别人动咖啡。
还有一种思路,为了追求极致安全,可以考虑在不影响使用的前提下,任何进程都不排除,这样最安全。
      5、使用咖啡后,某某软件不能运行了,日志中也没有,怎么回事?
      看看有没有规则只勾选了拦截,没有勾选报告。
      6、白加黑和硬盘炸弹,咖啡能拦截吗?
      可以,自定义规则中添加禁运exe和dll文件这两条规则就可以,一旦这一关没有把握好,那么咖啡就再也不能拦截了,因为接下来的事情就是磁盘底层的非法操作,VSE力所不及的就是磁盘底层操作(个人建议搭配毛豆的一个原因,毛豆的AD可以继续拦截后续的底层操作)。但是,白加黑和硬盘炸弹往往都是关闭规则,运行破解软件的时候发生的,所以,避免这种情况的发生,就尽量少用破解软件,保证软件从正规渠道而来。如果实在想用破解软件呢?建议搭配金山卫士或360卫士,开机的时候不必随机启动,国产云对付白加黑是很给力的。
      7、咖啡是几D防御?能否做到极致安全?
      3D防御,没有AD部分。个人认为可以做到极致安全,这里就得说到咖啡的企业使用环境了,在企业环境中,很少排除一些不必要的进程,FD可以实现AD的入口防御部分,也就是说在FD这一关把握好之后,AD部分是不需要过多担心的。还是不放心?搭配毛豆吧。。。
      8、咖啡的端口规则排除怎么没有用?
      端口排除的时候,只适用于单文件名,不可用完整路径和通配符排除。
      9、默认规则中的ftp、irc和http通信,和自定义规则中的端口规则有什么不同?
      VSE自带ftp、irc、http协议的数据包解析功能,这三个端口规则是不同协议的端口规则。自定义的不分协议。
      10、VSE如何实现防网页挂马?
      禁止浏览器创建exe、dll(禁运dll是为了防止白加黑作乱,不过这种概率很小,可忽略)文件即可,下载软件的时候暂时关闭这两条规则。也可用谷歌浏览器,内置沙盒,不怕网马,而且收集恶意网址的速度很快。
      这条规则比较鸡肋,在实际使用中也没有多少价值,平时使用的时候我们更加需要关注恶意脚本的注入和调用,好在咖啡对恶意脚本非常灵敏,而且激活之后的McAfee siteadvisor几乎是个下载检测神器,在样本区的表现相当威武。所以,不必太过担心网马。
      11、自定义规则中的FD老是搞不清楚,怎么办?
      规则名称:随意
      要包含的进程:(一般用通配符来表示,A表示之)
      要排除的进程:(集合A中的一些例外允许运行的进程,B表示之)
      要阻止的文件或文件夹名:(个人感觉应该是“要保护的文件或文件夹”才对,C表示之)
      这条规则的功能就是禁止A读取、写入、执行、创建、删除C,但是允许B读取、写入、执行、创建、删除C。当然,A必须是包含B的。也就是说B的动作是允许的,而A中除了B以外的进程都是禁止的。
      自定义规则最重要的就是要分清那个是主动调用,哪个是被调用。
      举个例子来说,假如要创建一条规则保护自己的隐私文件夹,目的是禁止任何其它进程访问自己的隐私文件夹,假    设是D盘的private files文件夹
       规则名称:protection of private documents
       要包含的进程:*.*
       要排除的进程:不排除
       要阻止的文件或文件夹名:D:\private files\**
       这就是禁止任何进程*.*访问D盘的private files文件夹下的所有文件。
      ND和RD相对来说容易理解,不再赘述。
      12、咖啡的网页插件siteadvisor怎么会是灰色的呢?
      大多数情况下是因为网速不够快的缘故,网速太慢就容易出现这种问题。
      13、导入新规则的时候还需要删除以前的旧规则吗?没有安装咖啡,却导入了规则有没有事?该怎么办?
      导入新规则不必删除旧规则,导入的时候实际上就已经将原来的规则覆盖了。没有安装咖啡却导入了规则,没有任何事,这并不是危险的注册表操作,不必担心。如果实在不放心,可以用注册表清理软件清理掉,比如CCleaner和魔方。当然如果了解规则注册表所在的位置,手动删除也行。
      14、导入的规则和自己打磨的规则有何不同?
      我觉得自己打磨的规则是最好的,因为这样的规则更加符合自己的使用环境。建议参考本版块的各种文字规则,排除部分不要完全照搬,最好自己来排除。直接通过注册表导入也可以,不过我记得有一种情况,就是直接导入规则,有可能会出现规则阻挡,但不触红的情况,当然bug概率比较小。
      15、怎样把咖啡的右键扫描的月神调到最高?
      右键任务栏图标,按需扫描——性能,调整artemis最高,记得保存为默认值,然后确定。
      16、企业版咖啡的安装包分32位和64位吗?
      不分,64位系统安装之后没有缓冲区溢出保护这一项。
      17、咖啡是原生64位软件吗?
      是原生64位软件,只有UI是32位。
      18、VSE更新失败是怎么回事?
      多半是网络问题,可以换个时间段更新,或者下载更新包离线更新。
      19、ARK工具为什么能够结束咖啡的进程?
      据叶知版主介绍,VSE的进程权限比一般应用程序的权限高一些,但并不是最高权限,而ARK工具一般都是靠获取最高权限来结束其他进程,所以,ARK工具能够结束掉咖啡进程不足为奇。
      20、Agent有什么用?能卸载吗?
      在企业环境中,Agent是epo和客户端VSE联系的纽带,epo往客户端推送各种规则就需要agent。个人使用时,负责VSE的升级,所以,不能卸载。
      P.S:
      所有的这些都源自咖啡板块的各位饭友和一些个人的理解,难免有错误疏漏之处,欢迎提出意见,我会不停的修改和更新。对于提出建议的饭友们,我就不在此文中一一点名感谢了,需要感谢的人太多了,见谅。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +3 收起 理由
心跳回忆 + 3

查看全部评分

rlx
发表于 2013-4-11 17:52:15 | 显示全部楼层
本帖最后由 rlx 于 2013-4-11 17:58 编辑

好高兴啊   回来就好

曾经很多次都想只用VSE的杀毒部分  但 规则放着浪费 何况已经很适应了

个人意见 就不要使用破解软件  规则相对宽松与从紧结合  就可以了  不然就太累了
w99308702
发表于 2013-4-11 18:40:53 | 显示全部楼层
很有见解,看来是个有想法的好妹子
GreenCodes
发表于 2013-4-11 18:43:48 | 显示全部楼层
shiyuelaohu 发表于 2013-4-11 15:59
常见的VSE使用问题:
      1、VSE+COMODO的搭配组合问题
       (1)这两个搭配没有任何冲突,只是在右 ...

美帝国防部,空军系统表示用的很爽
shiyuelaohu
 楼主| 发表于 2013-4-11 18:53:36 | 显示全部楼层
rlx 发表于 2013-4-11 17:52
好高兴啊   回来就好

曾经很多次都想只用VSE的杀毒部分  但 规则放着浪费 何况已经很适应了

咖啡的FD非常完善,不用确实很可惜。
心跳回忆
发表于 2013-4-11 20:42:44 | 显示全部楼层
非常高兴看见楼主啊   

评分

参与人数 1人气 +1 收起 理由
蓝核 + 1 终于给了~

查看全部评分

qpzmggg999
发表于 2013-4-11 20:52:49 | 显示全部楼层
支持了
shiyuelaohu
 楼主| 发表于 2013-4-11 21:00:54 | 显示全部楼层
心跳回忆 发表于 2013-4-11 20:42
非常高兴看见楼主啊

我也很高兴见到版主啊,
coolrh
发表于 2013-4-11 21:03:19 | 显示全部楼层
支持,用来用去还是咖啡
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 06:25 , Processed in 0.135222 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表