我们为什么要使用VSE和一些常见使用问题

shiyuelaohu

      这段时间在生活中也遇到了一些很苦恼很无奈的事情，一团糟，比前段时间的争吵还要糟糕一百倍。所有的事情根本无法逃避，无法掩盖，越是不敢去面对结果就越是糟糕。所以，还是决定偶尔回卡饭冒个泡。这段时间倒有了一些心思考虑我们到底为什么使用VSE这个问题。归结起来，也没多少新意，权当是个老菜鸟在误导新菜鸟了。
      一、VSE的使用环境决定了她是否无敌。
      “听人说咖啡的规则设置好了之后可以无敌，真是这样的吗？”有一些饭友会问这样的问题，我个人的回答并不明确：“是这样，但有可能也不是这样。”这算是一个什么回答？且听我慢慢说来。
      VSE首先是一个企业版杀软，她的“无敌”的功力能够在企业环境中彻底地发挥出来。那什么是企业环境呢？
我个人的理解是，企业中有很多重要的文件，一旦遇到文件被病毒感染的情况，一定不能直接将病毒连同被感染的文件一起干掉，这属于极不负责任的做法，遇到这种情况，首先要修复文件。其次，删除病毒的能力要强悍，速度要快，清除要干净彻底（连其附带的注册表最好也一块删除，斩草要除根）。第三，对付宏病毒要拿手，企业中的办公软件是最多的，不能被宏病毒缚住了手脚。第四，企业上不能随便安装一些不必要的非法动作多的软件，尤其不能玩破解软件。第五，对于无法检测到的病毒，要有一套独特的手段来应对，最好能以不变应万变。第六，最重要的一点，一定要稳定（废话，三天两头崩溃谁还用？）。
      VSE恰恰有上述的这些优点，修复能力强，清除病毒迅速彻底，查杀宏病毒是她的拿手好菜，规则辅助杀毒可以在一定程度上做到密不透风，还有就是她稳定得不能再稳定了。
      个人的使用环境却不是如此，尤其是对一些喜欢折腾软件，玩破解软件的同学来说更是这样。折腾软件的时候是VSE最为脆弱的时候，这个时候为了方便折腾，童鞋们差不多都是关闭规则的。要知道，没有了规则，VSE是没有任何防护能力的，如果这时手贱，运行了一个病毒，怎么办？我曾经就遇到过qvod账号被盗的情况，就是因为使用了一个绿色版的qvod。
      从另外一个方面来说，在卡饭逛的同学遇到的中毒情况也差不多都是泡样本区，实机试毒惹的祸。只要不去双击，也没有多大问题，你不去碰它，它也懒得去鸟你。从这个角度来说，咖啡的规则似乎是没有多大用了，VSE似乎根本就不适合小白使用了。
       二、VSE是否适合小白使用？
       那么，我们还用VSE吗？如果过多地纠结这个问题，那就忽视了VSE的杀毒部分了。我用咖啡有一年半了，当时就是因为崇拜她的规则，拦截迅速彻底，可以做到百毒不侵才用的。伴随着使用时间的增加，我反倒越来越喜欢她的杀毒部分，前面已经说过，杀毒迅速彻底，修复能力强，对付宏病毒最为拿手，很适合爱学习、经常使用办公软件的人使用。
       再来看一下她的资源占用，我用的是VSE8.8P2，系统是win7 x86。
       第三列是cpu，第四列是内存，第五列是I/O读取，第六列是I/O写入，第七列是I/O读取字节，第八列是I/O写入字节。



      进程数有点儿多，有9个，不过资源占用很少吧，I/O读写也很少吧，资源控制非常合理，看到这里应该有用一下的冲动吧？
       从这里可以看出，其杀毒部分是相当优秀的。
      那么规则部分是不是根本就不适合小白使用呢？我个人认为，如果确信自己的电脑够干净，可以放心大胆的排除。论坛里面经常有饭友发帖询问某某进程应不应该排除，其实，只要谷歌或百度一下这个进程，如果是安全的进程完全可以排除，因为出现病毒调用正常进程这种情况的概率实在是太小了，另外，咖啡版块的规则也都是很立体的，不会说一个进程把握不好，就立马会中毒，照样还有其他规则去拦截后续的操作。排除这一关把握好之后，基本上VSE用得就可以了。不过，如果某个进程要修改咖啡的设置，不能排除，也就是说，咖啡可以动别人，不允许别人动咖啡。
      最重要的一点是，少玩破解软件，不要在关闭规则的情况下进行非法操作，把握好这一点，就可以做到百毒不侵，VSE的百毒不侵的说法是指在开启规则的情况下，规则可以拦截绝大部分病毒木马。当然，百毒不侵的软件是没有的，墨大说过软件本身都是会有漏洞的，但VSE好歹是杀软巨头的得意之作，咖啡跟微软又是合作关系，跟windows的贴合是很紧密的，相信她的漏洞是比较少的，要不然，美国白宫能用她？
      三、规则最实际的效用
规则对于小白来说，总还是有一些实际的效用的，我举个例子来说。借用MD区珊瑚大大的图片。
病毒利用者常常使用社会工程学，利用大部分人对于电脑的使用常识不足的弱点，诱骗新手点击实际为病毒伪装文件的文件。
      例如：文件名为 艳照.bmp.exe  XX门.jpg.exe 的文件。  实际文件样式如图，

      一般新手电脑 文件夹选项 勾选了隐藏拓展名的选项。如图，

      那么，

      尤其是当图标再换成图片形式的时候就更具有迷惑性了。
      这个时候，不小心点击之后，咖啡的规则可以百分百拦截。智能主防在这个时候想必不会百分百拦截，手动hips和VSE的规则可以发挥最大效力。
      四、搭配问题
      个人在使用VSE的时候总免不了要关闭规则，这个时候如何还能做到很好的防护？建议，可以搭配智能hips来实现，比如说，安全模式的COMODO（个人强烈推荐，除了在右键扫描的时候出现弹窗外，没有任何不良反应。）,个人觉得小白可以使用这种组合，这样即使VSE关闭了规则，毛豆还可以拦截非法动作。这里补充一下，win8下慎用这个组合，会出现一些难以预料的冲突。不过引擎更新到5600以后，冲突貌似消失了，右键扫描不会出现错误弹窗提示，不过这在win7和xp下还是照旧出现弹窗。
      我虽然用VSE有一年半，但始终还是个小白，每次在排除的时候，即使知道这是个安全的进程也不免有些担心，这个进程调用那个文件到底是为了干什么？不得而知，唯一能够确定的就是，自己电脑很干净，可以放心大胆的排除安全进程。所以，我上面所说的一连串的东西都是站在小白的角度，从整体的感性认识上来说的，相信大多数人能够看得懂。
      对于高手来说，VSE配合系统墙单奔就可以了，或者是搭配其他的纯墙来使用，比如sep的墙，又或者是搭配玩毛豆的自定义模式。
      写这些东西，只是为了帮助像我一样的小白如何去正确看待VSE，如何去更加有效率地去使用她，最终做到人机合一。
P.S:
      为什么将VSE称之为“她”？用久了感觉她安静、孤傲、优雅，这种气质就像是一个高贵的情人一样，看与不看，爱与不爱，她都在那里。

      

shiyuelaohu

常见的VSE使用问题：
      1、VSE+COMODO的搭配组合问题
       （1）这两个搭配没有任何冲突，只是在右键扫描的时候会出现弹窗，不过也不影响使用。
       （2）两个搭配之后，毛豆可以开启hips，咖啡的拦截更加快一些，使用这个组合后就会发现毛豆的弹窗变少了，这是因为咖啡先于毛豆拦截的缘故。至于原因，我想可以从两个角度去理解：1、墨大的理解，咖啡在拦截的时候只考虑是不是触犯了规则，而毛豆则还需要判断是不是对电脑造成伤害，所以咖啡更快一步。2、柯大的理解，毛豆的FD部分比较弱，读写不分，咖啡的FD非常完善。一般来说，FD总是先于ND、AD和RD的，所以，咖啡更快一步。
      （3）搭配之后，个人建议，毛豆开安全模式，因为白名单中有咖啡，所以，不必在毛豆中排除咖啡，只需在咖啡中排除毛豆即可。
      （4）这个组合有个优点，就是在非常情况下关闭咖啡规则的时候，毛豆的智能主防仍然可以保护你的电脑。
       2、VSE可以跟什么搭配？
      毛豆、OP、PFW、MD、sep墙、瑞星墙、金山卫士、360卫士、onlinearmor free。这只是我个人用过的搭配。更多搭配请看j大的组合，http://bbs.kafan.cn/thread-1430679-1-1.html
      搭配360卫士和金山卫士的时候可以考虑不开机启动，他们对磁盘的读写比较频繁，容易拖慢系统，老机器尤为明显（在开启国产卫士的时候应该能够感觉到硬盘咯咯吱吱响）。用他们来升级补丁，清理系统垃圾即可，另外使用破解软件的时候，也可用他们的云检测一下。
      3、VSE右键扫描的时候怎么会出现一些bug？


      墨大最先提出解决方法。我个人的理解，咖啡通用标准保护里面有一条英文规则“prevent hooking of mcafee processes”，这条规则是咖啡为了防止其他软件将钩子挂到自己头上，跟毛豆、onlinearmor free 搭配会有这种情况，另外，如果电脑上的显卡是英伟达的话，也可能出现这种情况。都是因为，咖啡见到有钩子挂到自己头上感到不爽引起的。如果自己想避免这种情况，可以关闭这条规则，不过个人不建议这么做，因为并不影响使用，挂勾子本身是一种及其危险的行为。
    自从VSE引擎更新到5600之后，便不再有这些bug弹窗了。可以放心使用了。
      4、某某进程是否应该排除？
      用谷歌或者百度搜索一下，如果是安全的进程完全可以排除，病毒调用正常进程做坏事的情况是及其少见的，另外，版块里的各种规则都是比较立体的，很少会出现一条排除没把握好就立马中毒的情况，其他的规则照样还可以拦截。不过，如果某个进程要修改咖啡的设置，不能排除，也就是说，咖啡可以动别人，不允许别人动咖啡。
还有一种思路，为了追求极致安全，可以考虑在不影响使用的前提下，任何进程都不排除，这样最安全。
      5、使用咖啡后，某某软件不能运行了，日志中也没有，怎么回事？
      看看有没有规则只勾选了拦截，没有勾选报告。
      6、白加黑和硬盘炸弹，咖啡能拦截吗？
      可以，自定义规则中添加禁运exe和dll文件这两条规则就可以，一旦这一关没有把握好，那么咖啡就再也不能拦截了，因为接下来的事情就是磁盘底层的非法操作，VSE力所不及的就是磁盘底层操作（个人建议搭配毛豆的一个原因，毛豆的AD可以继续拦截后续的底层操作）。但是，白加黑和硬盘炸弹往往都是关闭规则，运行破解软件的时候发生的，所以，避免这种情况的发生，就尽量少用破解软件，保证软件从正规渠道而来。如果实在想用破解软件呢？建议搭配金山卫士或360卫士，开机的时候不必随机启动，国产云对付白加黑是很给力的。
      7、咖啡是几D防御？能否做到极致安全？
      3D防御，没有AD部分。个人认为可以做到极致安全，这里就得说到咖啡的企业使用环境了，在企业环境中，很少排除一些不必要的进程，FD可以实现AD的入口防御部分，也就是说在FD这一关把握好之后，AD部分是不需要过多担心的。还是不放心？搭配毛豆吧。。。
      8、咖啡的端口规则排除怎么没有用？
      端口排除的时候，只适用于单文件名，不可用完整路径和通配符排除。
      9、默认规则中的ftp、irc和http通信，和自定义规则中的端口规则有什么不同？
      VSE自带ftp、irc、http协议的数据包解析功能，这三个端口规则是不同协议的端口规则。自定义的不分协议。
      10、VSE如何实现防网页挂马？
      禁止浏览器创建exe、dll（禁运dll是为了防止白加黑作乱，不过这种概率很小，可忽略）文件即可，下载软件的时候暂时关闭这两条规则。也可用谷歌浏览器，内置沙盒，不怕网马，而且收集恶意网址的速度很快。
      这条规则比较鸡肋，在实际使用中也没有多少价值，平时使用的时候我们更加需要关注恶意脚本的注入和调用，好在咖啡对恶意脚本非常灵敏，而且激活之后的McAfee siteadvisor几乎是个下载检测神器，在样本区的表现相当威武。所以，不必太过担心网马。
      11、自定义规则中的FD老是搞不清楚，怎么办？
      规则名称：随意
      要包含的进程：（一般用通配符来表示，A表示之）
      要排除的进程：（集合A中的一些例外允许运行的进程，B表示之）
      要阻止的文件或文件夹名：（个人感觉应该是“要保护的文件或文件夹”才对，C表示之）
      这条规则的功能就是禁止A读取、写入、执行、创建、删除C，但是允许B读取、写入、执行、创建、删除C。当然，A必须是包含B的。也就是说B的动作是允许的，而A中除了B以外的进程都是禁止的。
      自定义规则最重要的就是要分清那个是主动调用，哪个是被调用。
      举个例子来说，假如要创建一条规则保护自己的隐私文件夹，目的是禁止任何其它进程访问自己的隐私文件夹，假    设是D盘的private files文件夹
       规则名称：protection of private documents
       要包含的进程：*.*
       要排除的进程：不排除
       要阻止的文件或文件夹名：D:\private files\**
       这就是禁止任何进程*.*访问D盘的private files文件夹下的所有文件。
      ND和RD相对来说容易理解，不再赘述。
      12、咖啡的网页插件siteadvisor怎么会是灰色的呢？
      大多数情况下是因为网速不够快的缘故，网速太慢就容易出现这种问题。
      13、导入新规则的时候还需要删除以前的旧规则吗？没有安装咖啡，却导入了规则有没有事？该怎么办？
      导入新规则不必删除旧规则，导入的时候实际上就已经将原来的规则覆盖了。没有安装咖啡却导入了规则，没有任何事，这并不是危险的注册表操作，不必担心。如果实在不放心，可以用注册表清理软件清理掉，比如CCleaner和魔方。当然如果了解规则注册表所在的位置，手动删除也行。
      14、导入的规则和自己打磨的规则有何不同？
      我觉得自己打磨的规则是最好的，因为这样的规则更加符合自己的使用环境。建议参考本版块的各种文字规则，排除部分不要完全照搬，最好自己来排除。直接通过注册表导入也可以，不过我记得有一种情况，就是直接导入规则，有可能会出现规则阻挡，但不触红的情况，当然bug概率比较小。
      15、怎样把咖啡的右键扫描的月神调到最高？
      右键任务栏图标，按需扫描——性能，调整artemis最高，记得保存为默认值，然后确定。
      16、企业版咖啡的安装包分32位和64位吗？
      不分，64位系统安装之后没有缓冲区溢出保护这一项。
      17、咖啡是原生64位软件吗？
      是原生64位软件，只有UI是32位。
      18、VSE更新失败是怎么回事？
      多半是网络问题，可以换个时间段更新，或者下载更新包离线更新。
      19、ARK工具为什么能够结束咖啡的进程？
      据叶知版主介绍，VSE的进程权限比一般应用程序的权限高一些，但并不是最高权限，而ARK工具一般都是靠获取最高权限来结束其他进程，所以，ARK工具能够结束掉咖啡进程不足为奇。
      20、Agent有什么用？能卸载吗？
      在企业环境中，Agent是epo和客户端VSE联系的纽带，epo往客户端推送各种规则就需要agent。个人使用时，负责VSE的升级，所以，不能卸载。
      P.S:
      所有的这些都源自咖啡板块的各位饭友和一些个人的理解，难免有错误疏漏之处，欢迎提出意见，我会不停的修改和更新。对于提出建议的饭友们，我就不在此文中一一点名感谢了，需要感谢的人太多了，见谅。

rlx

好高兴啊   回来就好

曾经很多次都想只用VSE的杀毒部分  但 规则放着浪费 何况已经很适应了

个人意见 就不要使用破解软件  规则相对宽松与从紧结合  就可以了  不然就太累了

w99308702

很有见解，看来是个有想法的好妹子

GreenCodes

shiyuelaohu 发表于 2013-4-11 15:59
常见的VSE使用问题：
      1、VSE+COMODO的搭配组合问题
       （1）这两个搭配没有任何冲突，只是在右 ...

美帝国防部，空军系统表示用的很爽

shiyuelaohu

rlx 发表于 2013-4-11 17:52
好高兴啊   回来就好

曾经很多次都想只用VSE的杀毒部分  但 规则放着浪费 何况已经很适应了

咖啡的FD非常完善，不用确实很可惜。

心跳回忆

非常高兴看见楼主啊   

qpzmggg999

支持了

shiyuelaohu

心跳回忆 发表于 2013-4-11 20:42
非常高兴看见楼主啊

我也很高兴见到版主啊，

coolrh

支持，用来用去还是咖啡