查看: 167602|回复: 842
收起左侧

[技术原创] 咖啡防入口通用型规则包【7月19更新】

[复制链接]
深红的雪
发表于 2007-12-11 17:30:41 | 显示全部楼层 |阅读模式
本文和防入口规则包首发于卡饭论坛,转载请注明


重要:请大家在使用本规则前,首先看一次本文最后部分的说明

本规则包仅适用于McAfee企业版8.5i。

标题中的所谓“入口”即指病毒进入计算机的途径,就个人上网用户而言,这种途径主要有两种:一是挂马网页、二是可移动设备。本规则正是基于这两方面的防御而设的,适用于绝大部分上网用户,但不考虑服务器环境,因此服务器慎用。


写此规则包的目的:
1.给刚接触咖啡不久、还不太会写规则的新手提供一个可行的防护方案
2.给有一定基础、坚持用自己写的规则的人作为参考之用
3.抛砖引玉,促进交流



前言:
兵法云:"无所不寡,则无所不备".其实规则也是如此,若处处设防,反而处处薄弱,漏洞一堆,而且还严重妨碍正常的使用。研究过咖啡默认规则后就会发现,默认规则正是突出了重点防御这个思想,而且很注重通用性。这是我在写此规则包时受到的启发。防入口规则包,顾名思义,就是专注于防范外来的危险程序的。

现在大部分电脑用户中毒的原因无非两个,一个为打开U盘时中毒,一个为浏览毒网而中毒。因此针对这些情况设立规则是很必要的。
或者有人问:这个规则包如何防范流氓软件?
我的回答是:防入侵规则包并没有任何一条针对流氓软件而设的规则!(因为没有那个必要) 流氓软件安装到计算机无非两种途径:1.捆绑软件 2.在浏览网页时强制私自安装。 对于后者,防入口规则能让你远离这种困扰! 而对于前者,其实我们只要有一点安全意识,到正规网站下载软件,安装前先扫描,安装时稍微注意一下,就能避免了。


其中的一些规则的说明:

1、防U盘病毒规则

使用这条规则前,请先自行将排除项进行调整。将你的本地磁盘和光驱都添加到排除项,排除语法: X:\** (X为盘符)特别地,C盘的排除语法应为 **\C:\** 。

一般大家防范U盘病毒的做法都是禁止AUTORUN.INF运行,但若U盘上存在一些伪装文件,如*.jpg.exe 等等,当用户不小心打开这些以为是正常的文件时,病毒就得以运行而感染系统了。因此常规的禁AUTORUN.INF的做法并不能完全防止U盘病毒的感染。况且要封杀AUTORUN.INF只是举手之劳,而且关闭自动播放功能的软件遍地都是。此规则还有一个好处:如果U盘里的病毒运行了,立即会被规则阻止并留下日志,这时我们通过日志就能把U盘上的病毒找出来!


2.防网马规则


禁止浏览器新建exe(或com、pif等),这种规则就能防止大部分网马下载病毒,或者下载后的复制动作。不过不全面,还是会漏的。当然这条规则还可以进一步完善细化成几条规则,如 禁止IE在Windows目录下新建文件 + 禁止在C盘新建exe + 禁止在Temp新建、运行文件 等等,大家可以自己发挥。


更新历史
【第一次更新】 规则包以进行了改进,主要是加强了对浏览器的管制,规则数目增至19条。附件内有规则包说明。
【第二次更新】 加入了4条规则,共23条。删除禁止调用shell32.dll的规则(会影响正常使用),加入禁止XMLHTTP组件规则。 【13日更新】修正规则包中的一些错误,加入强力FD防护,自定义规则共31条,数目已经控制得不错了。并修改了咖啡默认的某些规则,升级为加强版规则包,安全性得到一定的提高。
【15日更新】 修改了一些规则的名称,再加入两条规则,达到33条。默认不打开FD类的规则。
【17日更新】 规则数目再增加,共36条。并在“F”类规则中排除了“Downloaded Program Files”目录,这样系统的自动升级服务就可以用了。不过建议大家还是用漏洞工具来打补丁。
【19日更新】 规则数目继续增加,共计39条。感觉越来越臃肿了 。主要加入了 SCR文件管制规则。
【21日更新】 规则数目终于突破40,达到41条。 其实不断加入规则的目的就是为了最大化安全。 这次更新主要调整了部分规则的防护范围,对默认规则作了一些调整,并再次加强对浏览器的管制,重新加入禁止调用shell32.dll的规则,但默认不打开,请自行决定是否开启。
【23日更新】加入精简防护规则包,精简版共12条规则,第一条规则请自行调整排除项。精简规则包仅防U盘和网页病毒,故不要用此规则包在本地测试病毒样本!觉得加强版规则包的规则数目太多的话(41条)或者对见红率不满意的,可以试用这个版本。
【26日更新】加强版和精简版均加入一条规则:禁止调用MDAC组件。我真是后知后觉了,这么重要的规则竟然一直都忘了
还有一些细节的调整。加强版再加入一条防U盘病毒规则(注册表防护法),供参考。

【30日更新】加强版加入防chm病毒规则和针对office软件的规则。
【1月4日更新】保留了反间谍模块的规则,并随手加入几条规则。精简版和加强版都进行了改进。
【1月5日更新】主要是修正1月4日规则的Bug,对默认规则作了调整。更新这么频繁有点对不起大家了,抱歉。其实更新也只是一些小修小改,大家都可以自己完成的,但既然规则以通用为目标,就让懒人懒到底吧。
【1月11日更新】对加强版进行改进,把作用不大的规则换掉,换成对系统高风险程序的管制。还有一些细节的改进。
【1月16日更新】小修小改,没有什么好说的。精简版增加到20条,多乎哉?不多也。
【1月29日更新】在浏览器规则中加入Sleipnir.exe这个浏览器,对加强版的“A46 禁止在本地新建.PIF文件”、“A21 禁止本地新建.CMD文件”、“A22 禁止本地新建.BAT文件 ”规则进行了修正,加入Msiexec.exe这个排除项(感谢Frankiec的建议)。还有一些小修改。PS:精简版又加了规则


【30日更新说明】由于29日更新时的疏忽,有些浏览器规则中忘了加入Sleipnir.exe,特此修正。另外,考虑见红率的问题,将A02 规则改成 “A02 禁止新建任何.HTA文件”,另外在“通用标准保护 — 保护 Mozilla 及 FireFox 文件和设置”中加入regsvr32.exe,svchost.exe,services.exe等排除项,以减少见红。在“通用最大保护——禁止将程序注册为服务”中,也作了同样的修改。

【3月4日小更新】把原来的 管制浏览器(禁止在Temp文件夹新建TMP文件) 改成“管制浏览器(禁止加载urlmon.dll)”。
该规则如下:


管制浏览器(禁止加载urlmon.dll)
要包含的进程:
Avant.exe,Brexpo.exe,firefox.exe,GE.exe,GreenBrowser.exe,gsfbwsr.exe,iexplore.exe,MaxFox.exe,maxthon*.exe,miniie.exe,netscape.exe,opera.exe,Orca.exe,realplay.exe,Safari.exe,SeaMonkey.exe,Sleipnir.exe,theworld.exe,TTraveler.exe
排除:无
要阻止的文件:
**\Windows\system32\urlmon.dll
阻止的操作:执行



【7月15日更新】这次更新幅度较大,一楼的大幅删减说明文字
(一是由于篇幅的限制,二是由于之前的介绍并不准确,如果想了解更多,可以参考这个帖子
http://bbs.kafan.cn/viewthread.php?tid=201027&highlight=%2Brappar

而且规则作了不少更改。例如把原规则中的 **\Windows 均改成 ?:\Windows ,加入重要规则以禁止除.exe、.tmp、.scr等后缀以外的程序启动,并修改了一些作用不大的规则。
另外将规则名称更改为防入口规则,以免引起误会。
【7月19日更新】更新说明请看644楼




所有规则共分三类,A类、R类、F类,但其意义并不是代表AD、RD和FD。“F”类和“R”类的规则默认不打开。此时规则包已经能够很好地防入侵,保证你上网不中毒,而且完全不影响正常使用!!但默认状态下的缺点是不保护本地文件。若打开“F”和“R”规则后,还能对本地文件进行保护,防范从本地运行的病毒。

如果要打开“F”和“R”规则,需先约法三章:
1.请将软件都安装在“Program Files”目录下,任何路径都可以,只要文件夹叫做“Program Files”就可以了。绿色软件等等一律放到此文件夹。
2.请将软件、游戏等的安装文件放在“安装程序”文件夹下,任何路径下的“安装程序”文件夹都可以。当然你可以把规则中的“安装程序”这个排除项都改为你喜欢的名字(F类规则中所有“安装程序”这个排除项都要改为同一名字)。若要从光驱安装,请自行添加光驱至排除项。语法为G:\** (假设G为光驱盘符)
3.请将游戏安装在“游戏”目录下。请参考第二条。


此规则包是依照我的“打造通用、方便、安全的规则”的想法而写成的。
关于通用性:只要遵守约定,规则无需再进行调整,基本上无需再添加排除项即可使用(需要调整的规则中已有排除提示)。

关于方便性:正常使用时很安静,即使安装软件游戏甚至是打系统补丁(已测试)等亦无需关闭访问保护和任一条规则。

关于安全性:这个不是我说了算,大家可以自己测试。还有就是,规则不是用来测毒的,所以千万不要随意运行病毒样本,否则后果自负。

其它:此规则包适用于XP系统,特此说明。不支持其它系统是因为各系统的文件夹结构不尽相同,例如2000的系统目录是winNT,而XP则是windows。其实此规则包稍加修改完全可以应用在其他系统上,这个请自行完成。另外,2003系统与XP目录结构相同,应该可以通用。



最后解释一下大家常问的问题:
如果日志出现

**\NOTEPAD.EXE        C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf        用户定义的规则:A24 禁止网页缓存中的程序进行任何文件操作        已阻止的操作: 读取

这种情况的,说明此规则与系统的预读功能有所冲突。因为这里父进程出现了 **\NOTEPAD.EXE 这样的路径,而事实上NOTEPAD.EXE却不应该在规则的阻挡范围之内,所以个人认为这是咖啡的一个BUG。
如果出现此问题的,有三种解决方法:
1.  加入排除项 **\windows\**
2.  关闭系统的预读功能
3.  不使用此规则

[ 本帖最后由 rappar 于 2008-8-21 16:46 编辑 ]

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +100 收起 理由
小邪邪 + 100 对后续更新的追加奖励

查看全部评分

feinibuke110
发表于 2007-12-11 18:00:00 | 显示全部楼层
支持你一下~~沙发~~
qhpt1618
发表于 2007-12-11 19:09:33 | 显示全部楼层
学习了,谢谢。
gilliam
发表于 2007-12-11 19:32:08 | 显示全部楼层
最近难得见到的有含量的帖子,顶楼主个~
深红的雪
 楼主| 发表于 2007-12-11 20:13:01 | 显示全部楼层
谢谢支持,自己顶一个
mimimi
发表于 2007-12-11 20:42:58 | 显示全部楼层
辛苦!感谢!感受一下!
9685996
发表于 2007-12-11 21:23:55 | 显示全部楼层
别人的规则我一般用来学习~~

呵呵
zzybwdb_2007
发表于 2007-12-11 22:03:59 | 显示全部楼层
感谢楼主分享规则......试试规则防护如何......
gxd
发表于 2007-12-11 22:06:54 | 显示全部楼层
LZ继续加油哦
sxj--1130
发表于 2007-12-11 22:38:25 | 显示全部楼层
不错的说~~~LZ继续发
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 00:30 , Processed in 0.194816 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表