防毒无敌麦咖啡之新人篇——如何定制一套适合新手使用的规则？

柯林

如何玩转麦咖啡企业版？作为新手，我建议放弃“寻求一套最牛的规则”这一类想法，建议从默认规则入手，适当添加一些自定义规则，组成一套易用与安全兼顾的体系，就OK了，以后随着自己认识的深入，再考虑要不要升级更新到“最牛防御”。
如何实现这一目标，欢迎大家一起讨论拍砖。以下所谈的个人意见，仅供参考，目的只是抛砖引玉，能够有点启发就OK了，有说错和遗漏的地方，还请大家谅解和指正，目的只是交流和讨论嘛，呵呵。
==========================================================================================================================
新人应该做到两个放弃和两个必知。
两个放弃：1、放弃盲目照抄照搬一套规则的做法，不要只知道埋头写。2、放弃大而全的想法，别想着面面俱到，追求什么极致，先从重点防御入手吧。
两个必知：1、知道规则路径的正确写法（正确使用通配符+排除应该排除的程序）。2、知道规则的目的（这一条是干啥用的？这么多条规则组合起来取得了什么效果？）

弄规则的目的，一是防毒，二是防黑，三是反流氓，新人要平衡自己的情绪，只须从这样的角度考虑就够了：对于咖啡没有识别和杀掉的“病毒”，用规则来堵上。会这样想，就可以避免一切唯规则论，想想咖啡还有个杀毒功能，就不用把所有问题都堆积到规则上了（事实上你写的某些规则可能存在“从未被用上”的问题。）

为了使问题便于处理，我们需要首先整理自己的思维，使之条理化：新手需要的是容易上手而又有一定的强度，最好不影响日常使用而又能发现问题便于处理，这样的一套规则。需要考虑的问题，无非是从入口上进行拦截，实施重点保护和关键部位阻断，并带有一定的监控能力。入手步骤，从默认规则开始，在利用好默认规则的基础上，进行必要的补充，形成一套基本牢固的防御体系。
========================================================================================================================
（一）、网络控制
如果你用的系统墙，没有装联网控制程序，用咖啡自带的端口规则，可以起到一定的控制作用。譬如，禁止远程访问本机，可以试用两条端口规则来防御。
访问控制-用户自定义规则-新建端口阻止规则
●禁止连入本机23端口   要包含的进程：*    开始端口：23  结束端口：23     方向：入站
●禁止连入本机3389端口   要包含的进程：*    开始端口：3389  结束端口：3389     方向：入站  【这个是阻止远程桌面登陆的，自己要用，如何排除？呵呵，这个我不知道了，知道的说下，个人建议是，如果自己要用，到注册表里更改远程登录桌面所用的端口号，具体怎么改，网上搜吧】
●禁止非法连出   要包含的进程：*    开始端口：1  结束端口：65535     方向：出站 【这一条是阻止不想让它联网的程序上网用的，效果就是一大堆额程序都断网了，为了你自己正常上网和系统更新，把必要的系统进程和你自己用的程序添加排除吧，最好写绝对路径。这一条还可以防御反弹端口的木马，前提是这马儿自己联网，对于注入其它联网进程的马儿无效。为了不自找麻烦，这一条一般建议不要用，新人只需知道有这么个用法就行了。至于端口是写1到65535还是0到65535，自己试下，看咖啡支持哪种写法】
           
（二）、文件保护（含隐私保护）
咖啡强大的文件读写控制，也就是所谓的FD，可以做很多事情，其中一个就是文件保护。上面端口控制规则的1、2两条，无非是防黑，换个角度来说，即使人家黑进来了，什么也做不了，不也是白搭？实现这个，加条反黑规则就行了。
访问控制-用户自定义规则-新建文件文件夹阻止规则
●禁止远程操作    要包含的进程：System:Remote      要阻止的文件或文件夹名：**\*   要阻止的文件操作  （G）  （H）  （I）  （J）  （K）  【要不要写成**\*\**，请查阅新版麦咖啡通配符使用教程】
（防黑的另外一个重要手段是“防止缓冲区溢出”，这个麦咖啡已经自带“缓冲区溢出保护”，新手只需知道开启这些防护，就能对付常规的黑客攻击，就ok了）
扩展用之，如果你有个文件夹有私隐文件，需要保护，可以照猫画虎，例如
●不准动    要包含的进程：*      要阻止的文件或文件夹名：D:\阿拉斯加\**   要阻止的文件操作  （G）  （H）  （I）  （J） （K）【这样就相当于被“隐藏+保护”了，如果只想别人看不到，要包含的进程写explorer.exe，要阻止的文件操作选（G）就行了，就是一个小欺骗的把戏。如果你自己要访问，把该条规则禁用就行】
举一反三，需要保护的文件，加以保护就ok
●保护GHO文件    要包含的进程：*      要阻止的文件或文件夹名：**\*.GHO   要阻止的文件操作  （J）  
●保护相片           要包含的进程：*      要阻止的文件或文件夹名：D:\相片\**   要阻止的文件操作  （J）  
●mp3保护           要包含的进程：*      要阻止的文件或文件夹名：D:\music\**   要阻止的文件操作  （J）  
如果你有重要的文档、图片、影像资料需要保护，防止被误删，可以把它们归集到一个文件夹里，然后对该文件夹写上规则，禁止删除即可。如果要进一步写得更细致，譬如文档、图片，可以使用”排除允许访问和操作的程序后禁止所有程序进行访问与操作“的方法加以保护，新人没必要搞这么复杂，随便弄点保护性的措施即可。

（三）病毒防御以及反流氓
病毒防御，说开了一大堆，说简单了一句话——入口斩断就ok！按类型来说，我们一般只需考虑三大方面：上网防毒，这个主要是防挂马和钓鱼（目前最有效的是个人安全意识）；本地防毒，主要就是你下载了一个不知道是否安全的文件，万一包含病毒，你点击运行了，咋办？如果咖啡没有识别杀掉它，剩下的防线就是规则。以常见病毒行为来说，病毒运行后，通常经历释放病毒文件、注册文件、执行有害操作三个阶段（百分九十以上的病毒会释放可执行文件到Windows目录及system32目录下（默认规则已经自带一条有力规则对此进行防御），另外一些释放到临时目录、磁盘根目录、用户程序目录program files下（默认规则对此也有一条规则进行防御）。至于病毒运行后的一系列高危行为，例如加载驱动、安装钩子、访问物理内存……以及截屏什么的，由于企业版咖啡AD太弱，这些问题就不要去操心了，老老实实做好入口防御这个本份即可）；移动介质防毒，主要就是U盘防毒（防御方法及思路，在自定义规则里进行讨论）。
以上三个方面分开来说是三个方面，实际上合起来就只有一个方面——防毒。不管是网上来的病毒，还是已经存在本地磁盘上的病毒，还是U盘带来的病毒，归根结底都一样的防治：防止生成病毒文件，防止对病毒文件进行注册，禁止已经生成或存在的病毒文件被执行。下面结合默认规则来看如何实现这些目的。
为了思路清晰和便于讨论，先对默认规则试着解读，再对一些可以添加的自定义规则进行讨论。

☆防间谍程序标准保护：
●保护Internet Explorer收藏夹和设置   这一条的作用，大概是为了防止生成恶意网址或指向恶意链接，一般建议不用管它。追求高安全，可以勾选阻挡和报告；追求监控，可以勾选报告。个人意见是，新手不用管它。

☆防间谍最大保护：
●禁止安装新的CLSID、APPID和TYPELIB    这一条的作用，是禁止在注册表里注册组件，可以防止流氓软件和间谍程序。个人意见，一般只需勾选报告即可，有时间看下日志，看看是什么程序注册了些什么组件。如果勾选阻挡，会影响极大多数程序的安装（装完后某些功能无法使用）。如果一定要用，请在安装完所有要用的软件后开启，或者你自己要安装程序的时候去勾。
●禁止所有程序从Temp文件夹运行文件    这是防毒防一切流氓的利器啊，开启这一条，绝大多数的安装都死掉了。个人意见，一般只需勾选报告就行了，有时间看看日志，看最近有什么东东被运行了。如果非要用这一条，什么时候用呢？在你上挂马网站、毒网、防止别人安装程序的时候开启（勾选阻挡）。
●禁止从Temp文件夹执行脚本    这一条，个人意见，可以开启（勾选阻挡和报告），一般人和正常程序不会把脚本文件放那里面去运行。有影响的情况可能是，某些程序执行卸载时，反安装程序会释放一个批处理文件到Temp文件夹里运行它用来删除所安装的文件，如有影响，请在卸载程序时将其禁用【这条规则所说的脚本文件包括哪些格式，请有心者自行研究和实证】

☆防病毒标准保护
●禁止禁用注册表编辑器和任务管理器   早期的病毒或玩笑程序曾有过锁定注册表和任务管理器的行为，这一条就是防御这个的。个人意见是，一般不用理。
●禁止更改用户权限策略    作用与上面一条类似，保护本机用户权限设置的（可能是组策略方面的设定）。个人意见，一般不用理。防黑来说，有相关规则进行防御；防毒来说，直接修改本机用户权限设置的样本，并不多见。所以是意义不大。
●禁止远程创建修改/可执行文件和配置文件   如果自定义规则里没有写过禁止远程操作的规则，可以考虑开启。这一条的作用，更多的体现在企业服务端上吧，个人用户出于防黑考虑的，直接写一条禁止远程操作的文件规则了事。
●禁止远程创建可执行文件   作用与上面一条类似，防黑用的，可以启用，也可以不用。个人用户写过禁止远程操作的防黑规则的，可以不用理（即使没写过，也可以不用理，没那么容易被黑的）。
●禁止拦截.exe和其它可执行文件扩展名   这一条的作用，可能类似于HIPS软件在注册表操作里拦截对HKEY_CLASSES_ROOT\.exe等项的修改，也就是所谓的文件打开方式，防毒用的。可以启用。
●禁止伪装windows进程   中过威金病毒和熊猫烧香的应该对此印象深刻，这是防止病毒假冒系统进程用的（比如Explorer.exe不在windows下，Svchost.exe不在System32下）。个人意见，一般勾选报告即可，你要勾选阻止也无不可。
●禁止群发邮件蠕虫发邮件  这个不用解释，说的很清楚了。启用吧，没坏处的。
●禁止IRC通信   这是早期某类病毒的惯用伎俩，现在貌似不多见了。启用与否，自己看着办。副作用可能是某些上网程序被误报吧，明白就好。
●禁止使用tftp.exe   一般人几乎很少使用的通信手段之一，曾经被某些病毒利用过。出于防御目的，可以启用（如果你用到极个别程序需要使用这一功能，请添加排除）。

☆防病毒最大保护
●禁止svchost执行非windows可执行文件   一度出现某些病毒及流氓程序借用svchost.exe作为父进程来执行自己的情况，出于最大化的防毒反流氓考虑，可以启用，但是启用之后就会有误报问题。个人意见，一般用户直接忽略，非要担那个额外的心的，勾选报告即可。
●保护电话薄文件免受密码和电子邮件窃贼的攻击   这个说的很清楚，用不着解释。个人意见，一般人不用理。这一条更适用于企业，而非个人用户。添加后的排除问题，自己搞定。
●禁止更改所有文件扩展名的注册   这一条很强悍，开启这一条，相当于锁定了注册表里文件扩展名，注册新的文件扩展名以及更改文件的打开方式，将不再可行。启用后的直观效果就是，你设置播放器打开指定的音视频文件，将无法得逞。如果实在要用的，请考虑临时禁用的问题。个人意见，一般人不用管它。
●保护缓存文件免受密码和电子文件窃贼的攻击  这个也不用解释。一般人也用不着，不管它。对安全极度敏感的，可以考虑开启，对于误报，请根据日志添加排除。

☆防病毒爆发控制
●将所有共享项设为只读    这一条的目的，大概是两个，一个是防止病毒盗窃和篡改共享资源，一个是防止病毒把自己添加在共享资源里进行传播。这个要不要启用，自己考虑。规则类别已经说的很清楚——防病毒爆发用的，用法应该是企业用户在病毒爆发期的隔离保护措施。个人用户无所谓了，反正一般人也不提供共享。个人意见，一般人不用理。
●阻止对所有共享资源的读写访问  作用与上面一条一样的，防病毒爆发用的，比上一条更严厉，是企业在非常时期的“戒严令”，一般人不用管它。
以上这两条规则的解读，有人说是咖啡里面的极致规则，具体指什么，我没时间验证，请知道的麦粉说下。按规则设置来看，阻止的是远程操作，个人主观上做如许解读，似乎也无不妥。了解的请交流下。

☆通用标准保护
●禁止修改McAfee文件和设置   保护咖啡用的，建议启用。
●禁止修改McAfee Common Management文件和设置    保护咖啡用的，建议启用。
●禁止修改McAfee扫描引擎文件和设置    保护咖啡用的，建议启用。
●保护Mozila及Firefox文件和设置   火狐浏览器的保护，用火狐的可以考虑启用（如果临时安装火狐插件装不上，请暂时禁用该条）。如果你用谷歌浏览器之类，也想照猫画虎来一下，自定义规则里照着这条的样子写一条即可。嫌麻烦的，个人建议对这一条勾选报告即可。
●保护Internet Explorer设置   这一条是从文件保护还是注册表上进行防御，没弄清楚，有兴趣的自己测试。规则说的很清楚了，保护IE用的。一般人，个人建议忽略；对安全敏感的，考虑开启和排除。
●禁止安装Browser Helper Objects和Shell Extensions   这一条是防止恶意程序和某些病毒用的，防止安装浏览器插件和外壳扩展，有安全需要的可以考虑开启，一般人不用管它。副作用可能是，你安装某些插件或者软件功能扩展（例如解压缩软件WinRar的外壳扩展）可能失败，请考虑临时禁用。
●保护网络设置   这个不用解释，一般建议启用。
●禁止公用程序从Temp文件夹运行文件   这一条很有用哈，特别是防挂马。启用的后果就是，IE下载到临时缓存目录里的exe之类的文件，无法被IE执行。（这一条对哪些程序有用？不清楚，自己测试下，开启后看日志吧）
（防御网页挂马，这一条是很有用的一条，加上咖啡自带的缓冲区溢出保护，以及防间谍标准保护里的禁止所有程序从Temp文件夹执行文件，已经很强悍了，一般人可以说够用了，只要平时及时打好补丁，用不着贼惊贼惊。至于要不要像某些旧规则那样，加上自定义规则禁止运行Mshta.exe,Cscript.exe,Wscript.exe呢？个人意见是，没必要，理由是，现在已经win7了，IE11了，那些xp时代IE6的悲剧漏洞问题，已经是老黄历了）
●在Internet Explorer中禁用HCP URL  这一条，个人建议不用管它。什么是HCP URL？自己百度下。
●Prewent hooking of McAfee processes  这一条，请参考蓝核版主的咖啡设置贴，勾选报告以兼容更多程序。如果你没有综合征习惯，不搞“大杀器组合”，也不安装一些品性不好的软件（譬如某些大型游戏），勾选阻止吧。
●防止终止McAfee进程  这个不用解释，防止咖啡中途挂掉而失去防护力用的，启用。

☆通用最大保护
●禁止将程序注册为自动运行   这一条太强悍了，所有想要开机自动运行的程序，都将在开启这条规则后被“干掉”（什么QQ、迅雷、神马那个神马，别想添加开机启动项了），病毒也别想考虑什么自动运行问题。一般建议，对该条勾选报告即可。如果你想要高安全，如果你重要的程序（需要开机就启动的）已经装好，那就启用吧。如果在启用期间，安装某些程序，需要它自动运行的，临时禁用该规则。
●禁止将程序注册为服务   这一条超牛的，对于企业版咖啡来说，拦截驱动加载，就只有靠它了。如果你在测毒，或是使用测试工具，或者是需要后台服务程序的软件已经装好，开启这一条，将大大提升本机的防御能力，对于加驱病毒或恶意软件具有“一刀斩”的效果（注意前提条件是程序从未在注册表里添加过服务项，对于已经存在服务项的加驱应该无效）。一般建议勾选报告即可。
●禁止在windows文件夹中创建新的可执行文件   这一条是超牛的，开启这一条，90%的病毒大概会“无疾而终”了。为了不影响日常应用，个人意见，对该条勾选报告即可（总有一些软件要安装可执行文件到system32下，为了便用，监控好了）。
●禁止在Program Files文件夹中创建新的可执行文件   这一条也是超赞的，开启这一条，某些病毒或恶意软件也“废掉”了，想要安装软件也安装不上了（如果你想要给小白开个玩笑，让他们无法在你的计算机上乱装程序，开启这一条和防间谍标准保护里的禁止所有程序从Temp文件夹运行文件，他们可能只有哭鼻子了）。个人意见，兼顾易用和安全考虑，一般勾选报告即可。
●禁止从Downloaded Program files文件夹执行文件  早期的3721之类的东东，就是用这一个做手脚的，现在似乎很不多见了。从防毒考虑，建议开启（极个别情况下，如果出现IE无法安装某些东东时，如果日志里显示触犯了这一条，请临时禁用）。
●禁止FTP通信   这个一般不用管它。如果启用了这一条，使用FTP协议的软件例如迅雷、快车神马的可能需要排除。
●禁止HTTP通信  这个不要开玩笑了，不管它就是。如果你开启了，需要排除的程序排除吧，免得“自行断网”。

☆虚拟机保护
●防止终止VMWare进程  
●禁止修改VMWare Workstation文件和设置
●禁止修改VMWare Server文件和设置
●禁止修改VMWare虚拟机文件
以上这四条，是保护VMWare虚拟机用的，如果你有装VMWare虚拟机，可以考虑开启，没虚拟机的不用理。如果你装的其它虚拟机，想要保护的话，照猫画虎，自定义规则写吧。

★自定义规则
一遍审阅下来，你会发现，默认规则已经很强悍了，能够全部勾选的，已经有得你玩了。对于新手，个人不提倡全部勾选，建议参考以上意见，适当的开启一些即可，剩下的，自己用自定义规则补充点即可。
需要添加什么，根据自己的需要决定。以上面这套设置来说，我们需要补充的有规则强化、U盘防毒之类的问题。下面举例说明。
1、危险行为防御。对于映像劫持，利用系统命令格式化硬盘的恶意病毒，可以考虑添加规则
注册表阻止规则  ●禁止映像劫持   要包含的进程：*   要保护的注册表项或注册表值:HKLM   /SOFTWARE/Microsoft/Windows NT/CurrentVersion/Image File Execution Options**  阻止的注册表操作：(J)  (G)
文件阻止规则  ●禁止使用格式化命令  要包含的进程：*  要阻止的文件或文件夹名：**\format.*    要禁止的文件操作(G)  (K)   (注意，这一条只是防止使用系统自带的格式化命令来格盘，并不能阻止你自己右键格式化磁盘，以及自备格盘功能的磁盘类工具的格盘操作）
2、IE保护。由于上面没有开启默认规则的IE保护，可以考虑适当加上两条稍微强化下。
注册表阻止规则
●禁止自动加载Activex   要包含的进程：*   要保护的注册表项或注册表值:HKLM   /SOFTWARE/Microsoft/Code Store Database/Distribution Units/**   阻止的注册表操作：(J)  (G)
●禁止添加IE工具栏   要包含的进程：*   要保护的注册表项或注册表值:HKLM   /SOFTWARE/Microsoft/Internet Explorer/Toolbar/**  阻止的注册表操作：(J)  (G)
3、U盘防毒。对于本机防御，很简单，防止带毒U盘发作即可，一般禁止U盘根目录文件被执行即可，你要写得狠一点，就写禁止整个U盘路径的文件被执行。下面以禁止所有磁盘根目录文件被执行的规则示例：
文件阻止规则：●禁止磁盘根目录运行程序  要包含的进程：*   要阻止的文件或文件夹名：\*.*   要禁止的操作：(K) 【这样写，所有磁盘根目录都被涵盖了，光盘上的可执行文件也运行不了了，如果你要用光盘装程序，临时禁用该条，或者只考虑防御U盘的话，直接写成U盘所在路径即可】
对于其它机器的保护，本机能做的，是禁止通过本机传染病毒，也就是假设本机已经中毒的情况下，防止对插进本机的U盘写上病毒文件，一般只需防止在U盘根目录生成autorun.inf文件即可。以禁止所有磁盘根目录生成autorun.inf文件为例：
文件阻止规则：●禁止磁盘根目录生成autorun.inf文件  要包含的进程：*   要阻止的文件或文件夹名：\*.inf    要禁止的操作：(H)  (I)  【这样写，往光盘上写autorun.inf文件也失败了，要刻录启动盘的，自己把刻录软件添加排除罢，或者刻录时临时禁用该条。如果只针对U盘防御，阻止对象不要写\*.inf，写成U盘根目录的路径即可】
单纯阻止U盘根目录生成autorun.inf文件，还不够彻底，还是有病毒文件被创建在根目录下了，万一人家拿去，自己手痒点击一下，还不是中毒了？又或者，病毒生成了可恶的exe为后缀名的文件夹呢？呵呵，如果你有这些担心，再写一条规则就是了。以我的观点来看，这些担心是多余的，包括写的这条禁止磁盘根目录生成autorun.inf的规则都是多余的，你怎么确定自己的机子到了中毒的地步呢，玩咖啡还玩到本机中毒，你可以去买彩票了。既然本机干净，还存在神马毒源问题，这些劳什子的规则不是多余的是什么？再次对恐安症患者重申：“本机干净无毒的情况下，考虑个球的防毒或杀毒！本机中毒严重的情况下，说防毒是屁话！”
4、流氓防御。规则的另一个用途，就是防流氓。从文件阻止规则的角度来说，就是禁止流氓软件的安装；从注册表阻止规则的方面来说，就是阻止流氓软件生成相关的注册表项或值。从实用的角度来说，我想说的是，这个意义不是很大。对于已经安装好的流氓软件或广告软件，禁运的话，组策略更方便；对于清除已经安装的流氓软件、恶意程序、广告程序来说，windows清理助手或者卫士之类的工具更好用；而对于阻止流氓软件或恶意软件的安装来说，作用有限（首先你要知道哪些是流氓软件，才好在规则里设定规则阻止生成相应的文件夹或者可执行文件（这个用月神里面的功能来阻止更好些），然而未必有用，可能软件一旦发现捆绑的东东不能安装时就拒绝往下执行去安装主程序了，你还是白玩）。

回头小结：一通梳理下来，你会发现，弄规则并不是很难，根据需要，化作规则就OK；另一方面，你也看到了，咖啡自带的默认规则，其实也够强悍和严密，一般人用用，足够了，需要补充和强化的，自定义一些即可。此外，咖啡是一个完整的防御，配合病毒扫描，以及月神，一般用户真的是够用了，特别是新手，没必要去弄“最牛的规则”，只需在默认规则的基础上，适当设置和补充下，弄成一套适合自己的规则即可。
抛开杀毒与月神的部分不说，单纯从规则的方面而论，麦咖啡可谓“无所不能”：
▲防黑嘛，端口规则+文件保护阻止远程操作+缓冲区溢出保护可以搞定。
▲防止网页挂马,上毒网,开启禁止从Temp文件夹运行文件,禁止公用程序从临时文件夹执行文件,禁止程序注册为自动运行，禁止程序注册为服务，禁止向windows目录或program files目录里生成可执行文件，加上缓冲区溢出保护等，这些手段配合起来。一般是可以安心啦。当然，第一有用的，是系统补丁。系统没漏洞，挂什么马，投什么毒，全都没用的。
▲U盘病毒防御，很简单的，两三条规则就摆平了，没森马稀奇的。
▲这么一套规则弄出来，是不是就超级强大，无敌了呢？不是。企业版咖啡的AD很弱，对于一些专门以AD行为做主打的病毒来说，可能会抓瞎；就算以FD见长的咖啡来论，对于全局感染性病毒，以上规则并无有效的针对手段，如果过了咖啡的杀毒，可能就是悲剧。对此可以安慰的证据之一是，本人玩了十年电脑，除了在样本区下载过相关病毒，实际使用中还从未碰到过，一般人可以无视。如果你要较劲，也可以写上一条禁止修改本机上的任何exe文件的规则，然后进行必要的排除。其实要对付这个，本人有一个有效的方法——大杀器！
要使用这个大杀器，需要你有良好的习惯——遵守以下操作：
首先，在本机磁盘上建立一个Test文件夹（名字随你喜欢，Test是便于区别）例如D:\Test，然后针对此路径写两条规则：
1、禁止测试者的一切操作   要包含的进程：D:\Test\**   要阻止的文件或文件夹名：**\*    要禁止的操作：（G）  （H）  （I）  （J） （K）
2、禁止测试者的注册表操作    要包含的进程：D:\Test\**    要保护的注册表项或注册表值:HKALL   /**     阻止的注册表操作：(I)  (J)  （G）
至此，大杀器做成了，余下的，就是你有个好的使用习惯了——下载来的程序，首先移动到Test文件夹里，然后双击运行，过一阵，去看看日志吧，看看它都干了些啥。理论上来说，这是比沙盘更猛的“照妖镜”，如果它有不轨行为，很容易被发现的，例如全盘感染（修改计算机上的所有exe），但是，对于某些前面行为受阻后面行为就无法看到的程序无效，干这个，还是虚拟机与沙盘及HIPS在行）。一般的安装程序，你可以这样试试，看它干不干净，规不规矩。
【这个测试规则是有漏洞的，以一般程序的安装顺序来说，是首先释放安装程序到Temp文件夹里，然后由Temp里的安装程序执行安装操作，想要看到详细的后续动作，需要再写上禁止Temp里的文件执行任何文件操作和注册表操作的规则（写法很简单，要包含的进程写成**\Temp\**即可）来记录行为（注意这一条影响安装软件和个别程序）。这里说的是针对一般正常的程序，对于常见的病毒文件来说，一般就是主体exe文件直接发起行为，以上两条大杀器是够用的。】

（四）其它
计算机是拿来用的，也就是体验性要好，如果体验性太差，那就不是人玩电脑，而是反过来变成被电脑玩了。要达此目的，一个轻快流畅的防御体系就是很值得拥有的目标，换言之，对于新手来说，极致安全不是必要，一个既安全又易用的东东，才是最适合的。要实现这个目的，需要考虑这些问题：
●流畅度问题。用电脑什么最重要？当然是体验最重要的。甭管你自吹多么牛皮的规则或软件，要是使用起来卡卡的，半天没反应，本大爷一脚踢你到毛里求斯去了。要流畅，就要考虑搭配问题和设置问题。设置主要两方面，一个是规则，一个是月神。规则不要弄的太严太死，该排除的排除。月神方面，从网页浏览角度来说，下载的文件最多且尺寸最大的就是图像文件之类，从保障上网速度来说，个人建议，可以尝试这样的设置：按访问扫描程序-所有进程-排除项/添加/按文件类型：放弃读扫描的有mp3，放弃写扫描的有rm，js，放弃读写扫描的有gif，htm，jpg，bmg，png，txt，wav（设置思路是，像rm这样的大尺寸媒体文件，写入的时候不理它，读取的时候扫描下有无带毒；对于mp3这类经常使用的音乐文件，保证来源可靠就行，读的时候就不理他，都是安全文件了还操心啥？对于jpg等网页要素文件来说，一般也很少藏毒了，为了浏览速度，稍微牺牲一点安全性，放过读写扫描）。【这样设置，会不会对安全构成影响，会不会和自定义规则里的防黑等规则形成冲突？经初步测试，咖啡月神属于病毒扫描，规则属于主防，二者没有相互包含的关系，月神里的扫描排除，并不影响主防里的规则效用。如果有相应的规则殿后，月神里放过扫描，没有问题；如果缺乏相应规则的防御，月神里的放行，将导致两处都空了的局面，对安全是有影响的。如何取舍把握，请自行拿捏。】
●搭配问题：怎样搭配才科学？独用最科学，其次是兼容性好的最科学。对于新手，个人严重建议，用咖啡+系统墙足矣，别忘了win7还有个烦人而又不失有用的UAC，这些东西加在一起，真的是足够足够用了。用这样的组合，你会发现系统“腰不驼了，腿不瘸了，也不咳嗽和大喘气了”，系统就是那么的流畅和舒服，真正是人用的系统。
●排除问题，这个超简单的，根据日志，复制被阻挡的程序路径，到所触犯的规则里，粘贴在排除的进程里，完工。如有不明之处，请参阅相关资料或请教老麦粉。
========================================================================================================================
使用这样的设置，基本上不用作什么排除，电脑该咋用还咋用，该安装的安装，该更新的更新，使用体验上就四个字——轻巧流畅。（对安全上心的，请抽出时间查看日志，以了解本机近来的安全形势及可疑对象。到一定的时间段，所用软件都已安装完毕，磨合得差不多，该排除的已经排除，追求高一级别的安全，可以把一些项目设为阻止，例如创建可执行文件到windows目录，从Temp文件夹运行文件等，安全度会进一步提高。）

附注：
通配符的正确用法，请查询论坛上的资料或百度。请一定注意通配符及路径写法，无效路径的后果是规则无效。
规则的禁用与启用，就是去勾与打勾的操作；整套规则的禁用就是把“访问保护”禁用。具体请搜索相关帖子。
月神的调整及咖啡的其它设置，请参阅蓝版的帖子：http://bbs.kafan.cn/thread-1469907-1-1.html

以上只是个人私家观点，仅供交流和参考。

----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------
个人整理的一点路径规则中通配符用法，请自行验证，如有错漏，请提出，以便我订正。
《麦咖啡规则路径写法》
一般?代表任意一个字符，*则代表所有的字符（包括?在内），具体在咖啡里的用法，细分太多，下面是一个条理性的初步整理，仅供参考：

◆进程
**等效于*  代表所有进程（包括有后缀名的explorer.exe之类，以及无后缀名的System之类，所有的进程）
*.*   代表所有具有后缀名的进程（不包括System之类无后缀名的进程）
System:Remote  代表远程操作（与本地操作相区别)
**\abc\**  代表任意位置，名为abc的目录里所有的可执行文件（包括其子目录里的可执行文件）
**\abc\**\*.*  代表任意位置，名为abc的目录的下一层目录下的所有带后缀名的可执行文件，及其子目录里的所有带后缀名的可执行文件
**\abc\**.*  代表任意位置，名为abc的目录里的所有带后缀名的可执行文件，及其子目录里的所有带后缀名的可执行文件
也就是说，C:\abc\**.*＝C:\abc\*.*＋C:\abc\**\*.*
根目录下的可执行文件，可举例和归纳如下
C:\*.* 代表C盘根目录下带后缀名的可执行文件
C:\*.exe  代表C盘根目录下带后缀名为exe的可执行文件
\*.exe  等效于?:\*.exe  代表所有磁盘根目录下的exe文件，同理\*.*代表所有磁盘根目录下带后缀名的可执行文件
那么，C:\*是不是代表C盘根目录下所有的可执行文件，\*是不是代表所有磁盘根目录下的可执行文件？这个我没验证，你自己验证吧。
*\abc\**与**\abc\**及**\abc\*有何区别？它们在包含的进程以及排除的进程里用法有无区别，哪个是无效路径，这个，你也自己验证吧。

■文件或文件夹
*\** 等效于**\*\**   代表本地计算机上任意位置的所有文件
**\*  代表任意目录下的下层文件，是否等效于*\**有待验证
C:\abc等效于C:\abc\  代表C盘下名为abc的文件夹，或者是C盘下名为abc的文件夹里的所有文件（不包括子目录里的文件）
C:\abc\** 代表C盘下名为abc的文件夹里的所有文件及其子目录里的所有文件
C:\abc**  代表C盘下名为abc的文件夹以及以abc开头的所有文件夹，以及它们的子目录，同时也包括该文件夹及其子目录里的所有文件
C:\abc\*.txt  代表C盘下名为abc的文件夹里所有的txt文件（不包括子目录里的txt文件）
C:\abc\**.txt 代表C盘下名为abc的文件夹里所有的txt文件及其子目录里所有的txt文件
也就是说，C:\abc\**.txt＝C:\abc\*.txt＋C:\abc\**\*.txt
C:\abc**＝C:\abc＋C:\abc\**＋C:\abc1＋C:\abc1\**＋.......C:\abcasdfghj＋C:\abcasdfghj\**＋................................................................

▲注册表
HKCU  /Software/Microsoft/Windows/CurrentVersion/Run   指的是HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run这个主键，如果勾选了“要阻止的注册表操作（I）"，那么你不能对这个主键右面窗口里的内容进行改写（包括新建、修改、删除）；如果勾选了（G）和（J），那么你不能在Run下对其子键的数值进行操作（新建、修改、删除）。
HKCU  /Software/Microsoft/Windows/CurrentVersion/Run/  等效于 HKCU  /Software/Microsoft/Windows/CurrentVersion/Run
HKCU  /Software/Microsoft/Windows/CurrentVersion/Run/**  代表HKEY_CURRENT_USER\Software\Microsoft\Windows\CurrentVersion\Run这个主键及其子键，如果勾选了“要阻止的注册表操作（I），（G）和（J）”，那么你不能对这个主键进行任何操作（删除主键，改写主键的内容，创建或删除子键改写子键的内容）
【注意，以上所说的“你”，指的是规则中设定的阻止程序——所要包含的进程】
HKALL  /Software/Microsoft/Windows/CurrentVersion/Run/** 代表注册表里五大根键下，Software/Microsoft/Windows/CurrentVersion/Run这个主键及其子键
HKALL  **/Run/**  代表注册表里任意位置下Run这个键及其子键
HKALL  **/Run**  代表注册表里所有以Run开头的键及其子键的全部内容
也就是说，HKALL  **/Run** ＝HKALL  **/Run＋HKALL  **/Run\**＋.......HKALL  **/RunOnce＋HKALL  **/RunOnce\**＋.............................................................................

>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>>

这帖子里有解读错误的地方，楼下拍砖订正下。这个就只是个交流贴，不是什么标准教程，辨证定误的事情交给明眼人，一般人你参考下就行了。以后如果有时间，我再更新吧。以下内容给想要进一步的新手参考：
如何制定有效的规则？首先得了解规则流程。如果你接触过HIPS，对于规则流程及规则优先级一定不会陌生。很遗憾，咖啡的规则逻辑里，优先级这个问题很模糊，或者说不存在，咖啡规则貌似只讲究有效无效，以及相互间的包含与覆盖的问题。
新手要直观地了解咖啡规则的流程，可用日常生活中的实例来比拟：你从始发地出发，要到达目的地，一路要经历层层关卡的检查，如果你全被放行，就能到达目的地，去实现你的目的，如果中途被拦下，你就只有空怅望了。同样的，一个程序运行起来，要穿越一片规则区，才能到达目的区，去实现程序想要实现的目的，在穿越规则区的过程中，无论被哪一组规则中的哪条规则拦截，那方面的行为就被阻截了（如果是重要的行为被阻截，基本上就意味着Game over了）。为便于理解，可参看下图：

看过上图，你应该有个大概印象了吧，不会再对咖啡规则的运作感到迷茫，如果日志显示程序的某个行为被哪组规则中的哪条阻挡，你会知道应该到哪里去添加排除。
需要说明下，以上规则组的排列，并无什么逻辑顺序依据，哪组在前实际上应该无所谓，结果也是一样的。另外一个需要注意的是，在咖啡规则流程中，一般情况下，貌似无HIPS里常见的By pass一说，也就是不支持”忽略后续规则的检查而直接跳到末尾“的做法（至于月神设置里的扫描排除，算不算是突破规则限制的By pass？这个我真的没弄懂，懂的人请说明下）。咖啡唯一讲究的是pass，也就是该条规则不启用，直接放行，如果勾选了报告，则记录行为而不强制执行，如果连报告都没有，那就是等于零，一点屁用都没有。
看过上图，对于如何组合规则，实现一定的筛选过滤，你可能有自己的想法了。从防护方案来说，你要采取什么样的筛选过滤策略，完全是极自由的事，只要能实现你的设想，达到你的安全需求就ok。
从已知的防御思想及构思来说，大体上有几种：最常见的一种，就是利用默认规则，在默认的基础上做强做大；另一种思路则是抛弃默认规则，全部自定义。哪一种更好，这个不好说，随你喜欢，个人倾向于默认与自定义的完美结合。
在方案实现上，有人提出划分信任区与非信任区的做法。其设计思想是，我的系统是干净的，我安装的程序也是无毒无害的，对于它们，我可以将其列入信任区，当我开启极致规则的时候，对它们加以排除（不是一个一个程序添加排除，而是几条通配符路径以粗线条的方式加以排除来放行）；而对于其它位置的程序，例如Temp文件夹里的程序，磁盘根目录程序，上网时浏览器或者其他上网程序所下载的程序，以及插进电脑上的U盘上的程序等，列为非信任区文件加以对待，用极致规则来加以阻挡。【如果以默认规则来说，就是在你开启”防病毒爆发控制“组的规则来说，你至少应该添加*\windows\**和*\Program files\**\*.*来加以排除，为防止病毒突破，可以自定义规则禁止任何程序创建windows文件夹和Program files文件夹来堵上规则存在的漏洞，至于说这两个文件夹下的文件的规矩性问题，自有其它规则来限制，这个相互组合使用的方法，就是组合筛选过滤。此外需要说明的是，仅仅排除*\windows\**和*\Program files\**\*.*，可能你的某些程序运行不好，因为它们有一些子程序寄存在用户目录乃至Temp目录里，这个就需要根据日志逐一排除了，另外还有一个问题是，系统更新时，下载的补丁文件释放的安装程序，可能也在信任区之外，这个貌似不好处理，只有在安装系统补丁的时候，关闭极致规则。】如果明白这种用法，相信你会有一定的启发和想法了。
另外一种追求极致安全的常见方法是，管它三七二十一，直接写上一堆极端严厉的自定义规则来加以防御，例如写上禁止在本机任何地方创建修改删除exe文件、dll文件什么的，如果连禁止执行也加上，那就更疯狂了，需要排除的对象，不是一般的多，特别是在你逐一添加排除，乃至使用绝对路径时，更是如此。如果排除不到位，你面临的窘境可能就是蓝屏、死机。如果，你疯狂地使用一条大杀器规则”禁止在本机任何地方读写执行任何文件“来代替一大堆规则，那就是极度疯狂了，不作必要的排除，那你就只有头大的份了。
其它的一些衍生的、折中的方法，这里就不说了，有兴趣的自行探讨。
附带说下所谓的入口防御，实际上就是个程序管理问题+分区问题（安全程序与未知程序），主要针对两个方面：程序安装与程序运行。允许什么样的程序可以安装文件进入本机，这个最简单的处理方法就是个使用习惯，首先请尽量到官网下载，然后对下载下来的安装包执行病毒扫描（有条件的最好用沙盘或虚拟机跑下），最后就是把安全程序全部移到一个文件夹里（可以取名叫可信安装包或者干净安装程序），然后以该文件夹路径写条通配符路径放到相应的规则里进行排除，这样就可以顺利安装程序了，由于该路径已经确保可靠，也只有该路径被放行，所以能够安装进本机的程序是可靠的，其它位置的程序想安装进本机将会被相应的规则阻挡，这样处理后，再对安装好的程序给予排除以放行，就能做到一个基本的安全性很好而又易用的平衡了。为了堵上规则存在的漏洞，请自定义规则禁止任何程序修改存放可信安装包的文件夹里的文件，为了保证自己方便操作，只对麦咖啡主要进程和Explorer.exe给予排除（想要极致防御，可以在自己移动安装包到该目录以及双击安装包进行安装前，临时在该规则里添加Explorer.exe的排除，完事后立即删除，这样除了麦咖啡外，任何程序都不可以对该文件夹里的文件进行读写，可信安装包将会永远可信和干净）。这就是所谓的入口防御做得好的其中一个方法。这样弄，可信的程序该装还是装，病毒或者未知程序这些未被授权的程序将会无法安装。至于程序运行后所产生的一系列3D行为，可以按照上面说的信任区与非信任区分别对待的方式来过滤。于AD方面来说，只要保证驱动不被加载，一般是不会构成大的威胁的，如果驱动放行了，可能就够呛了。直接禁运是最干脆有效的方法，而关键点阻断也是极其有力的杀招，该怎么整，按自己的想法做吧。所谓入口防御，简单说就三句话：1、不让病毒文件被执行；2、不让病毒文件或有害程序安装进本机；3、万一病毒或有害程序被执行了，要在第一时间和关键点上进行阻截，将其危害降到最低。
顺便说点组合筛选的个人观点。假设，你要来个极致防御——禁止恶意程序修改windows目录里的任何文件，应该怎么做？如果直接写一条禁止所有进程*读写**\WINDOWS\**的规则，估计，添加排除进程要让很多人头大了，如果直接添加*\WINDOWS\**.exe和*\Program files\**\*.exe来排除行不行？在开启其它保护规则做堵漏的前提下，可以这样做。实际上还有个方法，就是HIPS常用的放行个别后阻止所有的“扎口袋法”，化到咖啡上来讲，就是先把那些无关紧要的正常行为给放行，再来个严厉的全局阻止，就牛叉了。具体点讲，就是先要把要放行的东东一条一条列出来，把要放行的程序添加进去排除，比如，正常程序对windows目录里的log文件的操作、一些程序所弄的ini文件、临时文件……这些东东用一条一条的规则加以排除后，再开启默认规则的的那条禁止向windows目录里创建新的可执行文件的规则，排除掉系统更新程序组以及开关机进程，最后再把禁止任何程序向windows目录里读写任何文件这条规则加上，这样组合起来实现筛选的目的，结果就能达到水泼不进的境地，如果再管好临时文件那一块，那就连“病毒尸体”都不会留下一个，应该是FD控制上的极致了。这种思想扩展用之，可以写成禁止任何程序读写C盘上的任何文件，乃至最高境界的禁止任何程序读写本机上的任何文件。玩到这种牛逼境地，算是FD的极致了。这里要注意的是，反对一来就直接写一条禁止任何程序读写本机上的任何文件以求所谓的极致，要玩这种极致防御，建议参考此处所言的层层筛选过滤的方法以打造系统严密而又合理的防御体系。有那个折腾心的话，注册表规则也可以同样的方法来个组合筛选到极致；如果再加上AD上的文件执行也组合筛选到极致，可以禁止任何程序执行本机上的任何程序（其实这一条在禁止任何程序读写windows目录下的任何文件那条里已经涉及，并且玩死了极大多数程序了，读都读不了系统文件，还想调用啥子系统进程，乃至于想加载系统自带的公用dll都是不可以，还玩个球！）。如果你玩到这地步，大概很多规则都可以丢掉了，神马样本都可以双击了吧，也不怕U盘带毒不带毒的了 【温馨提醒，组合筛选，请注意逻辑的严密性及合理性，譬如允许程序在windows目录里读写ini文件，请把system.ini排除在外，你可以允许自己安装的程序读它，但最好不要允许它们改写它……诸如此类，自己考虑周密】
组合上除了这种层层放行来个扎口袋的方法外，也可以反其道而行之，随时随地添加一条新的“封锁规则”加以阻挡，以破掉前面的放行。按上面的规则流程图可以知道，每添加一条规则都有效（除非你针对指定程序做规则，一旦包含的进程写*则意味着对所有程序有效），都是对前面规则的否定或补充，这就是麦氏规则层层覆盖的原理。善用此原理，你会发现咖啡规则是相当灵活与自由的。
相关问题：什么样的防御体系算是严密高效？可以从逆向或侧面思考的角度来帮助判断：如果一个程序连运行都运行不起来，还考虑什么文件操作及注册表操作问题？反过来也一样，如果根本就没有办法对目标位置改写文件，还考虑什么禁运及后续行为？前面已经被拿下了，后面再写一堆可能的问题之解决方案，通常是属于脱裤子放屁！如果你要追求双保险，理论上没错，但现实中一定会存在一些根本就用不上的冗余规则。合理搭配组合，做到简洁高效，才是最值得追求的目标吧。
安全性评估。一套规则费力弄出来，安全性究竟如何？不光要看你规则写到哪个严厉程度，还要看你的放行程度（看你添加的排除），最后综合起来看，存在的漏洞大小，才能对整体安全性作出正确的评估。即使漏洞极小，甚至无漏洞，即使整套规则逻辑严密，毫无破绽，也不代表你的安全防护就真到了金刚不坏的地步，就到了无敌的境界（无敌的说法通常只是一个带有理想化色彩的愿望），因为系统漏洞（特别是0day）和麦咖啡本身监控不到的地方，总是盲点和死穴，抛开这两个因素不谈，单就能够利用咖啡给我们提供的防护力而言，安全性评估主要是两个方面：一是拦截，二是放行。拦截就看你的规则。放行就看你的排除。如果你写了一套极其严厉的规则，要添加的排除都已排除干净，表面上达到了安全与易用的极致，而从较死劲的角度说，安全性还是要打点问号，因为从安全极致的角度说，六亲不认、统统拦截才是最安全的，一旦放行，就必然存有漏洞（哪怕只是可能），一旦被注入或利用，就是悲剧。从这个角度说，即使你用的只是安全性中等强度的默认规则，如果你做的排除较少（特别是像“在windows目录里创建新的可执行程序”这钟要命的规则），你最终取得的安全性实际上还是可以的，这样当然就涉及到易用性的问题，个人观点是，对于要命规则，最好是使用安装或者更新时临时禁用该规则的方法（前提是保证你的安装及更新程序的可靠，如求保险，请勾选报告）。延伸出的一个问题是，排除上，绝对路径与直接添加程序名，哪个更安全？理论上当然是前者安全性高一些，但后者也不是完全没保障，要知道咖啡的月神随时在发挥作用，每生成和读取一个文件都要扫描，除非是过了咖啡的扫描，否则即使在另外的位置生成同名文件，安全上还是可以保证，这就是默认规则的排除里很少使用绝对路径的一个原因。
以上所言，是给折腾党做参考的，作为一个新手，我建议你直接By pass，做你潇洒自在的淡定哥，玩好默认规则的中等强度防御就事毕功欣！

w99308702

写得好。柯林妹子我们可以做朋友吗

柯林

w99308702 发表于 2014-5-25 12:00
写得好。柯林妹子我们可以做朋友吗

我不是妹子，我司双子兄弟

Opera~

这不科学。。。早上没那么长的。。。。。这个写的比那啥默认规则详解好多了。话说柯林大神玩了多久咖啡？（还有装咖啡卡开机是常识么）

柯林

Opera~ 发表于 2014-5-25 20:15
这不科学。。。早上没那么长的。。。。。这个写的比那啥默认规则详解好多了。话说柯林大神玩了多久咖啡？（ ...

没多长时间，新手，这是新手之间的经验交流和探讨

再写一点结尾部分，收工睡觉，明天上班

猪头无双

我一直说，如果一个人能在默认规则全开的基础上做好排除，保证能上网，能打游戏，能聊QQ，能下小电影，那就很不错了。

勇者无敌

一直默认规则的飘过

欧阳宣

写得很详细，来支持一下。

462588842

柯大来咖啡区了 真好
请问一下 7.X的comodo加mcafee8.8不知道会不会出问题？？

柯林

462588842 发表于 2014-5-26 17:34
柯大来咖啡区了 真好
请问一下 7.X的comodo加mcafee8.8不知道会不会出问题？？

不知道  没试过  原理上有主防的不建议重复安装   即使冲突可以调和  也是功能重叠  浪费资源   个人真心不喜欢综合征   喜欢那句话——越简单越好