查看: 137935|回复: 4
收起左侧

[资讯] 咖啡区_企业资源综合

   关闭 [复制链接]
storyhare 该用户已被删除
发表于 2011-9-27 21:30:41 | 显示全部楼层 |阅读模式
本帖最后由 storyhare 于 2012-10-23 17:56 编辑

                                            欢迎~您来到咖啡区

        



                                                    一楼——版区条例


                                                    二楼——资源大纲


                                                    三楼——学习资源


                                                    四楼——规则语法


                                                    五楼——使用疑难(1、安装提示;2、规则导入/出;3、排除添加;4、排除常见问题:1>清空日志、2>右键扫描『月神』灵敏度调节、3>特定排除相关、4>非补丁版本规则,导入补丁版本时注意)





storyhare 该用户已被删除
 楼主| 发表于 2011-9-29 21:59:03 | 显示全部楼层

资源大纲

本帖最后由 storyhare 于 2012-12-13 12:53 编辑

1、咖啡资源

   咖啡的味道  点击

   企业版历史  点击

   McAfee 8.8 User Product Guide  点击  (中文版:点击

   Access Protection Rules(官方规则白皮书)  点击


   下载资源

   VSE(VirusScan Enterprise)

    8.8:集成P2   P2    Hotfix-793781
           集成P1   P1   Hotfix 735512
           原版   Hotfix-660014   Hotfix-625756

    8.7: P5集成

   Agent    4.6-p2    4.6-p1   4.6   4.5P3

   HIP(Host Intrusion Prevention)

    8.0:集成P2   P2
           集成P1   P1
           原版
    7.0: EN   简体


   相关工具

    MVT  点击   Remove Tool  点击   Stinger  点击   GetSusp  点击


   相关资源

    DAT(毒库离线下载)  点击   DAT Release Notes(病毒库的更新信息)  点击

    Beta .DAT(拥有更高的查杀)  点击


##注意:以上资源仅供学习交流使用,不得以任何形式传播/用于商业目的,请于下载后24小时内删除!



2、规则下载资源


  I、曾今的经典     邪版-通用加强规则经典版  点击

  II、规则始伊       墨池-和我一起品咖啡  点击

  III、最后的规则   ???

  IV、其他

      熊猫-McAfee企业版8.8规则    点击

      墨池-卧龙规则   点击
      墨池-咖啡豆搭配技巧与规则设置  点击
      墨池-咖啡+毛豆规则  点击
      墨池-(伪)封笔规则  点击
      墨池-通用规则  点击
      墨池-加强规则  点击

      jxfaiu-Mcafee8.8XP系统规则精巧控制版的编写历程  点击

      叶知-叶版规则系列(历史


   V、过往规则

      深红的雪- 咖啡防入口通用型规则  点击
      深红的雪-咖啡8.5防病毒规则  点击
      邪版-mcafee8.5i基础版规则  点击



3、HIP—McAfee Host Intrusion Prevention 相关资源

   被忽视的防护王者  点击

   安装须知和使用初步  点击

   8.0 最新默认防护规则解析  点击

   8.0 设置工具  点击

   7.0 设置工具  点击



4、其他资源

  规则编辑查看器  点击


(附,其他问题,参看:常见问题解答  点击
storyhare 该用户已被删除
 楼主| 发表于 2011-10-10 20:39:10 | 显示全部楼层

学习资源

本帖最后由 storyhare 于 2012-12-13 12:49 编辑

零、规则编辑教程

《访问保护规则原理》

《访问保护规则语法》



一、基础学习资源


  I、规则语法  点击

  II、默认规则详解  点击



二、高级学习教程


  I、规则高阶教程

     第一期:开篇语  第二期:规则大纲  第三期:组件大纲  第四期:编辑大纲   第五期:引理大纲   第六期:规则杂刊


  II、规则编辑相关

    1、咖啡规则设置技巧  点击

    2、分期防护、权组分明-进阶教程  点击

    3、权限规则与Win7纯净系统排除  点击



三、借鉴资料

    1、叶知-咖啡企业文献合辑  点击

    2、墨池文献  点击





规则实验报告


  一、规则语法报告

     I、规则语法-实验报告(内容: “**” 与 “**\B\**” 的对比) 点击

     II、8.8端口规则语法实验报告(内容:端口语法)  点击

     III、排除的路径语法-实验报告(内容:排除路径中使用 “*”对路径的影响)  点击

     IV、McAfee企业规则,注册表语法报告:点击

     V、规则语法实验报告~文件操作语法:点击

     VI、规则语法-文件操作补记:读取、执行:   点击


  二、规则病毒实验报告

     I、规则_病毒双击测试(内容:病毒双击测试)  点击

     II、病毒试样分析——纠结的咖啡(内容:病毒双击测试,反映规则的弊端)  点击

     II、一个实验引发的问题(内容:病毒双击测试,反映规则的强力)  点击


  三、其他

     I、“读写权限”与“读写保护”两类规则防护效果(内容:如题)  点击

     II、咖啡与毛豆-文件拦截速度实验(内容:如题)  点击

     III、文件规则与进程规则的比较和应用(内容:如题)  点击

     IV、咖啡规则与杀毒实验报告(内容:咖啡-规则组件对杀毒组件的影响)  点击

     V、【咖啡杀毒与规则实验报告】(第二期)(内容:杀毒模块对规则的影响及其自身)   点击
storyhare 该用户已被删除
 楼主| 发表于 2011-10-10 20:41:57 | 显示全部楼层

规则语法

本帖最后由 storyhare 于 2012-9-8 12:27 编辑

一、部分规则语法

I、要包含的进程语法:

1、*\WINDOWS\**,C:\Windows\**有效

2、文件名有效,路径有效


II、要排除的进程语法:

1、**\jdsfug等同于**

2、类似『C:\Windows\SERVIC~2\NETWOR~1\AppData\Local\Temp\mpam-eefc34b1.exe』的日志触犯进程路径,排除需用完整的路径:C:\Windows\ServiceProfiles\NetworkService\AppData\Local\Temp\mpam-eefc34b1.exe


III、要阻止的文件或文件夹名语法:

1、(根目录C:\为第一层)
\b.exe 第一层
\*\*\b.exe  第三层的“b.exe”文件
b.exe  为第一层及以后
C:\A\B\* 仅文件夹B内根目录下的文件(不包含文件夹)

2、路径前不能为“*”


IV、其他

1、McAfee 8.8端口规则

          1、通配符路径排除会导致规则失效;
          2、绝对路径排除无效;
          3、只有单程序进程排除有效。
          4、包含的进程改为*时,System依然不能排除的BUG依然如故,故依然只能以*.*作为权宜之计

2、通配符

    *:表示所有进程。

    **:表示所有进程。

    *.*:表示所有带后缀的进程(解决Sestem进程无法排出的问题)。

  说明:经实践,以上语法在8.7i中同样有效。

3、程序路径

    文件名路径:svchost.exe
   
    完整路径:C:\Windows\system32\svchost.exe

    相对路径:*\Windows\system32\svchost.exe
                   C:\Windows\*\svchost.exe
                   C:\Windows\**\svchost.exe
                   C:\**\svchost.exe
                   *\**\system32\svchost.exe


V、其他语法

1、文件规则,详细语法

2、注册表规则,详细语法

##参看,【上一楼】的“一、规则语法报告”


二、BUG

I、8.7-P5 含有的BUG:

1、要阻止的文件或文件夹名,中,不能含有『*\sdgsg\**』与『*\dfgfas\sddfa.exe』的路径

即:路径的头不能仅为“*” (可以为“**”或单独为“*”)

或,以下规则无效

规则名称:0
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:*\Windows\**
要禁止的文件操作:读取 创建 写入 删除 执行


2、多个文件层含有单个“*”的路径,排除无效(该部分,不全面;更详细内容:点击

——即:类似“C:\Users\story\Desktop\*aetef\*sagrga\kill.exe”的排除无效

3、端口规则的路径排除,无效

——即:类似“C:\Program Files\Internet Explorer\iexplore.exe”的排除无效

---

II、8.8-P2已解决8.8的BUG

1、?:\hh\*,无效

---

III、8.8-P1已解决8.8的BUG

1、文件规则,无法使用“System”

2、支持在“要包含的进程”添加具体路径(如:C:\Users\story\Desktop\**;而这8.8不支持~)

---

IV、其他

1、共同BUG

——多个文件层含有单个“*”的路径,排除无效;即:类似“C:\Users\story\Desktop\*aetef\*sagrga\kill.exe”的排除无效

2、那个防止注入的规则,不能拦截ZeroAccess病毒攻击

3、端口规则,支持模糊路径排除:如“*\Program Files\Internet Explorer\iexplore.exe”(所有版本,支持)


storyhare 该用户已被删除
 楼主| 发表于 2011-10-10 21:17:08 | 显示全部楼层

使用方案

本帖最后由 storyhare 于 2012-4-7 18:02 编辑

I、如何使用咖啡企业

  1、下载安装包

  2、双击解压后的setupvse.exe ,并按照相关提示操作



II、导入/出规则

  1、下载版区相应的规则包(注意系统版本和咖啡企业版本)

  2、关闭“访问保护”
  

  



  3、双击注册表规则

  4、导出规则

      运行——regedit——BehaviourBlocking——导出。微软不同操作系统BehaviourBlocking的位置:

         XP及更高版本32位:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
         64位:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]




III、添加排除

  1、打开日志
  
  

  2、在日志中找到相应信息
  

  3、添加排除
  
  

   注意:两个进程间,用『,』隔开(是英文输入状态下的“,”)




排除常见问题

一、所有日志中拦截排除后,仍不能正常运行

    1、清空日志
  
  
  
  

    2、多次重复运行,直到日志出现相关拦截

    3、排除

    4、如果问题任不能解决,参看所有规则,是否都划上了日子“报告”,而后重复以上步骤
  

    5、如果,仍不行,关闭访问保护,而后运行软件(等10秒),确认是否正常



二、右键扫描『月神』灵敏度调节

  




三、特定排除相关


1、『防病毒最大保护:禁止 Svchost 执行非 Windows 可执行文件』的排除问题

    因为该规则是用于阻止加载非Windows文件夹外的文件,即保证系统主进程Svchost 不会发生“被越权”行为‘

   建议:如果开启该规则,不添加任何排除,且无视任何拦截日志,当然可以取消日志报告; 如果,关闭该规则,那就彻底无视吧


2、非补丁版本规则,导入补丁版本时注意

——在

XP及更高版本32位:[HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]
         64位:[HKEY_LOCAL_MACHINE\SOFTWARE\Wow6432Node\McAfee\SystemCore\VSCore\On Access Scanner\BehaviourBlocking]

中的“ProductID”,将“VIRUSCAN8800”,改为“VIRUSCAN8800_SANITIZE”

您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 18:39 , Processed in 0.114349 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表