3Q咖啡区巡演，2L给出了思路规则，还请各位不吝赐教！···

qqq123123

常驻网络 发表于 2011-11-16 23:15
在你接触咖啡之前应该做好如何驾驭咖啡的准备了,不能用毛豆或MD的思路强加于咖啡.

像需要用户编辑规则的类HIPS，本意都是限制未知，而不是已知程序！···

常驻网络

qqq123123 发表于 2011-11-16 23:18
像需要用户编辑规则的类HIPS，本意都是限制未知，而不是已知程序！···

我觉得你应该一边搞规则一边试毒,其他全关闭,建一条试一条 好像有人说过在咖啡眼里什么毒啊什么的都是程序.与毒一起生活而不感染.

qqq123123

常驻网络 发表于 2011-11-16 23:21
我觉得你应该一边搞规则一边试毒,其他全关闭,建一条试一条

哪有那闲工夫啊，还要上班啊！···闲暇之余随便搞搞规则呗，业余选手也不是什么专业的技术人员···

chen月

qqq123123 发表于 2011-11-16 10:18
咖啡还是灰常不错的···

小白用了会中毒  自定义成分太多了  

chen月

qqq123123 发表于 2011-11-16 10:18
咖啡还是灰常不错的···

小白用了会中毒  自定义成分太多了  

xiaotongxie

学习了，

墨池

qqq123123 发表于 2011-11-16 18:24
有神马方法能让自定义规则同类的靠在一起？怎么感觉近乎同名的两个规则离的那么远？点上面的条条 ...

没有办法，默认如此。不知修改注册表文件是否可以，我不会。

墨池

chen月 发表于 2011-11-16 23:50
小白用了会中毒  自定义成分太多了

此“中毒”非彼“中毒”，有意思！

qqq123123

墨池 发表于 2011-11-17 07:59
没有办法，默认如此。不知修改注册表文件是否可以，我不会。

要将咖啡发挥到极致，只能从入口进行防御！否则，牺牲的就是易用性和安全性，一旦某些木马成功运行后果不堪设想！另外，防御是否全面也会影响规则执行效率，也就是就算是可执行程序和资料防护了，其他没防护的就遭殃了！···总感觉咖啡的思路是：封入口，限制已知程序，而不是未知程序！

墨池

qqq123123 发表于 2011-11-17 08:10
要将咖啡发挥到极致，只能从入口进行防御！否则，牺牲的就是易用性和安全性，一旦某些木马成功运行 ...

        咖啡的确是从文件、注册表、端口三方外围进行保护，限制行为能力有限。从这个角度说，只能防入口，所以只要有规则，就会限制到已知程序，导致排除麻烦。至于未知，理想状态这样可以做到：

规则名称：阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程：*
要排除的进程：绝对路径排除或C:\Program Files*\**, C:\Windows\**
要阻止的文件或文件夹名：**
要禁止的文件：读取 写入 执行 创建 删除

规则名称：禁止非信任区程序访问注册表_项
要包含的进程：*
要排除的进程：绝对路径排除或C:\Program Files*\**, C:\Windows\**
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

规则名称：禁止非信任区程序访问注册表_值
要包含的进程：*
要排除的进程：绝对路径排除或C:\Program Files*\**, C:\Windows\**
要保护的注册表项目或注册表值：HKALL  /**
要保护的注册表项或注册表值：项
要阻止的注册表：写入 创建 删除

但是，咖啡本身对某些病毒的路径和文件类型检测有误，又缺乏对绕过文件操作的磁盘底层防御，所以起不到100%防御未知的作用。防住绝大多数还是可以的。

利用端口防木马也是：

规则名称：禁止未知程序访问端口
要包含的进程：*.*
要排除的进程：dwwin.exe, explorer.exe, FrameworkService.exe, iexplore.exe, McScript_InUse.exe, mcshield.exe, svchost.exe
要阻止的端口：1-65535
方向：入站 出站（可以分开控制）

如果咖啡被骗，效果也会打折。也是能防住绝大多数。

        以上是这些年的常规思路，供参考。期待你带来新概念！