咖啡豆绝配：墨池McAfee8.8 P2返璞规则（附墨池COMODO 5X通用规则）

墨池

qpzmggg999 发表于 2012-11-8 23:03
我还是用默认+自己写点吧   万一不支持还麻烦了--

最好是这样。设好规则，先报告不阻挡，排除好了在阻挡，保险。新系统不敢造次！

shiyuelaohu 发表于 2012-11-8 23:01
单单凭借dll的文件名似乎也很难判断是黑还是白，人为因素是最为关键的，也是最难把握的。

呃，的确如此；

1、如果，在安装时，未发作（即无明显可疑行为）；便无法分辨

2、如果安装，便有可疑行为；呃，监听规则，只有一个作用：发现病毒，至于处理...........

--

继“1”，无明显动作：

1、安装完成，而后开启全部规则——即使运行，便也不会造成很严重的破坏

2、错过安装期间，那么白加黑，便错过了“发作的最好”时刻！

--

呃，上面的话，都没有解决一个问题：发现“白加黑”，怎么办？？   格式化，重装系统吧.......

所以，我的提案，只有2个用处：

1、发挥，规则最大的“效果”（即使关闭了绝大部分规则；仅使用监听规则）

2、发现病毒。

---

而，关于风险，最好的办法：

1、尽量不安装软件（这个，有点困难）

2、继续开发规则（我很早之前，便为此很是努力过；也获得了不错的成绩，完整而有效的安装规则）；规则，其实远没有结束，只是我们似乎认为，咖啡的规则，已经成熟了...........（我在我的规则开发日志中，有写到“某个爆发时期”，几乎没几天便是一个规则版本，而且是全新框架的那种；之后，我停了下来，并非无处可开发；而是自己“累了”.......）

墨池 发表于 2012-11-8 23:00
版主这手高，学不来呀！

这个，其实有点“掩耳盗铃”的感觉，只能够防御关键位置（使用安装规则），和发现病毒（监听规则）；而一旦发现了病毒.........那已是我们看见日志之前的事了（已感染计算机）

更好的办法；是更加详细地了解并限制【系统】！

1、在安装期间，封锁所有可能的高危操作（服务，自启动等）

2、很关键的一点，精确控制对系统的调用（当然，仅静态可执行文件的执行调用；但这也很有意义；但这很难，因为很多东西，对于系统我们都未知，也不能来个全局封锁，因为要安装软件）

3、继“2”，对于【执行】和【读取】，我们都还知之甚少！（我们如何使用这2个操作，更加细腻地控制系统？）

shiyuelaohu

storyhare 发表于 2012-11-8 23:16
呃，的确如此；

1、如果，在安装时，未发作（即无明显可疑行为）；便无法分辨

有一个想法，用咖啡配合sandboxie或者是虚拟机，不妨多加2个监听规则，保护windows文件夹和注册表的监听规则，事后可以分析病毒行为。

shiyuelaohu 发表于 2012-11-8 23:27
有一个想法，用咖啡配合sandboxie或者是虚拟机，不妨多加2个监听规则，保护windows文件夹和注册表的监听规 ...

累人！

这样做，很多人情愿直接中毒，得了...........（夸大的说法）

---

安装软件时，我们并没有那么的心情去考虑这些事情，能够稍微地调整一下规则；便也是天大的进步了....虚拟机什么，那都是真正的浮云，我们没有那么多的精力和时间，去搞（除了，某个时段；对虚拟机正火热中）

-

呃.......另沙盘不保险。

-

当然，这些问题，其实都还只是【假象敌人】，用咖啡规则的，他中过病毒（即使是安装软件）么？  目前还没有此类的报告～～

所以，这个问题；一直是困扰这咖啡版区的第一大难题（至少5年了），如何解决？   完善并更加有力地，开发“安装规则”（这个规则，可是我的开山之作啊.......）

当然，搭配其他的东西，也是一条很好的捷径；但无疑，对于用咖啡的我们，无敌而万能的咖啡规则，更加符合我们的胃口。

墨池

storyhare 发表于 2012-11-8 23:24
这个，其实有点“掩耳盗铃”的感觉，只能够防御关键位置（使用安装规则），和发现病毒（监听规则）；而一 ...

安装软件应该是HIPS的软肋之一吧！
最好还是从软件源头上小心控制！
ghost系统，破解或修改软件，尽量少用甚至不用应该问题不大。自己做的除外！
好像自己不找样本玩儿，习惯好的话，日常应用碰上咖啡和毛豆防不了的病毒的概率几乎为零。
所以，不用草木皆兵！

DDT12345678

感谢分享   这个很喜欢   支持墨大

462588842

哈哈 ，更新了

kevinsf21

又有新规则了啊..赞。

w99308702

墨池 发表于 2012-11-8 22:29
我的个神，不应该吧，哪位32位Win7用咖啡的说说？我有两年没用32位Win7了！
你确定没有？“通用标准保护 ...

我确定，我自己就是32位win7的8.8P2，你这两年都用什么啊？xp吗？