查看: 2906|回复: 17
收起左侧

[求助] 刚接触咖啡没几天,求各位大大帮忙看下我的规则有没有问题。

[复制链接]
小朱朱onlyAI
发表于 2013-10-27 08:51:40 | 显示全部楼层 |阅读模式
默认的就不上了,基本删了差不多,排除的差不多了。
下面是自定义的
F01-保护IE
F02-保护 Windows根目录
F03-禁止修改AppData下的可执行文件
F04-win8 app保护
F05- DLL 禁止恶意注入
F06- IE缓存禁止执行
F07-监视全盘驱动写入(仅记录)
F08-防止未授权程序调用Rundll32

P01- 禁止3389
P02-端口出站控制

R01-U盘保护
R02-远程 文件保护
R03-远程 注册表保护 值
R04-远程 注册表保护 项
R05-禁止非信任程序运行

规则都顾名思义,就不再详细列出。差了点什么? 哪边有重复,望赐教。

另咖啡的规则是建立在禁止的基础上的,就像一根根线织起来的网。要是可以像毛豆那样,有权限高低就好了,做好排除就可以来个全局,那就安全了。 不知道咖啡两个相同作用的规则出现的时候是怎么处理的。

还有想不通为什么墨池都推荐咖啡豆和金山。首先咖啡和毛豆都是手动的东西,两个手动,盲区叠盲区的概率是很大的,如果能防住,那么一个也可以。手动hips都是基于单步的,这时候最需要的应该是智能多步主防,最适合的应该是微点。其次是360云主防,而且360就云查杀配合自保也是很强的。当然,前提是兼容。
晒个占用图,虽然不能说明什么,但是实际体验,咖啡是我用过最流畅的,和裸奔一样。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qpzmggg999
发表于 2013-10-27 12:35:58 | 显示全部楼层
最好把排除项 包含项都打上来
小朱朱onlyAI
 楼主| 发表于 2013-10-27 13:49:28 | 显示全部楼层
qpzmggg999 发表于 2013-10-27 12:35
最好把排除项 包含项都打上来

F01-保护IE
包含 *
排除 C:\Program Files\Internet Explorer\*.exe, C:\Program Files\Windows Media Player\wmpnetwk.exe, C:\Windows\Explorer.exe, C:\Windows\system32\**, D:\Program files\360Chrome\Chrome\Application\360chrome.exe
阻止 C:\Program Files\Internet Explorer\iexplore.exe
操作 ALL

F02-保护 Windows根目录
包含 *
排除 *\**\McAfee\**, *\**\Microsoft Shared\**, *\**\WINDOWS\**, C:\Program Files\Baidu\BaiduPinyin\**, C:\Program Files\Sandboxie\SbieSvc.exe, C:\Program Files\Windows Defender\mpcmdrun.exe, D:\Program Files\Oracle\VirtualBox\**, McScanCheck.exe, System
阻止 C:\Windows\**
动作 写,建,删

F03-禁止修改AppData下的可执行文件
包含 *
排除 360chrome.exe, iexplore.exe, ThunderMini.exe
阻止 **\AppData\**\*.exe
动作 写,建,删

F04-app保护
包含 *
排除 C:\Program Files\WindowsApps\**, C:\WINDOWS\**
阻止 C:\Program Files\WindowsApps\**
动作 写,建,删

F05- DLL 禁止恶意执行
包含 *
排除 *\**\goagent*\**, *\**\Program Files\**, *\**\WINDOWS\**, clt.exe, D:\software\**, setup.exe, ThunderMini.exe
阻止 *.dll
动作 执行

F052-DLL 禁止恶意写入
包含 *
排除 C:\Program Files\Common Files\McAfee\**, C:\Program Files\McAfee\**, D:\Program files\360Chrome\Chrome\Application\360chrome.exe, mscorsvw.exe, svchost.exe, TrustedInstaller.exe
阻止 *.dll
动作 写,建

F06-ProgramData
包含 *
排除 *\**\Program Files\**, *\**\WINDOWS\**
阻止 C:\ProgramData\**
动作 写

F08-监视全盘驱动写入{{只做记录不拦截}}
包含 *
排除 C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\System32\svchost.exe
阻止 **\*.sys
动作 写,建,删

F09-防止未授权程序调用Rundll32
包含 *
排除 C:\Program Files\McAfee\**\*.exe, C:\Windows\**
阻止 **\rundll32.exe
动作 读,执行

F10-可执行文件EXE,创建、写入控制
包含 *
排除 C:\Program Files\Common Files**, C:\Program Files\McAfee**, mscorsvw.exe, svchost.exe, TrustedInstaller.exe
阻止 *.exe
动作 写,建

P01-3389
包含 *
排除 C:\WINDOWS\**
端口 3389~3389
出入

P02-出站控制
包含 *
排除 *\**\goagent\**, *\**\Program Files\**, *\**\WINDOWS\**, nfs*.exe, proxy.exe
端口 0~65535


R01-U盘保护
包含 *
排除 C:\Program Files\**, C:\Windows\**, D:\Program Files\**
HCKU/Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**

ALL

R02-远程 文件保护
包含 system:remote
排除
阻止 **
小朱朱onlyAI
 楼主| 发表于 2013-10-27 13:56:22 | 显示全部楼层
本帖最后由 小朱朱onlyAI 于 2013-10-27 14:03 编辑
qpzmggg999 发表于 2013-10-27 12:35
最好把排除项 包含项都打上来


接楼上
ALL

R03-远程 注册表保护 值
包含 system:remote
排除
HKALL/**

ALL

R04-远程 注册表保护 项
包含 system:remote
排除
HKALL/**

ALL

R05-全局限制非信任程序运行
包含 *
排除 C:\Program Files\**\*.exe, C:\Users\**\AppData\**\*.exe, C:\Users\**\AppData\Local\Temp\**\*.*, C:\Windows\**\*.exe, C:\Windows\Installer\MSI*.tmp, C:\Windows\TEMP\**\*.*, D:\goagent\local\python27.exe, D:\Program Files\**\*.exe, D:\Program files\360Chrome\Chrome\Application\360chrome.exe, D:\software\**,  Install.exe, mrtstub.exe, setu*.exe, SYSTEM
HKALL/**

ALL

就这么多,稍有改动,去掉了F06禁止IE缓存执行,把F05改了下。另外额外加了个EXE限制。
干净远程文件限制和自带规则有重复?
大大帮忙看下有什么要加的,有什么要删的。
顺便问下咖啡是与逻辑还是或逻辑?
shiyuelaohu
发表于 2013-10-27 14:30:00 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2013-10-27 14:37 编辑

      咖啡的默认规则本身就已经很强大了,覆盖面已经很大了。个人感觉,规则并非一定要面面俱到,规则太多必然会导致排除量增大,在实际中的防毒效果未必会很好。我现在也只是在默认规则的基础上增加了一些U盘病毒防护之类的排出量比较少的规则。乃可以参考本版块的规则,都是非常立体的。
     至于为什么不搭配微点和数字卫士,原因应该是用这种搭配的人很少吧,不清楚是否能够兼容,以前有人搭配过数字卫士,不知道是否现在还兼容。毛豆现在有很多白名单,可以当作智能主防来使用,我觉得甚至可以关闭hips,只开BB也就够用了。
     至于咖啡豆组合,之所以这样搭配,我想楼主也应该注意到了,毛豆的AD很细腻,FD非常难用,读写不分,稍微弱一些,而咖啡的FD很完善,两者可以互补。另外,咖啡规则适合宏观调控,毛豆规则适合微观控制。毛豆一旦设置了不合理的全局规则,有可能会导致蓝屏,甚至会导致无法开机,我遇到这种情况,当然可能是个人水平有限。所以,咖啡和毛豆简直就是绝配。
     搭配卫士的原因,我觉得应该是要充分利用云,国产云对付国内的各种恶意软件是相当给力的。一段时间之前闹得沸沸扬扬的白加黑,靠hips防御这个简直就是不可能的。而国产云可以轻而易举的检测到黑dll。如果搭配卫士的话,平时不需要开启,只在下载一些来历不明的软件的时候开启就行了。
     咖啡的优先级比较隐晦,墨大说规则应该是从头读到尾,只要有一条规则阻止那么进程就不能运行,所有进程一律平等。而不像毛豆那样有明确的优先级。

评分

参与人数 1经验 +5 收起 理由
心跳回忆 + 5 感谢解答: )

查看全部评分

qpzmggg999
发表于 2013-10-27 14:49:50 | 显示全部楼层
小朱朱onlyAI 发表于 2013-10-27 13:49
F01-保护IE
包含 *
排除 C:\Program Files\Internet Explorer\*.exe, C:\Program Files\Windows Media  ...

1.你系统的默认浏览器要是不是ie 建议你在加一条保护默认浏览器的规则

2 f05 2条可和一条 控制精确也没啥用。。。

3 R05 基本在实际上没有用

ps 我是小白

评分

参与人数 1经验 +5 收起 理由
心跳回忆 + 5 感谢解答: )

查看全部评分

小朱朱onlyAI
 楼主| 发表于 2013-10-27 15:42:55 | 显示全部楼层
本帖最后由 小朱朱onlyAI 于 2013-10-27 15:44 编辑
shiyuelaohu 发表于 2013-10-27 14:30
咖啡的默认规则本身就已经很强大了,覆盖面已经很大了。个人感觉,规则并非一定要面面俱到,规则太多 ...


感谢解答,加深理解了点。
觉得你说的很有道理,我在把默认规则排除完后,看版区的几个规则,然后自己从FD到RD写的时候发现有很多隐约重复的地方。再加上端口大大们说不太有用,你说的应该比较恰当了。
然后我试着在规则外运行过东西,应该是或关系,只要有一个能触发就拦住了,关键是看先触发什么。
另,我是绝对单奔的。电脑嘛,流畅好用是前提,别的都是第二位的。而且兼容这种东西太不好说。实在用不习惯再考虑全智能的诺顿或者用以前习惯的吧。THKS。
小朱朱onlyAI
 楼主| 发表于 2013-10-27 15:49:38 | 显示全部楼层
qpzmggg999 发表于 2013-10-27 14:49
1.你系统的默认浏览器要是不是ie 建议你在加一条保护默认浏览器的规则

2 f05 2条可和一条 控制精确也没 ...

可能我的全局观念以及阶梯权限的想法有点先入为主了。
二是写的时候,用的时候发现,几个装软件的{program files}文件夹要是出了问题,或者说要是内部有问题,就很容易放掉,或者说留下机会。
PS,我纯小白,而且一个软件,要用到一定的时间才会有比较深刻的理解,显然我还早着呢
ccsfuture
发表于 2013-10-27 18:45:34 | 显示全部楼层
一次就弄这么复杂的规则真不容易,单奔其实就挺好。
小朱朱onlyAI
 楼主| 发表于 2013-10-27 18:48:31 | 显示全部楼层
ccsfuture 发表于 2013-10-27 18:45
一次就弄这么复杂的规则真不容易,单奔其实就挺好。

其实也不难,就是先看FD,看大家的文字规则,然后删减增加。RD和PD就那么点。
单奔是肯定的,老电脑了,我也不喜欢装很多。要不是用win8,我用md了
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 10:02 , Processed in 0.130049 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表