【想法】打造最强通用、安全、方便的8.5规则

深红的雪

注：这里提及到的“咖啡”均指McAfee8.5i企业版
咖啡其实是一款十分优秀的防毒软件，但无奈了解它的人不多，而能用好它的人就更少了。
咖啡的精髓是什么？当然是那些可以自定义的规则了。
但问题是，规则不是人人都会写的，至少需要熟悉咖啡的规则的语法并对系统有一定的了解，
而且如果要写出好的规则，还需要研究病毒的释放和各种行为，这实在是一道不低的门槛
当有人让我推荐一款杀毒软件时，我从来不敢提到咖啡，原因是——未接触过咖啡的人能用好咖啡的规
则么？即使会用规则，但能忍受规则所带来的不便么？不用规则的话，使用咖啡的意义是不是很寥寥呢
？
这么说来，菜鸟就不能用咖啡了么？？
当然不是，很多人就会去使用别人编写的规则。但这样问题就出现了，别人写的规则就一定适合自己么
？每个人使用的软件不同，需要在规则里排除的项目也不同，这个别人是无法代劳的。即使你懂得如何
去添加排除项，但一个一个地添加，安装了新软件又要再添加，这样是否已经把你的耐性消磨到了崩溃
的边缘呢？而且新手盲目地添加排除项，难保不会把恶意程序和病毒都添进去了，这样规则也就失去了
意义了。
这么说来，菜鸟就不能用咖啡了么？？
事实上，只要有符合以下条件的规则，那么即使是对电脑不熟悉的用户也能用好咖啡
1.高通用性。就是指不同的人使用，规则都无须进行改动即可工作
2.高方便性。在访问保护不关闭的情况下（规则打开），软件可以安装和运行，甚至是在打系统补丁时
，也不必关闭访问保护；见红率极低。
3.高安全性。规则打开的情况下（并关闭“按访问扫描”），直接运行病毒，系统无恙；直接上毒网，不
中毒。
乍看来，要同时满足这三项条件实在太苛刻了，几乎是“不可能完成的任务”。通用性还好说，只要采
取文件夹排除法就可以达到目标（用户仅需将程序安装在该文件夹下即可）。但问题在于其余两个条件
。众所周知安全性与方便性是负相关的，不过，如果我们采取特定的办法，还是可以兼顾到安全性与方
便性。

这里说一下实现原理
假设我们的目标是要保护A、B、C三个文件夹的文件，而且这三个文件夹之间可以相互访问。
为达此目标，我们建立下面的规则：

规则1：保护A文件夹
包含进程：*
排除进程：**\A\**,**\B\**,**\C\**
要阻止的文件或文件夹：**\A\**

规则2：保护B文件夹
包含进程：*
排除进程：**\A\**,**\B\**,**\C\**
要阻止的文件或文件夹：**\B\**
规则3：保护C文件夹

包含进程：*
排除进程：**\A\**,**\B\**,**\C\**
要阻止的文件或文件夹：**\C\**

大家都看明白了吧，一条规则保护一个文件夹，而且在排除项里添加自身文件夹和其余两个文件夹，这
样这三个文件夹就不受规则限制而可以互访，而外部的程序却不能访问，这样就达到了我们的目标。
然而这样还是不够的，毕竟我们作为用户是需要对这样文件夹进行操作的，为此，可以在每条规则中再
添加一个排除项（称之为入口），例如规则1改成：

包含进程：*
排除进程：**\A\**,**\B\**,**\C\**,**\Program Flies\**
要阻止的文件或文件夹：**\A\**

这里的“**\Program Flies\**”就是入口了，在Program Flies目录下程序就能访问A、B、C文件夹
最后，我们需要在入口处把关，
再建立规则：

规则4：保护Program Flies文件夹
包含进程：*
排除进程：**\Program Flies\**,explorer.exe
要阻止的文件或文件夹：**\Program Flies\**

排除项里，排除自身文件夹这个很容易理解吧。而那个explorer.exe就是Windows中用户的操作界面，这
里作为排除项（称之为接口），用户就可以通过explorer.exe管理入口处的程序，而其它程序不能访问
Program Flies。
最后再建立一规则保护接口不被其它程序所调用（使接口仅面向用户，而不面向病毒 ），这个规则
很简单，就不写出了。

总结一下，基本思路是：
保护目标文件夹——使目标文件夹可以互访——为目标文件夹添加入口——保护入口，添加对入口进行
操作的接口——保护接口，面向用户

理论上，按此原理来设置规则的话，就可以同时满足安全性和方便性了，而且由于采用文件夹排除法，
通用性要求也能满足，这样就一次实现了三个愿望！！！（美好幻想中）

说了这么多，首先感谢各位能看完。其实我的初衷是，让所有人都可以方便地使用Mcafee8.5，把大家从
无休止的规则排除中解放出来！！ 即使电脑菜鸟用上咖啡也免受病毒困扰，让互联网和谐一片又一片（继续妄
想中）..................

大家拍转吧

看完此文的各位，不妨移步到此帖。这是我对通用规则的一次尝试，欢迎大家测试。
http://bbs.kafan.cn/viewthread.php?tid=169638&extra=page%3D1

[ 本帖最后由 rappar 于 2007-12-18 12:24 编辑 ]

xqiafl

本人虽然用MCAFEE时间不长.  才二个月吧.

一开始, 也是不知如何设置.   但, 我记得, 一开始,我学习那个MCAFEE详细设置就学了几天.

其实现在也不是太清楚. 只是为了达到某种效果, 而不停的去测试规则, 发现规则无效果,

或者写错时, 再换个写法罢了.   一般, 文件夹, 不需要排除什么吧!   直接授权几个进程可以

访问就行. 其它的不要让它访问了.  

我的规则都是自己写的, 主要是根据病毒的特点来写.   从开始的几条. 到现在的90条.

慢慢加吧.    适合自己就行.     规则通用,基本上不大可能.   

例如:  如果禁止CM

MCAFEE 的自定义确实很强.   样本区的病毒, 基本上不可能过MCAFEE的规则的.

我现在基本上都不升级病毒库了.    就直接靠自定义来拦截.  

只要稍微玩过黑器的.  木马的. 那写规则就不难了.

比如:  我要禁止鸽子服务器访问本地分区.   怎么写?

很简单,   鸽子一般调用IE.   那么, 也就是,禁止IE 访问,  D ,E F 等盘.

这样,  即使中招, 也不要紧.

还有:  例如,防时间被改  禁止CMD  排除EXPLORER.EXE 进程,  这样,  别的禁止不能访问CMD. 那批处理就不能访问.

再禁止WSCRIPT, CSCRIPT.EXE  等等.    再禁止写入SYS文件,  三合一,  防时间被改的设置就完成了.

这些东西都太简单了,    我是在MCAFEEFANS 看到别人说,MCAFEE不能禁止修改时间.

而那个论坛的管理又太装B了,  非要用汉字, 还前面非要用什么什么的, 不用, 就不能发贴,浏览.

呵呵.  真是稀烂.      试问.  我几上几个简单的步骤, 是不是就可以拦时间修改的呢?  这是肯定的!

MCAFEE  自定义, 只有想不到的, 没有做不到的!

还有,  如何防止下载者, 下载病毒呢?

这个更简单了.   禁止调用IE 就行了.  这样, 根据自身情况排除一些要调用IE 的进程.  

其它的程序想要调用IE ,就会被拦截.  这样, 下载者,是不是就不能下载木马了呢?

答案是肯定的.   

例如:   还可以防止,打开DOC ,MDB  XML 等等文件时,  如果,这些文件带毒. 那么就会中马.

那可以打补丁来卸防, 也可以禁止winword.exe  msaccess.exe 等等程序运行EXE 文件.

这样, 假设,这个DOC 文件捆了木马了, 是问,  这个木马还会运行吗?  答案是否定的.

木马也运行不了了.  这样, 就相对更安全了!

[ 本帖最后由 xqiafl 于 2007-12-9 21:08 编辑 ]

深红的雪

十分感谢你的认真回复。

1.“一般, 文件夹, 不需要排除什么吧!   直接授权几个进程可以”
当然这样是可以的，但就不符合通用性的原则了。的确，规则很多人都会写，但可以肯定的是，不会写的人更多。而且逐个进程添加的这种排除方法有两个弊端：一是每次安装新软件都要再添加一次，烦；二是安装软件的时间还要把访问保护停止，还是烦。而用文件夹排除法有几个好处：一、安装新软件时不须停止保护，只要将软件安装到指定的目录即可；二、基本上可以一劳永逸，不用慢慢添加排除项，这个才是最大的优点。三、便于编写强规则，这个不展开说了

2.“我现在基本上都不升级病毒库了.    就直接靠自定义来拦截”
病毒库最好还是要升，毕竟在安装软件时还要确保该软件没有病毒，所以查毒还是要的。引用小邪邪的话，堡垒往往是在内部被攻破的。

3.“防时间被改/防止下载者, 下载病毒”
事实上，采用我所说的原理而建立的规则，这些功能都可以实现。因为通用规则的功能是多方面的，例如写两个规则，分别禁止未授权程序执行Windows目录下的exe、dll文件，并采用文件夹排除法，那么很多病毒就已经失去运行环境，更不用说改什么什么了。（这个就是所谓的强规则，一规则多功能，防护性高）

4.要实现规则通用性也不是不可以的，这点我上面已经说得比较清楚了。通用规则不可能做到面面俱到，但要达到高安全性的要求还是可以的。

事实上，具体的规则我已写好，剩下的问题就是测试了（已通过一些软件和系统补丁的安装测试、病毒运行测试，现只剩下毒网测试和一些细节的改进了），感觉前途一片光明。。。。。
只希望规则不要出现漏洞而前功尽废就好。

[ 本帖最后由 rappar 于 2007-12-9 22:13 编辑 ]

下一个永远

通用恐怕挺难的，毕竟每个人的使用习惯不同

深红的雪

大概大家还没有弄懂我的意思吧

通用是绝对可以实现的

例如我们约定，将软件都安装在“Program Files”目录下，将游戏安装在“游戏”目录下，软件的安装程序放在“安装程序”目录下，那么我们在设置规则时就可以通过排除Program Files、游戏、安装程序这三个目录来实现规则的通用了。不论你在这些目录下安装什么程序都不会被阻止，从而做到一劳永逸。即使用户安装的程序不同，只要安装在指定目录下即可。这样还不够通用么？
将软件安装在某个目录下，不是很简单的事吗？不是人人都会的事吗？不是费不了多少功夫的事吗？至少比起逐个规则逐个添加排除进程强多了

[ 本帖最后由 rappar 于 2007-12-10 00:35 编辑 ]

gilliam

原帖由 rappar 于 2007-12-10 00:29 发表
大概大家还没有弄懂我的意思吧

通用是绝对可以实现的

例如我们约定，将软件都安装在“Program Files”目录下，将游戏安装在“游戏”目录下，软件的安装程序放在“安装程序”目录下，那么我们在设置规则时就可以 ...

你的意思大家当然明白，但还不是要约定？跟邪版的规则要把TEMP跟IE临时文件夹移动出去一个意思，排除文件夹当然好浓，问题是很多人不看你的说明也不跟你约定，而且要考虑到用咖啡的很多书中国PC使用者根本对咖啡就一无所知，完全是跟风用，所以要大量见红的，所以还是不符合通用这个词的意思。
咖啡这个东西就像DIY机器一样，自己去DIY跟拿着单子去买是不一样的，会了自己制定规则跟拿现成的规则感觉是不一样的，自己制定是对于自己电脑一个了解的过程，用现成的是一般没问题了，可是电脑使用环境不一样，谁能保证万无一失？

[ 本帖最后由 gilliam 于 2007-12-10 01:14 编辑 ]

gxd

邪版综合性防护规则包
大部分的规则是排除
**\Program Files\**, **\PROGRA~1\**, **\windows\**
这些文件夹的

深红的雪

“跟邪版的规则要把TEMP跟IE临时文件夹移动出去一个意思”
注意我仅仅是要求指定安装目录，并不需要“把TEMP跟IE临时文件夹移动出去”。或者你认为这样没有区别，但“把TEMP跟IE临时文件夹移动出去”不是人人都会做，但“指定安装目录”却是人人都会，而且一听就会，不需要教程。

还是就是，请看清楚我说讨论的主题，“让那些不了解咖啡规则的人都能用上安全又方便的规则”，这才是我写此贴的目的。

无可否认，DIY规则对自己了解系统和咖啡都很有好处，但这个不是所有人都愿意去做的。他们只会用电脑，而不是研究电脑。
“咖啡这个东西就像DIY机器一样，自己去DIY跟拿着单子去买是不一样的”——这个是不错啦，但如果你DIY出来的配置很垃圾或者你根本就对硬件一窍不通呢？？这时候你是不是会想得到一份最能适合自己配置单？？

深红的雪

邪版综合性防护规则包我也研究过，
事实上，仅仅排除
**\Program Files\**, **\PROGRA~1\**, **\windows\**
这些文件夹还是无法达到"在不关访问保护”的情况下安装软件的，甚至一些软件的正常运行都无法保证，更不用说安装系统补丁

排除**\Program Files\**, **\PROGRA~1\**, **\windows\**只能减少用户添加排除项的次数和减低见红率，方便性还有待提高。

gxd

“把TEMP跟IE临时文件夹移动出去”，有它的好处
这是一种思路：对C盘进行严密的保护，把属于不稳定因素的临时文件夹放到其它盘
因为不是每一条C盘的规则都有必要排除临时文件夹的
而把临时文件夹放到其它盘实际上就是能够逃避那些只对C盘制定的规则
如果把临时文件加放在C盘，要么就可能需要降低规则的安全性做多余的排除，要么就限制了临时文件夹的方便使用
毕竟C盘需要更高的防护，而临时文件夹本身是藏污纳垢的地方，多排除一次就增加一次隐患

邪版在规则说明里详细教了怎么做移出，如果这么简单的一步都不愿意学
那么咖啡企业办这种DIY自由度非常高的软件是不是用着有些浪费了

[ 本帖最后由 gxd 于 2007-12-10 08:24 编辑 ]