咖啡防入口通用型规则包【7月19更新】

深红的雪

本文和防入口规则包首发于卡饭论坛，转载请注明


重要：请大家在使用本规则前，首先看一次本文最后部分的说明

本规则包仅适用于McAfee企业版8.5i。

标题中的所谓“入口”即指病毒进入计算机的途径，就个人上网用户而言，这种途径主要有两种：一是挂马网页、二是可移动设备。本规则正是基于这两方面的防御而设的，适用于绝大部分上网用户，但不考虑服务器环境，因此服务器慎用。


写此规则包的目的：
1.给刚接触咖啡不久、还不太会写规则的新手提供一个可行的防护方案
2.给有一定基础、坚持用自己写的规则的人作为参考之用
3.抛砖引玉，促进交流



前言：
兵法云：＂无所不寡，则无所不备"．其实规则也是如此，若处处设防，反而处处薄弱，漏洞一堆，而且还严重妨碍正常的使用。研究过咖啡默认规则后就会发现，默认规则正是突出了重点防御这个思想，而且很注重通用性。这是我在写此规则包时受到的启发。防入口规则包，顾名思义，就是专注于防范外来的危险程序的。

现在大部分电脑用户中毒的原因无非两个，一个为打开U盘时中毒，一个为浏览毒网而中毒。因此针对这些情况设立规则是很必要的。
或者有人问：这个规则包如何防范流氓软件？
我的回答是：防入侵规则包并没有任何一条针对流氓软件而设的规则！（因为没有那个必要） 流氓软件安装到计算机无非两种途径：1.捆绑软件 2.在浏览网页时强制私自安装。 对于后者，防入口规则能让你远离这种困扰！ 而对于前者，其实我们只要有一点安全意识，到正规网站下载软件，安装前先扫描，安装时稍微注意一下，就能避免了。


其中的一些规则的说明：

1、防U盘病毒规则

使用这条规则前，请先自行将排除项进行调整。将你的本地磁盘和光驱都添加到排除项，排除语法: X:\** （X为盘符）特别地，C盘的排除语法应为 **\C:\** 。

一般大家防范U盘病毒的做法都是禁止AUTORUN.INF运行，但若U盘上存在一些伪装文件，如*.jpg.exe 等等，当用户不小心打开这些以为是正常的文件时，病毒就得以运行而感染系统了。因此常规的禁AUTORUN.INF的做法并不能完全防止U盘病毒的感染。况且要封杀AUTORUN.INF只是举手之劳，而且关闭自动播放功能的软件遍地都是。此规则还有一个好处：如果U盘里的病毒运行了，立即会被规则阻止并留下日志，这时我们通过日志就能把U盘上的病毒找出来！


2.防网马规则


禁止浏览器新建exe(或com、pif等)，这种规则就能防止大部分网马下载病毒，或者下载后的复制动作。不过不全面，还是会漏的。当然这条规则还可以进一步完善细化成几条规则，如 禁止IE在Windows目录下新建文件 + 禁止在C盘新建exe + 禁止在Temp新建、运行文件 等等，大家可以自己发挥。


更新历史

【第一次更新】 规则包以进行了改进，主要是加强了对浏览器的管制，规则数目增至19条。附件内有规则包说明。
【第二次更新】 加入了4条规则，共23条。删除禁止调用shell32.dll的规则（会影响正常使用），加入禁止XMLHTTP组件规则。 【13日更新】修正规则包中的一些错误，加入强力FD防护，自定义规则共31条，数目已经控制得不错了。并修改了咖啡默认的某些规则，升级为加强版规则包，安全性得到一定的提高。
【15日更新】 修改了一些规则的名称，再加入两条规则，达到33条。默认不打开FD类的规则。
【17日更新】 规则数目再增加，共36条。并在“F”类规则中排除了“Downloaded Program Files”目录，这样系统的自动升级服务就可以用了。不过建议大家还是用漏洞工具来打补丁。
【19日更新】 规则数目继续增加，共计39条。感觉越来越臃肿了 。主要加入了 SCR文件管制规则。
【21日更新】 规则数目终于突破40，达到41条。 其实不断加入规则的目的就是为了最大化安全。 这次更新主要调整了部分规则的防护范围，对默认规则作了一些调整，并再次加强对浏览器的管制，重新加入禁止调用shell32.dll的规则，但默认不打开，请自行决定是否开启。
【23日更新】加入精简防护规则包，精简版共12条规则，第一条规则请自行调整排除项。精简规则包仅防U盘和网页病毒，故不要用此规则包在本地测试病毒样本！觉得加强版规则包的规则数目太多的话（41条）或者对见红率不满意的，可以试用这个版本。
【26日更新】加强版和精简版均加入一条规则：禁止调用MDAC组件。我真是后知后觉了，这么重要的规则竟然一直都忘了
还有一些细节的调整。加强版再加入一条防U盘病毒规则（注册表防护法），供参考。
【30日更新】加强版加入防chm病毒规则和针对office软件的规则。
【1月4日更新】保留了反间谍模块的规则，并随手加入几条规则。精简版和加强版都进行了改进。
【1月5日更新】主要是修正1月4日规则的Bug，对默认规则作了调整。更新这么频繁有点对不起大家了，抱歉。其实更新也只是一些小修小改，大家都可以自己完成的，但既然规则以通用为目标，就让懒人懒到底吧。
【1月11日更新】对加强版进行改进，把作用不大的规则换掉，换成对系统高风险程序的管制。还有一些细节的改进。
【1月16日更新】小修小改，没有什么好说的。精简版增加到20条，多乎哉？不多也。
【1月29日更新】在浏览器规则中加入Sleipnir.exe这个浏览器，对加强版的“A46 禁止在本地新建.PIF文件”、“A21 禁止本地新建.CMD文件”、“A22 禁止本地新建.BAT文件 ”规则进行了修正，加入Msiexec.exe这个排除项（感谢Frankiec的建议）。还有一些小修改。PS：精简版又加了规则


【30日更新说明】由于29日更新时的疏忽，有些浏览器规则中忘了加入Sleipnir.exe，特此修正。另外，考虑见红率的问题，将A02 规则改成 “A02 禁止新建任何.HTA文件”，另外在“通用标准保护 — 保护 Mozilla 及 FireFox 文件和设置”中加入regsvr32.exe,svchost.exe,services.exe等排除项，以减少见红。在“通用最大保护——禁止将程序注册为服务”中，也作了同样的修改。

【3月4日小更新】把原来的 管制浏览器（禁止在Temp文件夹新建TMP文件） 改成“管制浏览器（禁止加载urlmon.dll）”。
该规则如下：


管制浏览器（禁止加载urlmon.dll）
要包含的进程：
Avant.exe,Brexpo.exe,firefox.exe,GE.exe,GreenBrowser.exe,gsfbwsr.exe,iexplore.exe,MaxFox.exe,maxthon*.exe,miniie.exe,netscape.exe,opera.exe,Orca.exe,realplay.exe,Safari.exe,SeaMonkey.exe,Sleipnir.exe,theworld.exe,TTraveler.exe
排除：无
要阻止的文件：
**\Windows\system32\urlmon.dll
阻止的操作：执行


【7月15日更新】这次更新幅度较大，一楼的大幅删减说明文字
（一是由于篇幅的限制，二是由于之前的介绍并不准确，如果想了解更多，可以参考这个帖子
http://bbs.kafan.cn/viewthread.php?tid=201027&highlight=%2Brappar）

而且规则作了不少更改。例如把原规则中的 **\Windows 均改成 ?:\Windows ，加入重要规则以禁止除.exe、.tmp、.scr等后缀以外的程序启动，并修改了一些作用不大的规则。
另外将规则名称更改为防入口规则，以免引起误会。
【7月19日更新】更新说明请看644楼

所有规则共分三类，A类、R类、F类，但其意义并不是代表AD、RD和FD。“F”类和“R”类的规则默认不打开。此时规则包已经能够很好地防入侵，保证你上网不中毒，而且完全不影响正常使用！！但默认状态下的缺点是不保护本地文件。若打开“F”和“R”规则后，还能对本地文件进行保护，防范从本地运行的病毒。

如果要打开“F”和“R”规则，需先约法三章：
1.请将软件都安装在“Program Files”目录下，任何路径都可以，只要文件夹叫做“Program Files”就可以了。绿色软件等等一律放到此文件夹。
2.请将软件、游戏等的安装文件放在“安装程序”文件夹下，任何路径下的“安装程序”文件夹都可以。当然你可以把规则中的“安装程序”这个排除项都改为你喜欢的名字（F类规则中所有“安装程序”这个排除项都要改为同一名字）。若要从光驱安装，请自行添加光驱至排除项。语法为G:\** (假设G为光驱盘符)
3.请将游戏安装在“游戏”目录下。请参考第二条。


此规则包是依照我的“打造通用、方便、安全的规则”的想法而写成的。
关于通用性：只要遵守约定，规则无需再进行调整，基本上无需再添加排除项即可使用（需要调整的规则中已有排除提示）。

关于方便性：正常使用时很安静，即使安装软件游戏甚至是打系统补丁（已测试）等亦无需关闭访问保护和任一条规则。

关于安全性：这个不是我说了算，大家可以自己测试。还有就是，规则不是用来测毒的，所以千万不要随意运行病毒样本，否则后果自负。

其它：此规则包适用于XP系统，特此说明。不支持其它系统是因为各系统的文件夹结构不尽相同，例如2000的系统目录是winNT，而XP则是windows。其实此规则包稍加修改完全可以应用在其他系统上，这个请自行完成。另外，2003系统与XP目录结构相同，应该可以通用。



最后解释一下大家常问的问题：
如果日志出现

**\NOTEPAD.EXE        C:\WINDOWS\Prefetch\NOTEPAD.EXE-336351A9.pf        用户定义的规则:A24 禁止网页缓存中的程序进行任何文件操作        已阻止的操作: 读取

这种情况的，说明此规则与系统的预读功能有所冲突。因为这里父进程出现了 **\NOTEPAD.EXE 这样的路径，而事实上NOTEPAD.EXE却不应该在规则的阻挡范围之内，所以个人认为这是咖啡的一个BUG。
如果出现此问题的，有三种解决方法：
1.  加入排除项 **\windows\**
2.  关闭系统的预读功能
3.  不使用此规则

[ 本帖最后由 rappar 于 2008-8-21 16:46 编辑 ]

feinibuke110

支持你一下~~沙发~~

qhpt1618

学习了，谢谢。

gilliam

最近难得见到的有含量的帖子，顶楼主个~

深红的雪

谢谢支持，自己顶一个

mimimi

辛苦！感谢!感受一下!

9685996

别人的规则我一般用来学习~~

呵呵

zzybwdb_2007

感谢楼主分享规则......试试规则防护如何......

gxd

LZ继续加油哦

sxj--1130

不错的说~~~LZ继续发

xqiafl

个人认为, LZ的规则,对于U盘和上网中毒, 完全没防到重点.

U盘的重点在于AUTORUN.INF.

上网的中点不在于Temporary Internet Files 这个文件夹, 这个一封就不能下载了.

一般, 中马其实最直接就是打补丁了. 不想打补丁, 可以考虑封TEMP,  根目录, 系统目录,

禁止, IE 往以上三个目录中写入EXE, VBS 等等文件. 可以防止网马的.

这里网马就拿06014 来说吧,一般这种网马, 大多数EXE 文件在TEMP目录中. 当然,06014 也有VBS, BAT PIF,等等文件.

07004 这种马生成的EXE文件,一般在SYSTEM32目录中.   

个人认为,不推荐封Temporary Internet Files 这个文件夹

以上只是通过"写"  来防止, 还可以通过, "执行" 来防止.

因为, IE 在任何目录中创建一个EXE文件后,是要调用IE 去执行这个EXE 木马程序的.

所以, 规则,可以写成, 禁止IE  执行EXE 文件. 再排除些文件即可.

这样, 即使EXE文件写到任何目录中,也是不能执行的.

不过, 本人试过, 源文件好像打不开.  这个排除了NOTEPAD.EXE 还是不行. 不过,这一个办法绝对可行.

但,本人用的也只是第一种, 防写, 不防执行.

[ 本帖最后由 xqiafl 于 2007-12-11 22:55 编辑 ]

zzybwdb_2007

楼主，为什么连咖啡自带的规则也关了不少。。。。。。

我看了一下，感觉不如小邪邪的综合规则安全性高。。。。。。

PS：易用性是提高了，但安全性降低了。。。。。。
有兴趣你的规则测试一下这个毒网，看看挡得住么。。。。。。
http://cadtuku2.w11.bitidc.com/soft/10/2007/20070403924.html

xsqhlf

多谢楼主分享，辛苦了----

深红的雪

感谢你的意见。但某些观点不能认同。
1.“U盘的重点在于AUTORUN.INF”——要封杀AUTORUN.INF只是举手之劳，况且关闭自动播放的工具遍地都是。问题是，如果用户不小心执行了U盘上的病毒呢？这不是封一个AUTORUN.INF就能解决。我这个规则是从另一思路出来的。

2.“个人认为,不推荐封Temporary Internet Files 这个文件夹”——我并没有封这个文件夹，建议你认真看看我的规则。我不是不让下载，而是不让Temporary Internet Files 里的文件修改新建任何文件。下载是绝对可以的。
一般来说，病毒要下载到本地的指定目录就必须先获取系统变量，不然就只能下载到Temporary Internet Files文件夹。而病毒要获取系统变量则需要利用脚本或控件调用系统中库函数（注意，这句其实是不正确的，是我的错。这里应该改为：病毒要被执行则需要调用系统的组件，不过某些级别的木马并不需要），在我的规则包里已经对此等操作加以防范了。还有一点就是，木马下载到本地后，并不一定是由IE来执行的。

再多说一句，病毒不是一开始就在Windows等目录下落脚的，而是病毒被执行后再释放文件到这些目录的。所以只要限制病毒的执行就可以实现防毒的效果了，因此才不需要额外的FD规则，保证规则的方便性。（这里我忽略了一点，病毒进入IE缓存文件夹后可以通过IE复制到其它目录，多谢xqiafl的提醒）

3.若设规则防止IE执行文件的话，问题多多，极影响正常使用。所以采取防新建是较好的办法。这一点我很赞同。其实在我发的规则包里就有这样的规则了。

[ 本帖最后由 rappar 于 2007-12-21 18:31 编辑 ]

深红的雪

1.默认规则里保留安装时的基本防护设定，我没有改动过。
2.我在一楼就已经说明了，这是入侵防护规则，FD很薄弱，但防入侵却不弱。
你那个毒网我测试过了，上图

打开网页后唯一的症状就是浏览器卡到爆..........



为了确认规则是否能防毒，打开三条Extra规则以作参考（只报告不阻止）
注：上面的规则是我正在编写的通用规则，那个精简规则包是从这里精选出来的。两者对入侵防护的效果是基本一样的。

测试结果：耐心地等待10多分钟后（夸张），网页终于打开，乱点连接，然后关闭该网页。
查看Windows目录、system32目录、Temp目录等，均无新建文件。查看系统启动项，无异常，检查注册表，无异常。查看网络连接状态，亦无异常
查看咖啡日志结果：浏览器在IE缓存文件夹中新建了一大堆gif、aspx、htm、txt，和少量JS脚本，不见有任何新建或修改文件的操作；浏览器修改部分注册表键值，但属正常行为。
结果表面，要么网页正常，要么木马被浏览器无视掉了
补充：系统为ghost版SP2，打补丁至5月8日

[ 本帖最后由 rappar 于 2007-12-12 12:58 编辑 ]

被蒙蔽了的眼

请问如何生成规则包的 注册表导入文件?

深红的雪

从注册表导出这个项：
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\VSCore\On Access Scanner\BehaviourBlocking

zhudi

kankanle

xqiafl

当然也不排除有这样的情况：网页病毒并不落脚IE缓存文件夹，而直接下载到其它的系统变量，如Temp
、Windows文件夹等，然后调用其它程序或由脚本执行它。这样情况很小见（就是那个10%），对此我们
可以再添加几条规则加以防范。该添加怎么样的规则？呵呵，各位若有兴趣的可以自己去研究。

刚刚又看了下子,  第一条规则, 个人认为,还是没的什么太大的必要.

原因也很简单,  因为, 一般,U盘木马文件都隐藏的, 用户基本上不可能直接去运行.

当然.   你考虑的很全面.  这条规则本人就收下了.

至于  封杀"\Temporary Internet Files"  这个文件夹, 本人认为完全是多余.

虽然,  如你所说., 木马, 控件之类的,  都要在这个目录中先生成一个文件. 然后,再复制到

指定目录, 但这个目录并无执行权限,  完全是由IE ,等其它工具代劳的.

现在, 来说下, 我上面,引用的部分.  网马, 是先写在Temporary Internet Files文件夹,

再用IE 复制到TEMP ,WINDOWS 等文件夹的.   所以, 你说,这种情况不多见???

个人认为, 你对这方面了解太少了.

xqiafl

现在的病毒无孔不入,   QQ 病毒就有很多是写到程序目录中的.

一般,程序完全可使用绿色版的.  而不需要把程序目录排除在外,因为这样很危险!

我昨天运行一个病毒,  我系统目录中, 就排除了IE 写入, 也禁止程序调用IE.

但那个病毒运行后, 直接调用了IE,  并下载木马到C盘根目录下. 如果下到WINDOWS目录下,

我就挂了. 这看似不要紧,其它有时很要命!