咖啡防入口通用型规则包【7月19更新】

svlbt

小邪邪的规则用起来，真的很顺畅，见红很少了。
而且规则越少，理论上消耗的资源也越少~
小邪邪的思路应该也是主要阻挡上网及U盘所带来的可执行程序未知运行。
不过在咖啡“侦测率较低”的前提下，我反倒不安起来。
气流的这套，我想大概近期还有更新吧~这样好像比较复杂了，跟小邪邪的严历规则思路有些类似了吧。

gzh87

再次更新，顶上去啊！！

gzh87

怎么我下不了，楼主又提升了下载的权限？？？

深红的雪

看规则不能只看表象
思路显然是不一样的
真要说的话，邪邪的精简规则是存在漏洞的
怎么说？
邪邪的精简规则为了减少见红，在规则中大量排除**\windows\**,**\Program files\**这些目录，而且为了防止病毒进入这些位置，在默认规则的中“禁止在 Windows\Program files文件夹中创建新的可执行文件”没有排除任何进程。这当然是为了安全性考虑的，但问题也是存在的。
首先就是软件的安装问题，这个就不用解释了吧
然后就是安全上的漏洞问题，也就是规则存在被绕过的可能。

漏洞一，如U盘病毒。构造autorun.inf如下：

[autorun]
open=RunDll32.exe .\SysInfo2.Dll,MyFun
shell\\1=打开(&O)
shell\\1\\Command=RunDll32.exe .\SysInfo2.Dll,MyFun

其意思是利用RunDll32.exe加载病毒SysInfo2.Dll。
RunDll32.exe在哪里？自然是在System32目录下，所以在规则的排除范围之外，病毒自然通行无阻。

漏洞二，文件可执行后缀。
默认规则的中“禁止在 Windows\Program files文件夹中创建新的可执行文件”中的可执行文件指的是.exe和.dll这样后缀的文件，但不包括.com、bat、.pif等后缀。
假设这样的情况：IE上网碰上网马，下载了一个病毒（.com后缀）到windows文件夹，并执行之。此过程规则完全没有阻挡，而且即使病毒运行起来后，由于在windows文件夹内，也继续畅通无阻，规则完全被过

漏洞三，脚本病毒。
如.bat、.vbs等脚本病毒，由于执行的宿主分别是cmd.exe、wscript.exe都在windows\system32文件夹下，也属于排除的范围，所以规则不会阻挡。

而我的规则则是为了避免出现上述情况而写的，一是尽量做到在不关闭规则下能够安装软件，二是对U盘和网马做了针对式的防御，而不是锁定硬盘的思路。所以说，思路是不相同的。当然也不是说我的规则没有漏洞，我的更新也就是为了补漏
规则的意义不在数目的多少，而在规则所能达到实际效果，既安全又方便才是我的规则追求的目标，要是三条规则能比一条规则的效果好，那么我宁愿选择三条

深红的雪

没有设任何权限啊，怎么会下载不了呢

gzh87

能下载了……怎么要在主页登录了才能下载的呢？不懂
我收藏夹收藏的是MCAFEE这个子版的，而非卡饭，但我也登录了啊，否则怎么发贴……

wccs

再次感谢楼主的辛勤劳动，学习了不少东西！

lyqq7206

很好呀，我喜欢咖啡

gho

原帖由 rappar 于 2008-7-20 14:35 发表
看规则不能只看表象
思路显然是不一样的
真要说的话，邪邪的精简规则是存在漏洞的
怎么说？
邪邪的精简规则为了减少见红，在规则中大量排除**\windows\**,**\Program files\**这些目录，而且为了防止病毒 ...

呵呵精辟学习了

jiebozhang

别人的规则我一般用来学习~~