查看: 9086|回复: 53
收起左侧

[讨论] 如何打造一壶高效简洁且高安全的咖啡?

  [复制链接]
柯林
发表于 2014-5-3 11:35:11 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2014-5-3 15:23 编辑

本帖不讨论具体的规则,而是探讨规则思路,或者说是防护方案。规则,论坛上优秀且成熟的已经很多了,选一个喜欢的套用即可。本文的目的,是想要通过集思广益,打开眼界,从根本上明白规则设置的目的和依据,探讨哪种方法及强度适合自己。

所有规则设置的目的,无外乎两个:一是防毒,二是防止恶意行为(包括流氓软件的防御+黑客行为防御)。最终落实到的方法,实际上也就一句话:放过正常行为,拦截未知或已知的恶意行为。这个拦放之间的取舍把握,决定了规则的强度和可靠度,同时也决定了规则漏洞的大小,还有规则的效率。如果,我们想要一个高效、简洁而又强悍的规则,我们应该如何做?

在防护性上,大体有两种思路,一种是全盘监控,争取做到滴水不漏;一种是重点监控,控制关键部位和重点目标。从逻辑上推演一下,还可以演变出第三种方法——重点布控+全局监视(对关键部位和重点目标实施保护拦截,对其它部分实施监控记录亦即只记录不拦截)。
以上三种方案,不论你采用哪一种,落实下来变为具体的规则,都是一样的做法——以FD担纲结合AD、RD、ND实现4D一体的立体防御。至于具体怎么做,做到哪个程度,哪种平衡取舍最佳,大家可以自由讨论,个人观点,考核依据无外乎就是“简洁、高效、高安全”这七个字,如有不同观点,欢迎探讨。个人看法,不卡机,操作简单,安全性极高的规则,是最好的规则,如何写出这种规则,大家共同研究吧。

老帖已经总结过,病毒或恶意程序破坏计算机的过程,分三个阶段:初期创建病毒文件(以可执行文件为主),中期运行病毒,执行破坏操作(包括FD上的感染、修改、删除……,AD上的加驱、挂钩、注入……RD上的修改注册表,ND上的联网下载病毒或连接到黑客指定站点接受指令等),后期霸占和控制系统(进驻系统,生根发芽,赖下不走)。杀毒的方法,是将它们连根拔除、剿灭,而防毒来说,则是根据个人喜好,有针对性的进行初期的入口防御,中期的削权防御,后期的隔离控制等。

具体要针对哪个阶段为主,以哪种监控方式来实现,这个就是千人千面、各有所好了。个人观点,可以参考的途径如下:
1、初级防御——尽量以默认规则为主,实施重点监控,适合广大新手。优点:简单、流畅、不卡机、排除少。可靠性:考虑到VSE不仅有规则防御,还有杀毒引擎,规则只是用来补杀毒的漏,对一般用户足够,至多根据需要调整下默认规则的强度,补充一些个人规则。
2、中级防御——依据自己的需要和理解,组织严密的防御体系,以规则为主打,进行高强度防毒。优点:安全性高。缺点:操作复杂,规则制作劳心费力。可靠性:极高,即使杀毒部分不存在或失效,依然能对系统提供可靠保护。
3、高级防御——对中级方案升级更新、反思整合、化繁为简,实现高效简洁的目的。最少的规则实现最大的防护,最优化的方案实现最佳结果,是这一时期的指导思想。这也是咖啡喝入化境,学成出山的标志,祝每个麦粉早日达此境界。
此外,还有哪些方法或分类,欢迎探讨。

======================================================================分割线==================================================================
具体到规则的制作上,可供采纳和需要考虑的方面,大概有这么一些:
1、高效原则:最少的规则实现目的。咖啡不同于专业HIPS,弄太多规则,一个降低了效率,一个累坏了自己,不划算。首先提这个,避免刹不住车,弄一大堆低效率规则,像最老的那些教程中列出的那些防御流氓软件的规则,已经没什么意义,一个全局监控可执行文件的规则就可以完全代替。
2、系统保护:如何保护系统文件的安全,防止病毒破坏?站在初级防御的立场,你只要开启默认规则的windows目录保护、系统目录下可执行文件保护,保护重点目标就行了。如果站在中高级防御的角度,需要考虑的就是两个:系统文件的干净和不可更改,系统进程的纯净和老实,也就是要做到两点:一是禁止任何应用程序更改系统文件,二是防止系统进程被病毒感染或注入后修改系统文件。至于要不要全部文件加以保护拦截,还是监控重点,这个就看各人的需要和喜好。
3、应用程序保护:自己安装的程序,如何防止被病毒、恶意程序或其它不规矩的应用程序修改?这一条加上第2条,基本上已经把本机上的重要内容保护起来了,作为入口防御,基本上已经妥妥的了,如果再加上全局监控和预防可执行文件的修改,已经是很完善的FD入口防御体系,至于如何排除正常程序,根据自己的实际情况解决吧。
4、病毒防御:“90%以上的病毒,都是exe格式,其余的为dll格式、pif格式、bat格式、sys格式等”,防毒经验贴这样告诉我们。在入口防御上,只要防止生成这些格式的病毒主体文件,防止病毒把它的可执行文件释放到系统目录和用户程序目录下,就能取得第一阶段的防御效果——禁止生成病毒文件。对于已经存在的病毒文件,譬如你下载来的病毒测试包,U盘上的病毒文件等,如何防止它运行以及运行后产生的破坏作用,这个是第二阶段需要考虑的内容。“咖啡强大的FD令人侧目,而孱弱的AD向来为人诟病”,对于病毒测试或实际应用来说,一般情况下做不到全局禁运(做到了也没多大意义,要能够实施拦截才是真正有意义的),如何防御病毒的AD行为,是规则党需要实验总结的地方,对于驱动加载,可以从禁读驱动文件和创建修改注册表服务项上来防御,至于钩子拦截、截屏拦截等部分,测试党可以实验下禁读dll等文件的效果(比如禁止未知程序读取windows目录下的文件,以便防止病毒加载或注入系统文件,看看是否有效果,对于测试程序自带钩子文件的可能无效,对此,可以用监视规则来记录下,看看它究竟产生了哪些行为,试着分析和找出关键行为加以阻止来拦截。)RD方面的防御,参考病毒分析帖,拦截最关键最重要的部分即可。
5、防黑:本机文件保护,这个很简单,在咖啡这里,就是两条,一是禁止远程访问本地文件,二是对本地文件执行读写控制(指定进程才可以访问,对于无驱程序有效,对于未被病毒或恶意程序注入授权程序的状态下有效)。
6、监视规则:未知程序或已知程序究竟在本机上干了什么?开监视规则,可以看清其FD和RD行为及部分AD行为(调用了哪些程序)。例如,测试病毒或运行测试程序,写上监视规则:禁止在C盘上读写和执行文件,本条排除windows目录下的程序和自己安装的程序(为求高效,直接加通配符,两条完事),仅记录而不拦截;禁止操作注册表全部内容,本条排除windows目录下的程序和自己安装的程序(为求高效,直接加通配符,两条完事),仅记录而不拦截。这两条监视规则,可以为我们提供第一手的数据,为我们分析其行为和谋思拦截提供依据。(监控规则的另一用途,还可用来反流氓,自己打开日志,里面记载的清清楚楚,安装程序捆绑了哪些流氓玩意,安装到了哪些地方,包括注册表方面的,按图索骥,一一加以铲除即可)

小结:防毒防黑,需要我们做的事其实也简单,无非就这么几项:FD上防止生成病毒文件,保护系统文件,保护自己安装的程序,保护个人重要或私密的文件;AD上禁止运行病毒文件,禁止病毒或未知程序执行系统进程或系统自带的危险命令程序(譬如格式化程序、CMD程序等);RD上防止重要项目(譬如映像劫持、文件关联、服务项、自启动项、浏览器插件等)。配合监视规则,以及禁读文件对AD的补充或称变相防御等,完全可以做到高效高安全,且可接受实际测试病毒的检验(不能接受和通过病毒实测的规则没有意义,即使全局禁运也只是虚幻的安慰。)

=============================================================================================================================================
小文抛砖引玉,至此结束。欢迎楼下展开热烈讨论,就本文提到的问题和遗漏的部分以及任何你所想到的与咖啡防御有关的事项,都可以本着交流探讨的精神自由思辨。
zhyshj
发表于 2014-5-3 12:05:01 | 显示全部楼层
全局设置禁止非信任程序启动、禁止对系统文件写人创建、对注册表读写入创建,对软件程序单独建立规则,比如QQ,建立规则:除系统和自己以外禁止非信任程序访问。
思路:对系统和软件设置一些条条框框,让它们只能互相访问,别的程序参与不进来。
浏览器最好用安全浏览器,要么做一个浏览器的入口规则。
本人的一些想法,不足的地方指出。表达不好,见谅。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
柯林 + 1 感谢提供分享

查看全部评分

蓝核
发表于 2014-5-3 12:49:18 | 显示全部楼层
拉高月神就行了……默认规则

简洁 安全高效排除少

作为一个曾经手贱默认咖啡规则然后关闭监控不小心运行病毒的人……有些毒你开了最高强度的规则也是无用的……还不如重装来的快

除了打补丁很累

评分

参与人数 1人气 +1 收起 理由
柯林 + 1

查看全部评分

shiyuelaohu
发表于 2014-5-3 16:18:57 | 显示全部楼层
欢迎柯大来此授业解惑,表示真心折腾不动了,经常去hips区看看别人的测试过过瘾也就算了。觉得病毒的来源有三个,U盘,这个加个规则很重要;还有就是来历不明的软件,这个靠人脑,别手贱双击;最后一个是浏览器,如果用windows系统的话就尽量用非ie内核的浏览器,再从保护隐私的角度上来说,非盈利组织的火狐是是首选。
rlx
发表于 2014-5-3 16:30:21 | 显示全部楼层
comodo一套也行
aeonhuang
发表于 2014-5-3 18:45:02 | 显示全部楼层
蓝核 发表于 2014-5-3 12:49
拉高月神就行了……默认规则

简洁 安全高效排除少

我现在也是这样用的
丶冰力十足丶
发表于 2014-5-3 19:05:17 | 显示全部楼层
aeonhuang 发表于 2014-5-3 18:45
我现在也是这样用的

呃,我也是,直至用的默认规则
yiren
头像被屏蔽
发表于 2014-5-3 19:51:35 | 显示全部楼层
我现在只用vse防流氓。搞不动了,有点软了。
biange200
发表于 2014-5-3 20:15:51 | 显示全部楼层
zhyshj 发表于 2014-5-3 12:05
全局设置禁止非信任程序启动、禁止对系统文件写人创建、对注册表读写入创建,对软件程序单独建立规则,比如 ...

对于新手或菜鸟来说 就是默认规则也不需要全部勾选 默认值勾选足够了  上次我把默认规则全部勾选  我有是有下载游戏 软件 经常更新的  排除那是个灾难  尤其是游戏经常更新  排除了也没用  还是无法更新  无奈卸载  
说到底  VSE还是适合非经常安装 更新 以及办公人员  
柯林
 楼主| 发表于 2014-5-3 20:54:46 | 显示全部楼层
biange200 发表于 2014-5-3 20:15
对于新手或菜鸟来说 就是默认规则也不需要全部勾选 默认值勾选足够了  上次我把默认规则全部勾选  我有是 ...

对于一般用户而言,用好默认已经不错了,很多人忘了咖啡还有个杀毒引擎,纯粹把它当HIPS类软件用了,这个真心没必要,规则补一补杀毒可能产生的遗漏,以及流氓软件的防御,足矣

经常安装和更新的,也没什么,你用默认规则的默认设置,完全没有任何问题,如果要追求进一步的安全,可以变通为勾选windows目录和programfiles目录的安装可执行文件日志,有空自己查下日志,看看什么程序装了什么东东,不好的删除就是了,也不复杂和难用
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:15 , Processed in 0.122253 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表