如何打造一壶高效简洁且高安全的咖啡？

WEI.ER

开了规则的自保、月神拉到最高，设置了防流氓和防入口。足够了

aeonhuang

WEI.ER 发表于 2014-5-3 22:24
开了规则的自保、月神拉到最高，设置了防流氓和防入口。足够了

防流氓和防入口有通用规则吗？

阡语陌路

没用过电脑win版迈克菲，电脑现在单奔微软自家的MSE，
用过手机Android版迈克菲，挺好用的，

WEI.ER

aeonhuang 发表于 2014-5-3 22:32
防流氓和防入口有通用规则吗？

防入口无非就是浏览器、移动存储设备路径，浏览器如果都安装在Program Files路径里可以做到通用，而移动存储设备不好说，我分区一般就三个，第四个之后肯定都是移动存储设备的盘符，所以都做了限制，而防流氓我只是做了常见的意义上的流氓软件防写，比如xx、xxx、xxxx等。

zpf94

WEI.ER 发表于 2014-5-3 22:37
防入口无非就是浏览器、移动存储设备路径，浏览器如果都安装在Program Files路径里可以做到通用，而移动 ...

求大神把详细规则贴上来让大家学习一下

柯林

咖啡好玩的地方挺多的，比如AD上可以拦截动态链接库的加载等，这个是有些HIPS都捉襟见肘的地方。有时候换个角度看问题，又有新玩法哈
1、比如，限制某些软件的行为，譬如写上一条禁止访问某些文件的规则，要包含的进程填上想阻止的程序一堆，排除的进程不管，阻止的操作读写，这些进程就望洋兴叹了呵
2、比如，防止不明dll文件注入某些重要进程，要包含的进程，写上那些重要进程的路径，排除的进程写上允许加载的dll文件的路径（通配符简化规则数量），要阻止的文件和文件名写上操作对象例如**\*.dl，阻止的操作执行，想要注入大概也就呵呵了呵
3、比如，驱动文件的加载限制，写上，要包含的进程*，要排除的进程系统服务进程、杀软等，要阻止的文件和文件名写上操作对象**\*.sys，阻止的操作执行，一般的程序也就加不了驱了吧，或者反过来限制只可以加载指定目录下的驱动文件，也很好玩吧
4、一般大家都习惯了阻止所有，排除个别的玩法，如果反过来写上几条阻止指定程序，排除所有的规则，结果又如何呢？（其实无须排除所有，空着即可，效果上面第1条已经说过了，阻止指定程序的指定行为，用这样的写法，可以明目张胆地阻止指定路径下的程序对某个目标的操作，譬如咖啡默认带有一条禁止向windows目录写入可执行程序的规则，用的是阻止所有，指定放行的办法，如果你不开这条，改用反向玩法，可以写成阻止指定的程序例如各种上网程序向windows目录写入可执行文件，再如禁止整个U盘路径下的程序访问本机文件等……也很好玩的说
5、各种规则之间的配合筛选，逐层过滤，实现一定的优先级，乃至规则前加数字来排序等，也“养眼”哈

aeonhuang

柯林 发表于 2014-5-3 23:56
咖啡好玩的地方挺多的，比如AD上可以拦截动态链接库的加载等，这个是有些HIPS都捉襟见肘的地方。有时候换个 ...

非常有用啊，对于咖啡，特别是VSE，真是爱不释手了，谢谢柯大

柯林

柯林 发表于 2014-5-3 23:56
咖啡好玩的地方挺多的，比如AD上可以拦截动态链接库的加载等，这个是有些HIPS都捉襟见肘的地方。有时候换个 ...

经测试，以阻止dll加载为例，阻止的对象写**\*.dll无效，应该写*.dll
sys的加载阻止，没有测试，有兴趣的测试下
第2条防止不明dll注入的想法，需要实验来测试其可行性，改天有时间测下

晚了，洗洗睡了

zhyshj

柯林 发表于 2014-5-3 23:56
咖啡好玩的地方挺多的，比如AD上可以拦截动态链接库的加载等，这个是有些HIPS都捉襟见肘的地方。有时候换个 ...

呵呵，同感，咖啡很有控制感，可以做很多事。有人不用它是嫌它麻烦，嫌麻烦可以只开启部分规则，再对部分软件设置规则。我就喜欢限制一些软件的行为，比如驱动精灵，发现这货一直在活动，系统的一举一动它都读取，我限制它只能读取自己不准读取别人，很好玩的

xtmatao

shiyuelaohu 发表于 2014-5-3 16:18
欢迎柯大来此授业解惑，表示真心折腾不动了，经常去hips区看看别人的测试过过瘾也就算了。觉得病毒的来源有 ...

用过一段时间的火狐，总觉得太卡，还是CHROME来得快，不知现在新版的FF怎么样