楼主: 柯林
收起左侧

[讨论] 防毒无敌麦咖啡之新人篇——如何定制一套适合新手使用的规则?

  [复制链接]
柯林
 楼主| 发表于 2014-6-1 14:31:07 | 显示全部楼层
依班娜 发表于 2014-6-1 14:28
这么几个地方,一个是置顶里的内容需要重新测试
一个是你说的那啥……(貌似墨池的规则里有写一些关于语 ...

这个我没测试过,我也没用那条全局阻止联网的出站规则,一下我测试下再回你。
依班娜
发表于 2014-6-1 14:32:04 | 显示全部楼层
柯林 发表于 2014-6-1 14:31
这个我没测试过,我也没用那条全局阻止联网的出站规则,一下我测试下再回你。

柯大怎么这么好玩?
柯林
 楼主| 发表于 2014-6-1 14:44:05 | 显示全部楼层
本帖最后由 柯林 于 2014-6-1 14:53 编辑

刚刚测试了,确实添加绝对路径和相对路径都无法访问,被拦截了,但是添加程序名可行,我一下截图给你



我不知道为啥会这样。这样添加,规则并没失效,没在排除之列的IE被拦截了(日志如下):



===========================
不知道是bug,还是语法有了变化,不懂

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
依班娜
发表于 2014-6-1 14:53:35 | 显示全部楼层
本帖最后由 依班娜 于 2014-6-1 14:59 编辑
柯林 发表于 2014-6-1 14:44
刚刚测试了,确实添加绝对路径和相对路径都无法访问,被拦截了,但是添加程序名可行,我一下截图给你


这就是语法的Bug了,的确没搞完善

其他HIPS基本上都不会碰到的
按理说要能完全正常地使用*和?才算是没有Bug
柯林
 楼主| 发表于 2014-6-1 14:59:54 | 显示全部楼层
依班娜 发表于 2014-6-1 14:53
这就是语法的Bug了,的确没搞完善

其他HIPS基本上都不会碰到的

不知道是不是英特尔接手后进行了砍削,如果是,可能以后的规则只能用默认示范的添加文件名来排除,但愿它是bug,在不久的将来被修复
依班娜
发表于 2014-6-1 15:01:38 | 显示全部楼层
●阻止对所有共享资源的读写访问  作用与上面一条一样的,防病毒爆发用的,比上一条更严厉,是企业在非常时期的“戒严令”,一般人不用管它。
以上这两条规则的解读,有人说是咖啡里面的极致规则,具体指什么,我没时间验证,请知道的麦粉说下。按规则设置来看,阻止的是远程操作,个人主观上做如许解读,似乎也无不妥。了解的请交流下。


所谓极致大约就是把包含写成* 然后再添加排除。其实就是最全面的文件防护规则,很没意思的……
柯林
 楼主| 发表于 2014-6-1 15:03:47 | 显示全部楼层
依班娜 发表于 2014-6-1 15:01
●阻止对所有共享资源的读写访问  作用与上面一条一样的,防病毒爆发用的,比上一条更严厉,是企业在非常时 ...

问题是,没看到这规则的文件对象究竟是什么,不知道究竟阻挡些啥。我看过网上流传的规则,确实是把默认的System:Remote改成了*
依班娜
发表于 2014-6-1 15:05:53 | 显示全部楼层
本帖最后由 依班娜 于 2014-6-1 15:09 编辑
柯林 发表于 2014-6-1 15:03
问题是,没看到这规则的文件对象究竟是什么,不知道究竟阻挡些啥。我看过网上流传的规则,确实是把默认的 ...


去查墨池的默认规则详解,里面有目标文件


规则名称:阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程:system:remote
要排除的进程:无
要阻止的文件或文件夹名:**
要禁止的文件操作:读取、执行、创建、写入、删除
------------------------------------------------
    意图:此规则是一个共享时使用的跳频蠕虫被称为是在野外,并积极推广。禁止在文件共享环境中,这些规则可以执行这一政策,因为它会阻止写访问权,或全部从远程计算机到一个受保护的访问。
    风险:这是一个非常强大的规则。制度下的角色需要被评估之前启用规则。在典型环境中,可能是这个规则将被用于工作站和服务器,适合不适合。其目的是阻止病毒,将严重限制了计算机或网络使用,而且它是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作,日常使用,这些规则也可以影响他们的管理方式。如果电脑是由他们推动档案管理,此规则将阻止更新或补丁被安装。



你看,是不是很没意思……
依班娜
发表于 2014-6-1 15:06:33 | 显示全部楼层
柯林 发表于 2014-6-1 14:59
不知道是不是英特尔接手后进行了砍削,如果是,可能以后的规则只能用默认示范的添加文件名来排除,但愿它 ...

这个应该是Bug,没道理不让用通配符的
柯林
 楼主| 发表于 2014-6-1 15:15:17 | 显示全部楼层
依班娜 发表于 2014-6-1 15:05
去查墨池的默认规则详解,里面有目标文件

这个是谷歌翻译的的?

这不是跟自定义的禁止远程操作一样的?严厉的修改后,也就是禁止任何程序执行任何文件操作吧,要排除的东西太多,太麻烦了,不好玩。

以个人的使用经验来看,一年到头,真的遇不到几个毒,很多时候,是我们怕毒,是一种病,严重到把规则禁用一会儿就担心是不是有什么东西进来计算机,这才是可怕的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 08:53 , Processed in 0.094487 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表