防毒无敌麦咖啡之新人篇——如何定制一套适合新手使用的规则？

柯林

依班娜 发表于 2014-6-1 14:28
这么几个地方，一个是置顶里的内容需要重新测试
一个是你说的那啥……（貌似墨池的规则里有写一些关于语 ...

这个我没测试过，我也没用那条全局阻止联网的出站规则，一下我测试下再回你。

依班娜

柯林 发表于 2014-6-1 14:31
这个我没测试过，我也没用那条全局阻止联网的出站规则，一下我测试下再回你。

柯大怎么这么好玩？

柯林

刚刚测试了，确实添加绝对路径和相对路径都无法访问，被拦截了，但是添加程序名可行，我一下截图给你



我不知道为啥会这样。这样添加，规则并没失效，没在排除之列的IE被拦截了（日志如下）：



===========================
不知道是bug，还是语法有了变化，不懂

依班娜

柯林 发表于 2014-6-1 14:44
刚刚测试了，确实添加绝对路径和相对路径都无法访问，被拦截了，但是添加程序名可行，我一下截图给你

这就是语法的Bug了，的确没搞完善

其他HIPS基本上都不会碰到的
按理说要能完全正常地使用*和?才算是没有Bug

柯林

依班娜 发表于 2014-6-1 14:53
这就是语法的Bug了，的确没搞完善

其他HIPS基本上都不会碰到的

不知道是不是英特尔接手后进行了砍削，如果是，可能以后的规则只能用默认示范的添加文件名来排除，但愿它是bug，在不久的将来被修复

依班娜

●阻止对所有共享资源的读写访问  作用与上面一条一样的，防病毒爆发用的，比上一条更严厉，是企业在非常时期的“戒严令”，一般人不用管它。
以上这两条规则的解读，有人说是咖啡里面的极致规则，具体指什么，我没时间验证，请知道的麦粉说下。按规则设置来看，阻止的是远程操作，个人主观上做如许解读，似乎也无不妥。了解的请交流下。


所谓极致大约就是把包含写成* 然后再添加排除。其实就是最全面的文件防护规则，很没意思的……

柯林

依班娜 发表于 2014-6-1 15:01
●阻止对所有共享资源的读写访问  作用与上面一条一样的，防病毒爆发用的，比上一条更严厉，是企业在非常时 ...

问题是，没看到这规则的文件对象究竟是什么，不知道究竟阻挡些啥。我看过网上流传的规则，确实是把默认的System:Remote改成了*

依班娜

柯林 发表于 2014-6-1 15:03
问题是，没看到这规则的文件对象究竟是什么，不知道究竟阻挡些啥。我看过网上流传的规则，确实是把默认的 ...

去查墨池的默认规则详解，里面有目标文件


规则名称：阻止对所有共享资源的读写访问 (即 禁止非信任区程序访问-文件 )
要包含的进程：system:remote
要排除的进程：无
要阻止的文件或文件夹名：**
要禁止的文件操作：读取、执行、创建、写入、删除
------------------------------------------------
    意图：此规则是一个共享时使用的跳频蠕虫被称为是在野外，并积极推广。禁止在文件共享环境中，这些规则可以执行这一政策，因为它会阻止写访问权，或全部从远程计算机到一个受保护的访问。
    风险：这是一个非常强大的规则。制度下的角色需要被评估之前启用规则。在典型环境中，可能是这个规则将被用于工作站和服务器，适合不适合。其目的是阻止病毒，将严重限制了计算机或网络使用，而且它是唯一有用的电脑受到攻击时积极。除了可能影响电脑的日常工作，日常使用，这些规则也可以影响他们的管理方式。如果电脑是由他们推动档案管理，此规则将阻止更新或补丁被安装。



你看，是不是很没意思……

依班娜

柯林 发表于 2014-6-1 14:59
不知道是不是英特尔接手后进行了砍削，如果是，可能以后的规则只能用默认示范的添加文件名来排除，但愿它 ...

这个应该是Bug，没道理不让用通配符的

柯林

依班娜 发表于 2014-6-1 15:05
去查墨池的默认规则详解，里面有目标文件

这个是谷歌翻译的的？

这不是跟自定义的禁止远程操作一样的？严厉的修改后，也就是禁止任何程序执行任何文件操作吧，要排除的东西太多，太麻烦了，不好玩。

以个人的使用经验来看，一年到头，真的遇不到几个毒，很多时候，是我们怕毒，是一种病，严重到把规则禁用一会儿就担心是不是有什么东西进来计算机，这才是可怕的