查看: 12047|回复: 67
收起左侧

[其他相关] (安全与易用之间的平衡)麦咖啡柯式简易规则【可以安装软件的规则】

[复制链接]
柯林
发表于 2014-6-15 23:25:32 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2014-6-28 21:24 编辑

本规则仅供参考,本人不对你使用或借鉴本规则所导致的任何后果负责,有问题请到论坛交流反馈,谢谢。

这是一个提供给普通计算机用户参考的规则。简指的是入口上的简单防御,易指的是相对易用,具体请看下面的说明:
=================================================================
这个规则,以追求易用为主,适合一般用户,不适合喜欢下载样本的用户。
安全理念上,尽力保护用户数据,至于系统则尽力执行一定程度的保护(想法是,系统实在不行么重装就完了,只要用户数据在就ok)。

这套规则,立足于普通用户环境,规则不作为独当一切的利器,而是结合实际,以杀毒+规则双保险的方式,满足一般人的使用要求:具有一定强度的防毒能力,又不影响软件安装卸载和系统更新。理解本规则请基于这个基本点。

默认规则,直接拿的邪版规则来盗用,自定义规则则根据以上需要进行编写。
该规则以尽可能的易用为目标,限制上不属于极其严格的类型,求的是易用与安全的适度平衡。
由于安装软件情形较为复杂,个别安装不上的软件,请禁用访问保护;对于安装硬件驱动,为避免出问题,请禁用访问保护;
如果从光盘安装软件,可能需要禁用自定义规则中的那条防U盘病毒的规则。

该规则仅供参考,欢迎交流探讨。由于时间仓促,测试有限,个人精力有限,内中错漏,还请大家批评指正,希望在大家的帮助下,完善一个能够在基本上满足一般用户要求、兼顾易用与安全的初级入门规则。
--------------------------------------
《麦咖啡柯式简易规则初级版》
使用环境:32位win7,系统在C盘,用户程序安装在program files里(其它注意事项,请参看文字版的说明)


如果程序上不了网,请根据日志,到“通用最大保护-禁止HTTP通信”里,添加程序的名字加以排除。
如果你搭配有其他的安防软件(比如防火墙或者卫士之类),如果日志显示有拦截,请添加排除。
(极端问题):如果拿不定下载的安装包是否带有全盘感染的恶意病毒,请放桌面上运行一下,看看日志【如果病毒要释放到temp里才发力,这个法子也不行】。如果拿不定所要用的小程序(绿色软件类)是否全盘删除文件的恶意程序,请把E盘或者F盘当作试验基地,把自定义规则中,保护E盘资料或者保护F盘资料中排除列表的E:\**\*.EXE或者F:\**\*.EXE删掉,运行一下,看看日志【或者是直接把其exe文件放到E盘或F盘根目录下,禁用自定义里防U盘病毒的那条规则,运行一下,看看日志】(普通用户不用纠结此病态问题,请到正规网站下载信誉度好的软件,请尽量少用不明不白的东东,比什么都强,可以直接秒杀,此外,联网运行程序也很重要——让月神发威)。
--------------------------------------
文字版:发在50楼51楼(后期更新调整将及时更新文字版内容),需要参考的请自行爬楼

为了便于理解,我把最主要的“全局exe控制”的排除列表贴在这里(这个只是最基本的,有点纯净版的味道,请根据自己使用环境完善这个排除列表):
C:\Safe SetupFiles\*.exe,  (安装源)

*\**\AppData\**\*.exe,    (安装程序)
*\**\AppData\Local\Temp\*.tmp\*Setup*.tmp,  (安装程序)
*\**\Users\Public\**\Uninstall.exe,   (卸载程序)

*\**\Program Files*\**\*updat*.exe,  (软件更新)
*\**\Program Files*\**\unins*.exe,     (软件卸载)

*\**\Program Files\Common Files\McAfee\SystemCore\*.exe,  (麦咖啡的)
*\**\Program Files\McAfee\**\*.exe,  (麦咖啡的)

*\**\Program Files\Chrome\chrome.exe,  (谷歌浏览器)
*\**\Program Files\Mozilla Firefox\firefox.exe,  (火狐浏览器)
*\**\Program Files\SogouExplorer\SogouExplorer.exe,  (搜狗浏览器)

*\**\Program Files\WinRAR\WinRAR.exe,  (解压软件)

*\Program Files*\Java\**\zipper.exe,   (Java配置程序)
*\Program Files\**\CCleaner.exe,   (系统清理工具)

*\windows\system32\winlogon.exe,  (系统登录进程)
c:\windows\Microsoft.NET\Framework\v*\mscorsvw.exe,  (.net运行库编译程序)
c:\windows\servicing\TrustedInstaller.exe,  (系统补丁安装程序)
c:\Windows\SoftwareDistribution\Download\**\*.exe,   (系统补丁下载)
c:\windows\system32\dism.exe,  (系统更新后的配置程序)
C:\windows\system32\Dllhost.exe,  (剪贴工具)
c:\windows\system32\LogonUI.exe, (注销重启工具)
C:\Windows\System32\Macromed\Flash\FlashPlayerUpdateService.exe, (flash更新服务程序)
c:\windows\system32\msiexec.exe,  (msi文件安装程序)
c:\windows\system32\wininit.exe,   (系统进入windows前的配置替换主程序)
c:\windows\system32\wuauclt.exe,  (windows更新程序)
Explorer.exe,  (桌面进程,很多时候代表使用电脑的人的操作)
svchost.exe  (系统服务主要进程)

关于安装过程中的流氓软件防御问题,个人觉得浪费规则没有意义,建议用有害策略来处理(希望麦粉们分享下名单库):


另外,上网加速问题,个人意见,可以适当放下图片文件(网页加载就是图片最费时):

---------------------------------------------------------------------------------------------------------------------------------------------

※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※※

=====================以下这两个是最初的,暂时抛弃=============================
规则附件:


如果程序上不了网,请根据日志,到“通用最大保护-禁止HTTP通信”里,添加程序的名字加以排除。
如果你搭配有其他的安防软件,如果日志显示有拦截,请添加排除。

==============================================================
喜欢分数的,可以试试加强版,280分的得分,应该是把FD的威力发挥到极致了(那些加载钩子、注入进程、底层磁盘访问的AD根本就不是VSE可以考虑的):


本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
zixiang5288
发表于 2014-6-16 10:59:13 | 显示全部楼层
支持柯林,近日好活跃,咖啡好久没什么规则了
462588842
发表于 2014-6-16 11:26:27 | 显示全部楼层
2、火狐保护的日志,例如:已由访问保护规则禁止         WillLight-PC\Will Light        C:\windows\system32\regsvr32.exe        \REGISTRY\MACHINE\SOFTWARE\MozillaPlugins\@qq.com/npqscall\MimeTypes        通用标准保护:保护 Mozilla 及 FireFox 文件和设置        已阻止的操作: 写入
————————————————————————————————————————
这一条我排除了,不知道是做什么的?
能细解一下吗
462588842
发表于 2014-6-16 11:31:11 | 显示全部楼层
mcafee助手(1.16.1) 这个助手你有没有认识会改的人?在8.8下失效了 应该是路径问题
462588842
发表于 2014-6-16 11:42:56 | 显示全部楼层
防恶意程序-禁止执行格式化命令  ——————我禁读全勾了
防异类病毒-禁止执行com文件—————————全勾
防逗比-禁止不明程序调用系统程序————————这条我个人建议用文件名排除,其实我觉得的这条就是心理作用,原因:阻止对所有共享资源的读写访问同理

建议加一条
禁修系统
要包含*
要排除     
要阻止**\Windows\**
勾上 创建  写访问  删除
这一条个有护心的作用不过加进去就满足不了“通用”二字

462588842
发表于 2014-6-16 11:51:21 | 显示全部楼层
因为没有导入 虚拟机 一年多不安装VSE了 实机就不导入了。

一直以来C:\windows\system32\svchost.exe是否必要排除每个人说法不一

保护 Internet Explorer 收藏夹和设置
我的排除cmdagent.exe, Explorer.EXE, iexplore.exe, rundll32.exe, SHSTAT.EXE, svchost.exe, taskmgr.exe我现在几乎IE
原来前三年都是 排除这两个Explorer.EXE, iexplore.exe
蓝核
发表于 2014-6-16 11:53:41 | 显示全部楼层
462588842 发表于 2014-6-16 11:51
因为没有导入 虚拟机 一年多不安装VSE了 实机就不导入了。

一直以来C:\windows\system32\svchost.exe是 ...

能不能一个楼层回复完毕……除非有人跟你交流

另外 每个人对规则的想法不一样 建议最好整理完毕再讨论
cocabean
发表于 2014-6-16 12:12:06 来自手机 | 显示全部楼层
好吧,折腾无止境
咖啡的fd和rd还是很强大的
ad可以交给组策略和applocker
nd交给系统防火墙
柯林
 楼主| 发表于 2014-6-16 18:45:03 | 显示全部楼层
462588842 发表于 2014-6-16 11:26
2、火狐保护的日志,例如:已由访问保护规则禁止         WillLight-PC\Will Light        C:\windows\syst ...

就是在火狐的扩展应用里添加QQ的应用设置,可能是安装QQ时候发生的行为,或者是运行QQ时发生的,类似于迅雷的添加页面上的应用吧

你以下几楼的回复,很有想法,谢谢你的支持和回复
我这个主要是立足通用的,太严厉的就不考虑了,目标是超越默认而有一定的防御强度,最终的归结点要像默认一样易用(难用的东西吸引不起大众的兴趣)
柯林
 楼主| 发表于 2014-6-16 18:48:11 | 显示全部楼层
linjuncpu 发表于 2014-6-16 12:12
好吧,折腾无止境
咖啡的fd和rd还是很强大的
ad可以交给组策略和applocker

其实默认规则的禁止HTTP通信这一条很实用很强大啊,正好弥补了系统墙默认不防外联的缺,对于神马下载病毒或恶意软件或者连接到病毒作者指定的网址的木马来说,一刀砍翻了,一条显神威哈
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 09:14 , Processed in 0.120400 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表