理解技术，吃透vse (ver.0.15.4.17)2015第一次更新 2楼

qpzmggg999

休眠时段

何为吃透？

词典定义：捉摸透;了解透彻

本人觉得，吃透一词，意为 理解透彻，深度感知，立体分析，活用活解

本篇文章带领大家，让大家了解咖啡之精髓，品咖啡之香甜。

补缺查露，学不懂之处！

当然，此文的不妥之处也请大家积极反馈，谢谢



话不多说，让我们从咖啡企业开始 一步一步吃透 VSE

s1.1 VSE之所以强大

软件技术，强而流畅
默认规则
众所周知，默认规则是vse的作者亲身为企业用户所量身定做的规则，默认规则可发挥出VSE访问保护的最大实力与最正确的保护意图，并将VSE强大之处之处表现的淋漓尽致！请不要说默认规则单薄 正如我之前所说的 许多咖啡的客户都依靠默认规则保护企业终端安全，这正是由于 VSE的作者尽可能的考虑到了任何可能在公司互联网中出现到的糟糕情况。而绝妙之处正是默认规则对于我们个人来说也十分强大和可靠 大家可以看看老一辈写VSE访问保护的规则的会员，他们现在大多数都是用默认的规则，犀利的规则 永远是默认规则！
访问保护
访问保护就是一个拦截点保护，但是随着对咖啡的认识渐渐发现，第三方规则违背了访问保护的初衷 禁运从来就不是VSE的本意，没有任何人希望禁运制敌 （我们设想一下，如果这个世界的互联网没有病毒，那么大企业都不需要装VSE了吧，由此可见 vse的作用是清理病毒和抑制病毒，而不是禁止任何程序运行，包括病毒 ）禁运，只是卡饭的饭友和一些爱折腾的朋友慢慢琢磨出来的一种 迫不得已的防御手段， 我们发现，默认规则只有几条是禁运 而且看看名字 都是迫不得已的规则访问保护就是禁运是卡饭的朋友最大的误解。
本人有幸联系到了官人，他很惊讶的告诉我 没有任何客户像卡饭这样写规则 而且90%客户都只用默认规则
VSE是安全软件
安全软件，VSE并不是一个纯行为拦截软件 （VSE根本和hips无关） 他同时还具有以下功能 1 本地库与本地引擎 2 云启发与Link.exe{企业云上传通道，很多大安全公司都有类似的模块} 3 本地病毒启发式 4 邮件内嵌扫描器 5 程序粉碎仪 6 企业链接软件（用不到）  看到这些部件了吧，有的朋友可以发现 这与市面上很多软件都无本质区别  VSE没有规则也一样是一条好汉 这是不容置疑的事情 而且VSE的精华所在并不是访问保护。

误解：叶知版主曾经说过 VSE的规则已经掩盖了VSE的所有，我并不知道现在小白是不是因为叶知的言论而在论坛中提问“vse是不是没有规则就很垃圾啊？” 如果是因为这句话而存有疑虑的会员们，请放心吧

DAT ENGINE
McAfee公司的核心驱动  DAT Engine 是最牛逼 最强大的 本人只佩服咖啡和蜘蛛的引擎  用久咖啡的人会知道 咖啡引擎占用资源少，修复速度快，威胁对比速度快，错误很少 几乎没有。同时VSE还根据企业情况推出了 跟踪感染威胁源技术  这可以最大程度保护病毒不在当前局域网/本地上扩散。 难道这样牛逼的 VSE 没有规则也是垃圾？？
VSE上的月神
月神技术，月神技术仅会扫描 引擎认为可疑的 文件   据官人说 月神不包括云主防 整个vse只有云启发！！ 云信誉 云扫描 都没有！！GTI的确有云信誉 但是只有EPO才能连接到完整的GTI VSE只能利用其云启发技术关于GTI全部内容，包括云信誉和启发。早期月神主要靠启发为主，vse就是这样。现在主要靠信誉，比如个人版和SAAS的所用到的技术。

后面有人说到GTI包含云信誉，请大家仔细看看这段话的内容，与你们理解的不同哦。

脚本扫描技术理解
脚本扫描依靠VSE的DAT ENGINE 它属于VSE按访问扫描的一部分，主要负责扫描ie缓存文件夹中的脚本文件，用来防止计算机因为浏览了带有病毒的网页而中毒。脚本扫描只能用来防止挂马，不能用来反钓鱼。此功能在windows server 系统下不默认开启，目前只支持ie和firefox浏览器。需要安装插件。不过就算不开启这个功能，当脚本被加载后也一样可以通过按访问扫描来防御。所以chrome用户无须担心

您，需要注意

VSE的技术老旧，大家可能初见vse的时候 都有一种想法  那就是 win95时代的界面 不错的，这个界面是赶走了很多小白 比起Sophos KEP SEP和BitDefender  ep 这个软件的ui确实 丑爆了 不要说VSE没有UI 每个软件都有 UI/GUI 没有你怎么与软件交互？ 有很多人为咖啡辩解说  企业用户不需要好看的UI 我说就是懒的  咖啡的ui设计师还是有不少的   大家可以看看mep10的UI  VSE的UI之所以如此简陋 大部分是为了减少成本，但是也是为了提高GUI打开速度！ 好 让我们再说一下vse的内核技术  首先引擎我跟大家说完了，其实咖啡更新引擎的速度比软件快多了  5500 5600 5700 一个8.8占据3个版本的引擎 可见咖啡对自己的核心-引擎 还是十分重视的，那么既然咖啡引擎如此之新 还有什么理由说咖啡内核老旧呢？？ 你也许会提到云技术不先进，其实对于咖啡这种世界级大厂 云扫描不够明智 浪费成本 云信誉难以维护 还有误报 云主防还不成熟 云启发是最好的选择了，咖啡虽然很早就有月神了，但是检测率已不可今非昔比了。 月神 只是一个接口 咖啡服务器上的月神代码肯定与时俱进的在维护，在更新换代具体信息请参阅咖啡企业官网

s1.1小节
1.默认规则不单薄且很强大
2.访问保护不是用来禁运的
3.咖啡的技术真正在引擎上体现
4.月神只是云启发
5.VSE技术与时俱进，并不落后
6.咖啡没有主防不是因为技术问题7.脚本扫描是用来反挂木马的，对钓鱼无力

s1.2 在Mcafee中

Mcafee与VSE，关系详细分析
咖啡主要针对的用户是企业，vse也不是个人安全软件 那么 vse肯定不会具有 1良好的交互界面 2高度智能化的软件AI 3易于操作的偏好设置 4小白化的一键任务  而且 VSE在实际上看来 他并不太适合于个人用户使用，人尽皆知 VSE是咖啡公司 MEPS 产品的一个功能模块 ，其意义是 VSE只是 McAfee 大型企业全面保护软件中的一个模块  它叫做 企业病毒扫描模块  它在企业中常常受到EPO的管理 我们也称之为 托管   那么 我现在列举一下 VSE在个人电脑上 用不到或者不常用的几个功能，或者模块  1.epo偏好设置 2.威胁类型管理 3.感染阻止 4.email扫描 5.client连接 等等 值得庆幸的是，这些功能对于我们来说都影响不大，而且卡饭的各位主要使用访问保护。 在这里我不得不提的是 VSE的一个核心定义   咖啡把VSE定义成 本地病毒清除模块 这也是为什么叫做VirusScan而不是 anti virus。  也就是说 VSE不具有防御任何非本地的能力 但是 因为挂马网页的频频出现 咖啡迫不得已为VSE 添加了 挂马保护中的一个小模块叫 脚本扫描  但是要注意 脚本扫描不保护chrome 和套壳浏览器 除了脚本扫描外 访问保护在后续版本中还添加了 网络控制中的端口控制 端口控制只能阻止软件访问其端口 不能真正意义上控制软件出/进 更不能监控流量 防御攻击 不过对于我们来说，windows已经给我们了一个相当不错的解决方案 至于这个方案我们以后再说。
月神，告诉你一切信息
月神的定位，起初月神只是咖啡为了提高对0差威胁的防御技术所作出的措施。因为咖啡不准备研发主动防御技术或者是 Process Monitor 技术（咖啡在之前研究出来一个 system guard  不过随后就放弃了这个项目，原因如下： 1 成本太高 2 当时行为拦截技术不太好 3 咖啡公司也不想随着Symantec搞）但是0 day威胁 与日俱增 对于这个世界级大厂来说，这可是给咖啡的员工抛下了一个大大的难题，不久，咖啡高层决定做一个 0时差威胁对抗网络  结果就命名为月神 ，月神起初就是为了防止0day 这个解释也很好的说明了 为什么 月神只有云启发 且 只有本地引擎认为可疑的文件才会被月神扫描，至于现在的月神（GTI） 就是一个更为宏观的防御体系了，本文不再累述，有兴趣的朋友请自行到咖啡企业版官网一探究竟。   VSE 现在保留月神的意义 对于我们个人而言 就是对0day的一个补充保护！

这里指的月神是对我们而言的作用，连接到GTI并受到更好的保护恐怕就需要EPO进行连接了，云启发和云扫描是不一样的概念，云扫描就是特征码对比技术。

请不要人云亦云

咖啡的引擎不是自己的，咖啡现在的引擎是收购所罗门的引擎，算是自己的 早期咖啡使用的是avast引擎 不过那已经很早很早了。现在咖啡引擎从开发到推送都是咖啡公司自己搞定的！

咖啡都没人用了，在中国咖啡的确用的人不多，就包括大企业也是一样的，咖啡主要市场在欧美，澳大利亚等以英语为本土语言的国家，在美国 咖啡个人版在个人用户中占有率第一，第2是Symantec Norton

咖啡没有主动防御技术是因为技术不行，这一般是小白对咖啡的认识，其实不是这样的。每个软件都有不同的防御理念。咖啡不做主动防御与技术无关。

s1.2小结
1.VSE是一个保护软件之中一个模块
2.VSE主要保护本地
3.月神是一个保护0day的组件
4.咖啡的引擎是自己的
5.咖啡使用率很高，在中国不高

s1.3 咖啡子版吃透
版区资源，你的宝库

本人强烈建议先写一些简单的规则，保存确认，并看看是否运行。在实践中摸索一些写规则基本套路，再去看他的帖子升华。本人比较推荐他的语法语句讲述。可以说 能完全看懂他的那些高深技术的人，已经吃透一半的咖啡了 剩下的仅需自己慢慢上下求索 即可全部吃透， 不过幸运的是 你们有了我！！！ 你只要有一个vse写规则的基础 看完此帖99%的人皆可吃透规则，即使没有写规则基础，本帖也会一点就会，本人不是吹牛也不是装B 看完上2小节的理解 你应该对VSE以及月神的定位有个详细的理解 而咖啡版区内其他介绍与说明都给人一种高不可攀的感觉。这就是我的厉害了，是吧（笑）。

墨池他对默认规则的理解也是十分有独到的见解和我们学习的价值，具体帖子链接在置顶的墨池个人作品导航贴中不难找到，版区内的精华我不认为是规则，版区内的重中之重应该是大家所留下的心得，见解，概念解释与具体实验。我为什么不把规则放在首要位置，其原因很简单，规则 人人都可以写出来，写规则要依靠什么？ 不错，写规则就是要依靠那些会员们给我们留下的心得才能把规则写好，写全！ 所以本人更推荐小白在实践中学习，不是学习第三方规则 而是学习那些解析软件的精华帖子，文章。这样才能让你逐步攀升，大概读懂 这些文章之后，方可自己小试一笔，写一些简单的规则。这时在参阅参阅第三方规则 方可实现升华个人知识的效果

版区的老版主叶知的精华是没有哪个人的文献可以比得上的，我建议大家在写规则的时候参考叶知的访问保护详解和一些语法的注意点，这样可以避免你写出来的规则有语法BUG 叶知的规则也是可以借鉴的，但是本人认为还是教程贴对于一个人的帮助更大！

那么下面对于全局安全文章做一个推荐性的理解阅读，要想玩透VSE 最好知道一些软件最基本的运行原理 （比如 HIPS 是通过 API HOOK技术 阻断软件行为的 总线技术是软件高智能度的代表 云扫描是提取特征码从云端对比 等等 本文不再累述）我推荐大家看看卡饭 HIPS区 毛豆区 的一些规则，这些安全软件规则都大同小异，要保护系统的关键位置也就那几点（hosts，safeboot等 本文不再累述）那么 大家看过一些安全文章和弄懂其他安软规则1 2后，再回过头来看VSE的规则，你就会有一种豁然开朗，如鱼得水的感觉。

请不要怕，你也能行！
VSE版区内的知识文章都高不可攀了，VSE版区内规则都安全无比，拿来就用就是最好的了！  这个问题常见于新手和小白，首先我认为 使用VSE要有一些计算机安全基础，其次 在看知识型文章时应该做到一边看一边实战，其实vse一点都不难以利用。只要把几个操作熟练之后，你就可以将vse作为你的防毒利器！VSE第三方规则上面也讲的很明白了，不建议大家直接套用（哪怕是老玩家）建议大家先去读一读那个规则的防御理念，这个理念是很重要的一部分，他决定了规则的性格以及走势！如果读完规则理念后还是难以理解其所想要表达的安全宗旨，我建议私聊作者或者跟帖/发帖询问，知道哪个规则适合你之后，就开始修改规则，其中每个人都必须修改规则，无论是禁运型还是通配型  如何修改规则我会在下面讲解 此处不累述

s1.3小节
1.叶知的技术贴最好都读
2.墨池的默认规则理解最好读读
3.技术文章比第三方规则来的实在
4.多读读安全文章（要以概念理解为主）
5.VSE不难，用心即可领会

s1.4 更多信息
关于此文
这篇文章与其说是一个解说，不如说这是一个导航，一个指南针。从新手小白，到老手大牛都非常适于阅读。如果你对VSE望而却步，读了此文 你必将有信心体验 VSE 带给你的保护，体会到VSE的先机技术和领悟到咖啡的安全观念与市面上其他公司的独到之处，如果你对vse有一定的理解和使用经历，参考此文，你一定会查却补漏，了解你之前所不熟悉的知识，理解规则真正的含义所在，制定出属于你个人的专属规则。谢谢！
关于支持系统理解
VSE8.8 最新版本是8.8 patch 4   支持的系统从 NT 5 到 NT6.X （从xp 到 8.1 upd1） 兼容所有系统的 8086 处理模式 和 X64 处理模式 ，mac版本的VSE不在本文讨论范围之内  注意一下： 在64位系统和Windows 8，8.1，8.1upd1 32位系统之上，VSE没有缓冲区溢出保护，原因很简单，具体原因如下 64位因为其架构的安全性以及没有开放那么多的接口（与32位相比） 所以几乎很少出现缓冲区溢出现象，而且针对64位的病毒基本不以 缓冲区溢出 为主要攻击点 ，同样 windows8 （NT6.2） 及其以上的系统，微软强化了其安全结构 包括 DEP等等，使其不易于受到缓冲区溢出攻击，说得简单一些，就是微软本身为自己的系统提供了足够可靠的反缓存区溢出解决方案，VSE已经不需要多浪费系统资源去保护系统了！ 没错，vse没有缓冲区保护并不是兼容性不够好的原因，而是微软做出了替代的解决方案。正如win8 微软对其裸奔的用户免费提供了解决方案 MA 一样，不过MA和Dep之类的 能力完全就是天壤之别（ 在同一领域之内作用比较） 本文不再累述 有兴趣的可以移步MSE讨论子版。
组合初理解
首先，本人并不推荐使用组合，因为不同软件公司写的软件相互之间肯定会有摩擦，因为大家都是安全软件啊。但是！注意了 VSE，McAfee Agent，HIP，EPO，McAfee Web Guard等等 是没有任何摩擦的，原因如下： 1.据官人证实没有摩擦 2.这些模块组成了 McAfee 大企业安全软件 ，没错 他们都是一个产品的不同组件而已！ 他们不是国产杀毒和卫士的关系，他们比国产组合关系更为远离，各自干各自的事情 互不相干，发现问题就传送报告到 EPO 进行汇报，所以他们不会有任何摩擦 并且你可以看到VSE默认规则是排除掉所有 McAfee产品的！尤其是HIP。3.基于原因2 很多的企业都是组合使用这些模块，企业使用的东西一定是稳定可靠的，而且是咖啡工作人员建议他们这样干的。   继续说组合，据本人了解 SEP+VSE 即使是纯墙SEP， Symantec的架构核心还是会存在的，他有可能会与VSE发生冲突
本文不再累述，我只想表示一个观点，不同公司的安全软件还是尽量不要往一块儿凑合，即使你没发现冲突也不要这样。 什么读盘增大，cpu暴增 大家也都应该有所耳闻吧。这就是我提出这个观点的主要原因！
HIP理解
HIP作为 McAfee 大企业安全软件 中的一员，他的地位和VSE是同级的，他作为一个企业软防火墙的存在（完全和HIPS没有任何关系），他的主要任务并不是拦截多少网络攻击，而是控制程序访问网络，控制程序使用网络协议，控制程序访问外界网络站点，他与VSE最大的相同之处就是：都是基于本地提供保护的，没有任何本地以外的防御能力 （最早版本） 。  没错，大家玩咖啡早点肯定知道 咖啡企业版很早有个防火墙，后来没有了。对的，这个就是那个防火墙的加强版，他被咖啡强化了 本地 IPS 和网络 IPS {本地以外的规则和本地的保护}（注意一下 这个IPS不是 Symantec Network IPS技术，他不是反挂马的！）这个IPS也是依靠规则的，不过很遗憾 这个规则不能本地编写，一定要托管后才能照顾到。 另外 HIP 在没有EPO的情况下 不会抽风  如果看到HIP不能自动启用保护的状况 那一定是 HIP默认设置不自启 或者没受到EPO指令下不启动保护（免得拦截了推送规则更新的内网） HIP没有EPO的不正常现象不是软件的BUG造成的，因此不能说成抽风。 HIP在开启保护情况下，即使没有EPO 也一样会遵循防火墙规则来阻挡禁止联网的软件和端口！ HIP的更新问题：在没有EPO的情况下 HIP也是有办法进行更新的 只要依靠McAfee Agent托管就可以（MA也是一个企业模块托管器，但是他并没有管理安全模块的功能，只负责统一电脑内装的模块并且 更新他们的定义库，仅此而已）具体托管办法可以搜索 VSE托盘图标更换（其实就是用MA代替VSE的 stay） 本文不再累述。
HIP小提议：
本人不建议个人用户使用HIP 太多的问题难以解决，并且安全性也难以保证，咖啡官人建议我们如果使用VSE最好就是搭配windows防火墙（尤其是vista及其以上系统版本的用户）
VSE和系统墙是完全兼容的！和Windows update也是完全兼容的！ 如果规则触红请调整规则！

推荐阅读
http://bbs.kafan.cn/forum.php?mod=viewthread&tid=964518&highlight=%C4%AB%B3%D8
http://bbs.kafan.cn/thread-1416767-1-1.html

其余项小结
1.这篇文章是一个详细概述如何操作vse的文章
2.VSE对现在大家使用的系统均支持，不存在功能阉割
3.不同厂商安全软件组合要谨慎使用
4.HIP在没有epo下不会抽风

FirstFloor ExtraPart I 未来的月神

从EP10说起
2014年7月份，Mcafee公司发布了来自未来的咖啡安全软件 Mcafee EP10 beta2 版本，这个版本与beta1截然不同，不但使用了最新版的测试架构，而且多出了很多技术，改善了Mcafee安全软件对于漏洞防护（基于 DEP高级数据执行保护）和 缓存区溢出保护，并且做到了比 VSE更兼容64位系统。EP10是整合了 VSE HIP与 web control 的中小型企业保护解决方案，Beta2已经具有 VSE 8.8p4的全部功能（但是没有访问保护自定义规则）。

全新，全意，全安全。
在EP10上，最可以突出技术改进部分的就是月神技术，我们熟知，在以前，无论是 VirusScan 还是 个人版Mcafee GTI（月神） 仅仅在 按访问扫描模块和按需扫描模块，但是 从ep10看来，GTI已经无处不在，从最基本的核心扫描，到防火墙 ips，再到网页控制，可谓处处都是有Mcafee GTI的应用和存在，我相信，在不久的将来，Mcafee一定会把 GTI带来的任何优势带到Mcafee终端产品上去，未来的月神，已经不仅仅局限于 3年前的云启发 也并不只是 1年前的信誉云了，未来的月神一定是一个宏观的防毒立体体系，从特征码启发，到防火墙云，在到信誉云，在到拉黑云，最后到服务云。未来的月神一定会更好的服务于我们每一位Mcafee的用户！

FirstFloor ExtraPart II U盘安全
咖啡官方解决方案
我们都彼此清楚，VSE在没有依靠月神的情况下病毒检测率的确不高，甚至是低下。不过，大家也不需要担心，因为有月神的存在。而如果你的计算机没有连接到互联网的时候，你可能会存有疑虑，也就是说VSE没有足够的手段来对付U盘威胁。 其实，这只是杞人忧天罢了，Mcafee的单机离线病毒库虽然对现在市面上的互联网威胁检测率不高，但是，对U盘病毒却有很大效果。不错的，咖啡离线病毒库专注于控制离线U盘病毒和会扩散的局域网感染性病毒，即使没有连接到月神网络，咖啡也能即使控制住在U盘内的威胁。而对于全新的U盘威胁出现，大家也并不需要过于担心，咖啡本地的虚拟机启发中有很多专业启发离线病毒的规则，只要文件有感染性，就基本会启发的出来，没必要太过于担心。（u盘病毒90%以上都是感染型，而对于宏病毒，我们更不需要担心。咖啡对于宏病毒的修复能力可以说是3大效率最高的一个了，而且在MS office2007及其以上版本都提供安全模式（safe mode）选项，大家无须担心有宏病毒的困扰！

规则解决方案
官方默认规则已经给了u盘病毒相当大的打击了，不让运行缓存文件，禁止写入windows，禁止写服务，禁止写启动项，这4个规则已经瘫痪了80%的病毒了，即使电脑染毒了，重新启动之后，电脑依然会健康的活下去，这也是vse访问保护的宗旨！
至于为什么官方没给出禁止运行autorun的规则 本人觉得没必要，windows系统已经自己可以手动禁用掉自动运行upan选项，大家可以在百度上搜索，本文不再累述。

FirstFloor ExtraPart III 漏洞保护技术详解
通过系统原有资源来保护计算机系统中的漏洞免遭入侵
相信在卡饭的朋友们都知道 windows自从很早起，为了防止0时差威胁对计算机的侵害，为装有windows的系统提供高级数据执行保护，也就是DEP。现在，具有漏洞保护技术的mes10beta，可以充分利用并且加强DEP的能力和潜在威胁检测率，相信在不久之后的将来，他也能被其他mcafee安全产品所使用。

通过GTI来保护漏洞攻击
全新的漏洞保护技术并不仅仅局限于DEP的加强，现在漏洞保护可以和GTI并肩作战，保护计算机免受漏洞困扰。

通过已有规则来保护计算机
漏洞保护内置了漏洞反入侵规则，对于已知漏洞具有防御效果，并不是新版漏洞防御才有的，本文不再累述。

VSE不具有漏洞保护，但是具有缓存区溢出保护
缓存区溢出也可以说是一个漏洞，病毒可以利用溢出来执行恶意代码，VSE本身就提供了保护。不过值得一提的是 VSE的缓存区溢出保护仅仅支持windows xp，vista，7（32-bit）其他系统的缓存区溢出保护由HIP提供。

qpzmggg999

s2.1  Epo与VSE理解，GTI理解
- epo，vse 位置关系

EPO与VSE同样都属于 McAfee 大企业安全软件中的模块 不过他们的不同点就是 EPO与安全无关，不能保护你的电脑 他主要的作用就是收集VSE和其他咖啡本公司的软件的警告与信息（包括 升级信息，运行信息，软件错误信息，系统信息，网络信息，软件本身的信息等等） EPO把这些信息进行归类并且以一个较为直观的方式把这些信息展现给咖啡的客户 （其所用的展现方法是，列数字，统计图，做比较等等，本文不在累述） 以上是EPO的主要任务之一，那么之2就是统一部署策略到安全终端（也就是McAfee 的各种模块），大家可以想象一下，在一个大企业中，有成百上千万台计算机，如果管理员挨个为每台计算机都安装对应的安全模块，那是要累死的，而且以后更改设置也不方便。为此 统一部署策略到安全终端 对于我们而言 就是我们常说的 批量安装模块和批量修改设置，这就是EPO第2个任务，而EPO所要做的第三个任务是 推送命令任务，这是无法直接在 模块GUI上体现出来的 （前面的2个任务 我们个人用户即使不安装EPO也可以 看到报毒信息和修改部分设置 要注意了 不装EPO只能修改部分设置，不过值得庆幸的是 VSE可以自己修改主要的设置，而对于悲剧的HIP，我们只能修改次要设置） 命令推送任务是企业安全软件的精华所在，之所以有这个任务种类，企业才能更加安全，随着文章的深入，我们会提到一些EPO的命令推送以及一些 VSE被阉割的设置 （不谈HIP） 但是我们的重点还是要放在没有EPO环境下的VSE，因为卡饭的会员中能用到EPO的不是很多，我可以放心的告诉大家，对于我们个人用户而言，与Symantec不同，在个人环境下没有EPO的VSE也一样安全，为什么？原因很简单 VSE起初被设计就是可以被托管或者也可以拿来直接使用的，毕竟本地杀毒是安全软件的核心，McAfee已经考虑到了企业中部分计算机可能因为某种限制而不能受到EPO的管理，所以你会发现一个问题 VSE照比 HIP 或者 MDD 在没有EPO的情况下，可以设置的选项多得多，可操作的警报选项也十分详细！

- EPO中的VSE与非托管的VSE异同理解，以及个人的建议

刚才到EPO中看了一下，VSE没有而EPO有的设置仅有一条，那就是取消开机图片。（已亲身体验）实际上这个方法也有，具体请参考卡饭内的文章。话说回来，真的是应了我上面说过的话，因为VSE是安全软件之根本，是安全公司最核心的内容，所以McAfee公司把所有选项都呈现给了单机用户，那么，VSE与被托管后的VSE差别仅仅只在是否可以做到推送任务，这对大企业而言固然十分重要，不过对于卡饭的各位却并不是非常重要，并且EPO占用资源不小，每个会员的电脑上都安装EPO不太适合，另外就是EPO有90天的免费评估期，不过如果装了处于评估期的EPO后，相应托管后的VSE，HIP都变成了试用版，也就是说只能用90天，而大家都知道，在咖啡官网或者置顶帖下载到的VSE独立安装包是无期限的，根据以上的种种理由，我想对大家说2点： 1.个人使用VSE完全不需要EPO 2.个人电脑不适合安装EPO，授权也是一个大问题。 我看了一下HIP在EPO中的设置，的确很全面，没有EPO真的不建议使用HIP。
- GTI
GTI前身为月神，几年前加入了云信誉，而最新的GTI，则是一个完完全全的企业保护神器，是一个全世界的主动威胁感知防御体系。没错，GTI并不仅仅包含着云扫描，也不是几年前简简单单的一个信誉统计，如今的GTI完全是一个即拉黑，网页保护，信誉控制，云端启发为一体的威胁感知网，而且他和其他公司的云还不一样，GTI的信誉云运作方式和某铁壳有着一些不同，其最主要的区别就是，GTI不会因为信誉不好而直接认定程序是病毒，而是因为信誉不好所以让云启发提高警戒程度，这一点也属于人工智能的一个部分吧。而且大家可以看到，自从GTI的诞生，咖啡处理病毒样本的速度就今非昔比，没错，咖啡如今大量的使用基于GTI规则的终端机来分析病毒样本和网站信誉（就如同趋势一样），我们大家都知道，咖啡早在几年前就收购了一家网站信誉评级公司，而如今，咖啡把这个信誉评级公司加入了GTI的一部分。使之更强大，更加可靠！



S2.2 Virusscan 全名 病毒扫描器

part1 从软件在安全系统中的位置开始无话不谈

安全系统 也就是 sure system 他是一个软硬组合的综合概念，至于硬件安全体系，个人也用不到 谈了也没啥太大用处，本文主要仔细探讨一下 软件安全体系 和 威胁规避体系
首先，软件安全体系就是软安全体系 那么 什么是软件呢？ 我相信大家已经能区分的开了，不过要注意一点 不仅仅应用程序是软件，就连系统本身，驱动程序 甚至是BIOS 都是软件。软件接收数据，生成数据，主板硬件运送数据，接口卡硬件处理数据（这里把cpu也看做接口卡硬件） 对于计算机基础原理我们有时间再去讨论，那么现在大家要明确软件安全体系包括哪些，大家可能都知道 安全软件都有杀毒软件，HIPS，防火墙，反间谍软件等等。对的，他们就是安全软件体系中最重要的一部分，他们有一个鲜明的特点 都是基于OS平台 （譬如 Windows 或者 OSX）而工作的 这些安全软件也同样主要控制在OS上活动的安全威胁。而除此之外，其他的软安全体系的种类包括 Base I/O system Guard 和 OS Base Def   他们都是我们不常涉及到的软安全，企业会把他们视为重要的安全保护神  BIOS guard主要用于给电脑从硬件BIOS中设下密码，以便于防止电脑内的信息被其他人所看见。OS base def 包括上文提到的 高级数据执行保护  其主要作用也与个人关系不大，本文章主要讲解的就是和大家密切相关的 基于os的安全软件。

威胁规避体系。随着网络安全与计算机病毒的不断进化，大家也可熟知，网络安全从一个 杀病毒时代走向了一个防病毒时代。而今天 2014年，我所要强调的是 规避 2字，什么是规避？用土话来说就是躲掉，不错的 这个名词的意义就是躲开病毒的方法。卡饭流行的一句话 好的习惯就是最牛逼的杀软，其中 好的习惯就是一个最好的威胁规避的方法，而装安全软件则是在病毒即将运行的时候把中毒的机会躲避掉，而自从你装了VSE 你的电脑上就出现了第三种最主要的威胁规避方式。 “带毒而不中毒” 说的就是访问保护的作用 病毒虽然已经驻留在内存之中，却无法做恶，这。其实也是一种威胁的规避方式，而且只要把启动项保护好，重启之后病毒将无法重新在内存中运行。此时 威胁被完完全全的规避了。
不知道大家是否已经理解这2个概念，尤其是最后一个规避概念，实际上访问保护最早被做出来的原因就是因为第2个概念的存在，而如今却被饭友大量的用来做禁运。我也不能说禁运不好，只不过我想说一句，规则是一个安全部分，是用来阻断病毒入侵的，不是来阻碍正常软件运行的。这样禁运还要做大量的排除，实在是违背了软件本意。而且还会给使用者带来极大的不便，尤其是安装软件的时候

s2.3 软件实际运用部分理解-1.设置理解

part1.控制台UI理解（新手向）


Photo 2.3 -1

如图所示，我们把VSE的控制台简单划分为4个部分，浅蓝色为选单区域，深蓝色为控制组建区域，紫色为组建模块状态显示区域，绿色为解释区域，其中绿色模块在实际操作中没有多大意义，我们先不看，我们要注意一下，在浅蓝的选单区域内  查看（C） 控制着整个UI的情况，它具有2个功能，一是关闭深蓝色和绿色的区域，二是刷新紫色的区域 （紫色是基础，深蓝色依托于紫色中各个模块的状态而决定哪个按钮可以按下，这也就意味着刷新紫色区域时，蓝色是一个被动刷新的状态）

看完了关于一个UI的大概，我们理解一下每个单选（浅蓝色）栏中的选项吧，首先 任务（A）选项对于我们没有太大的意义，不是说功能没用 而是所有的可选选项都可以在GUI内完成，无需唤出任务 菜单，不过此时还是让我们理解一下 任务 菜单内包含着什么。 点开之后 任务（A） 主要有3个功能 1.查看属性 2.控制当前在紫色栏中选中的模块（默认是访问保护，在图 1 中大家可以看到，访问保护是被选中的，那么此时点击 任务 菜单内的停止选项，访问保护就会被停止，点击属性就会出现规则设置，但是此时就不会有统计信息按钮，因为统计信息仅在扫描任务中可见，对于访问保护来说，只有查看日志是可以在 任务 菜单中选中的） 我们再来看看 任务 中的其他选项 创建扫描任务和镜像/更新任务，前者是关于自定义扫描的，我们以后再提，后者个人用不到的，我们后面不提，这里简单说一下，镜像和更新任务都是要基于被托管的MA才能进行的，且EPO要给出相应的任务才可以执行，本文不再累述，对我们用处不大。

再来看看最没用的 编辑（B） 选项 他主要是对模块（计划）进行修改以及删除 这同样可以在GUI中完成，这里就不详细描述，值得一提的是，1.这个选项的 粘贴 任务 实际上代表就是插入一个任务 2. 复制就是准备插入一个任务，对于个人而言，在VSE上复制并粘贴的意义就是克隆出一个一模一样的计划（个人用户不可能一台电脑装2个VSE吧） 3.这里的 删除和重命名都是针对 默认的扫描计划，自己的扫描计划，以及自己的镜像/更新任务计划。但是自动更新组建虽然无法删除但是可以重命名。

查看（C）已经在上面的一个段落内讲完，现在我们再来看看 工具(D) 这个菜单中的第一个任务是无法通过VSE的GUI（包括其他渠道）来执行的全局设置，这个我们会随着文章的深入进行讲解。而解锁和上锁则是有关于全局设置中的密码保护的设置。接下来的 3个选项分别是 深蓝色区域内的后5，4，2的按钮。平常使用VSE的时候用不到，尤其是连接远程计算机。下面有一个关于病毒库的设置（统计信息后面会讲到），导入导出dat是指 dat服务器列表，是在特定的企业环境中使用的，与我们无关，这个工具 菜单 唯一的2个重点就是 第一个全局设置和最后一个回滚DAT，回滚DAT是为了防止新的DAT没有足够的测试，导致了大量误杀的补救措施，当新DAT出现大面积误杀的时候，除了用排除，还可以回滚到上一版本的DAT。 回滚DAT选项也无法在GUI内操作。

对于最后一项帮助（E） 我只说最后2项，修复安装就是指把软件还原回默认出厂设置。关于里面查看 VSE 的信息。其中最关键的包括 扫描引擎版本，DAT创建日期和以安装的补丁。至于拓展DAT，我们不再细谈，拓展DAT就是当你上报病毒文件并且咖啡确定这个病毒是有效的病毒且现在的病毒库无法发现这个病毒，咖啡公司就会随返回结果的邮件，一起发送 Extra DAT 文件。当你把 Extra DAT下载到本地运行后，VSE就会被安装上 拓展病毒库，那么此时，之前不能被正确扫描到的病毒就已经可以被发现了！一般咖啡公司检测到的病毒都会于明日下午5点钟 一起打包写进新的 DAT，所以大家无须担心没有Extra DAT就杀不了特定病毒了，因为Extra DAT中的内容会写入下一个病毒库中。

谈完了 浅蓝色的选单区域 再来说说 深蓝色的组建控制区域，实际上你会发现 深蓝色的区域是一个完完全全的GUI控制部分（GCP）其中的前三个按钮分别是 查看当前选中（在紫色区域内）的组建的属性，和模块停止或者运行 接下来3个按钮分别代表 编辑 菜单栏中的几项功能 后面的闪电标志下面会讲解，然后其他的按钮对于我们来说没有什么大用，最后一个创建扫描计划之前已经有提到过。

其余的2个控制区我简单说一下（后面会详细提到） 紫色的组建模块区域 这其中显示了 1当前组建的状态（通过ICON来判断，其中仅对保护组建有用，对于其他计划和更新模块无用{不能通过ICON来判断扫描是否处于启用状态或者是否正在更新DAT})2当前组建的信息（是否处于运行状态，上次运行结果如何） 而最下面的绿色解释区域就是来解释鼠标选中的功能是来干什么的  （仅仅解释浅蓝色的区域）无什么实际用途，可以选择去掉这个显示模块。

Part2 模块属性理解

1.按访问保护属性

这就是按访问扫描的属性默认界面（常规设置-常规） 在这个页面我们可以选择 VSE监控引擎对哪哪些区域进行动态监控，那么
1.引导区监控-- VSE按访问保护会扫描系统的引导区和电脑磁盘的引导区。并且清除病毒。
2.关机过程扫描软盘--为了防止软盘威胁在安全软件关闭后感染系统，vse会在关机前扫描一次所有软盘。不过现在我们不经常使用软盘了，没有必要启用扫描了。
3.内存监控-启用进程扫描--这个选项开启后VSE将会实时扫描内存内的新进程，一般来说，VSE会在病毒运行前对他进行扫描，所以我们一般不勾选在内存扫描，免得浪费资源，不过有一种扫描思想，就是不开启按访问扫描的读写扫描，只开这个进程扫描，1是避免VSE监控拖慢磁盘文件移动修改的速度（复制粘贴解压等等）2是减少VSE的读盘。不过这样安全性有待于商榷。
4.扫描可信的安装程序--这个也没必要开启，首先国内的白加黑弄到的假签名都不是VSE受信任的，其次VSE受信任的也没有几个厂家（不像毛豆那样），最后 扫描的只是安装程序，即使不开启这个选项，可信的程序安装好后还是需要被扫描到的。
至于开启启动项和扫描时间这里就不提了，没有什么价值可言。建议 开启动项 扫描时间默认即可。
最后看看这个月神，这个VSE上的月神和GTI还是有应用上的区别的，EPO上的GTI主要以信誉为主，而VSE上的月神主要就是启发，值得一提的是 月神一共有7个选项  从禁用到极高，VSE只能调节到非常高，个人版和SaaS可以通过注册表改动到极高级别。VSE在patch4以前 默认月神级别是低 patch4改为中，个人版和SAAS一直是非常高级别。且不能通过GUI改动月神级别。


之前提到过了脚本扫描--一个基于DAT ENGINE的实时扫描技术。它主要检测java和VB脚本，实际上在中国实际用途不大。下面是排除选项，可以排除网站等等，排除语法与规则语法相同。*是通配符 （比如排除 www.kafanvse.com 和www.kafanmcafee.com 就可以写 www.kafan*.com)

阻止这一拦对于个人用户而言意义不大，消息那里就是发现病毒以后与epo回报消息是什么，阻挡那里就是说，当你的计算机通过网络连接共享并且查看其他计算机的时候，vse会对其他计算机的共享文件夹进行扫描工作，一旦发现威胁就会阻止你打开病毒文件，并且阻止连接到此染毒的计算机。


这里首先说一下用户可采取的操作，就是说当病毒被发现之后，vse会弹出一个集合式的警报窗口，当用户选择病毒后，右键病毒可以操作的事情，我建议3个选项全选
上面的面向本地用户的信息就是说当病毒被发现后vse该如何通知你，可以自己自定义，没有什么太大用处，与安全无关。





这个操作方式建议直接默认，因为咖啡发现病毒删除实际上等同于隔离危险文件，而不会真正的删除


2.小提规则属性

待续………………


s2.3 默认规则理解

1， 规则效力-全局禁运？

从身边说起
咖啡的默认规则大体分为 浏览器及其缓存控制部分，缓存文件夹控制部分，系统重要设置保护部分，文件拓展名控制部分，中毒后的禁运部分，Mcafee自保部分，c盘windows重要文件夹内控制部分和虚拟机保护部分（很多软件都和vmware有合作关系，比如symantec也有类似保护计划）
其中9个部分中涵盖了3大块 1 文件操作控制 2 注册表操作控制 3 端口调用控制 也就是说 VSE的访问保护并不能阻止 1 注入行为 2 网络入侵 3 底层入侵
VSE对于高权限威胁没有任何方法，所以我们必须在病毒没有提权的时候就阻止他们 即 阻止提权，但是我们一眼望去默认规则貌似并没有 驱动文件夹控制 部分，其实上 还真的就没有 于是网上就有各位大神写出了 类似防止驱动文件夹被写的规则 比如 阻止 C：/windows/system/drivers/** 创建文件 但是 这不必要 如果用户的系统是 64位你岂不是还要多写至少2个规则吗？实际上，网上的drives规则 包括 禁止写入  c：/windows/** 或者 c：/program files */** 都是画蛇添足 （我去年在NT6规则上就犯过这个毛病） 而且我大致浏览了这些第三方规则的写法，阻止一般都是5项全勾，但是大家要注意 80%的正常APP都会读取 windows文件夹内的文件的，如果你的软件不都装在 program files下 那么恭喜你 中彩票了！也就是说：你需要大量的排除你的软件的主进程以及分支进程，尤其是专业app会不断的调用windows内的DLL文件 如果你控制了全盘的 dll文件 那么恭喜你 你又中奖了，从此你就进入了排除时代！而使用通配符还不够安全。
也许你会认为，只要把专业app排除了不就没事了吗。也许哪天 当你下载一个专业app破解补丁的时候 存储到了专业app的文件夹内 一不小心（100%是忘了）运行了 那么恭喜你 病毒感染你系统后访问规则都没有日志。
没有人能做到100%不犯傻，有的时候就 头一热 就把病毒排除了 所以对于禁运流来说 一定要认真审核你电脑上的每一个软件。 如果你觉得这句话不错，那我就笑了，既然这样还要禁运有什么用？我相信卡饭的大家下载软件后都会对软件来源进行安全评估的。所以我觉得禁运只不过是在次评估的，实际意义不大，一般都没什么用，该中毒还是中毒！
默认规则的防御思想是 允许所有软件运行，并且正常调用api等等，但是不允许软件进行可疑操作，我觉得这是一个非常好的防御理念 （不知道比非白即黑的禁运好多少）而且回到我上面的 病毒写入windows 文件夹内的问题  你可能会问我 默认规则不能防止病毒写入windows文件夹内，要是我问你为什么，你也许会说 很多第三方规则都有禁止向windows文件夹内写东西的规则 （我的规则，墨版，很多很多。我现在看来 也就叶知是聪明的。。没有这种规则） 我写禁止病毒写入windows (包括 program files）的规则 是因为 我傻了。我会告诉你默认规则已经提供了禁止写入windows文件夹内的规则吗？ 没注意？ 你再仔细找找。通用最大保护里面 而且防御的非常得体 禁止创建可执行文件，这不知道比单独禁运要好多少。如果你问为什么好？ 那我回答：具体下面我会在讲。

全禁运还是仅防写？
我上面提到过，如果全禁运会带来许许多多的麻烦，例如排除动作。我们应该都知道，读取windows文件夹内的程序或者拓展属于普通的安全动作，而写入windows文件夹内是高危险性动作。那么，默认规则正好提供了一个防止windows文件夹被恶意写入的解决方案！而与此同时，并不会有很多安全的程序会向windows文件夹内写程序！这也就大大减少了我们需要排除的软件数量，我们不再需要通配符的帮助，这会大大稳固规则的安全性，这，就是默认规则之强大。我们不限制任何程序的正常运行流程，我们只控制对系统有危险的部分。

让限制少一点吧

提供上文的描述我们不难发现本人并不建议大家使用全局禁运（Files limited），其原因总的概括来说有以下几点：

A:不够便利，白白增加排除量。

B:不够智能，容易排除失误。

那么我现在要提出第三个关键点（main idea）

C:不够安全，全局禁运并不能改变现状。

首先，先让我们思考一个话题(topic):端口禁止规则真的有用吗？

在这之前我想让大家明确：VSE的端口禁止只是禁止访问罢了。所谓的入站和出站也只是站立在客户端上的管理罢了。再通俗一点的说：VSE所有端口规则都是全局禁运某一个端口。

回到正题：我们分为2个角度（standpoint）去考虑，第一是内对外访问（上传upload），第二就是外对内访问（下载download）。

一般来说黑客都是从外网通过技术手段入侵到内网来非法获取信息，那么也就是说想要从根本上阻止黑客光临你的计算机，就要从外网切断一切不安全因素(unsafe media)。

可是很快你就会发现你的VSE对这毫无防御能力，因为VSE只能在乎到本机的安全因素(only endpoint antivirus)。于是我们被迫把防线拉到后面。开始了全局所有端口禁运模式（posts limited)。可是这真的有用吗？我想问一问大家你们写这条规则的时候是否排除了system主要文件夹呢?如果你排除了，那么恭喜你，这条规则将没有任何意义。就笔者长时间研究中国流行病毒来源-目标而言，大多数的远控程序都是直接注入（Hook）到系统（system process）从而进行远程控制（remote control）那么此时此刻你的规则是毫无意义的（Insignificance）。                    2015/4/17 破天荒更新 upd1

qpzmggg999

s3.1安全论

EXTRA PART - McAfee Endpoint Security 详细提升要点

-关键部分 （THE KEY OF UPD)

1. Mcafee Agent 代{过}{滤}理终端版本提升为5.0 BETA
    -目前EPO下面的MA最新版本为4.8 patch 2
2.提供了全新的漏洞保护技术
  -包含了 访问区溢出保护和DEP增强功能
3.改进了ND部分
-结合了最新的WEB CONTROL技术，可以控制网络IP，网站，钓鱼等等
4.提供了前瞻性的web保护
-下载保护，恶意钓鱼拦截，浏览器漏洞利用保护
5.改进了扫描器
-全新的安全架构，病毒库减小，执行效率更上一层楼
6.新版本的访问保护技术
-全局排除，全新驱动，反内核修改
7.防火墙的完全整合
-全新的企业解决方案提供完整的防火墙安全功能，没有IPS技术
8.月神总线
-MES10所有地方都与月神高度连通，一次做到间接或者直接的调用GTI扫描

-与VSE的相同处 （THE SAME POINT WITH VIRUSSCAN)

1.月神扫描设置
-和个人版不一样，MES只能设置5个级别，不可开到 极高 选项
2.扫描计划建立
-和VSE完全相同


tbc

xu121918

4楼，占位欣赏

rlx

五楼 广告位i

驭龙

算了，我也跟一帖，或许以后这个回复会重新编辑，会是赞么？

qpzmggg999

驭龙 发表于 2014-7-2 18:56
算了，我也跟一帖，或许以后这个回复会重新编辑，会是赞么？

赞一个 或者提点建议吧

驭龙

qpzmggg999 发表于 2014-7-2 19:03
赞一个 或者提点建议吧

其实我们这次的看法是差不多的，我其实也不认为规则是McAfee VSE的一切，前一段时间我玩VSE的时候，就是默认规则，我喜欢McAfee的产品，最重要的原因是驱动架构，以及GTI

462588842

看了s1.3 瞬间手机抓不稳，手抖！
用了几年的咖啡，今天有幸有本区第一大高手贴下留名，死而无憾了。

一次一点一点的放出？

ldkvfeng

期待更新啊，楼主能不能总结完之后针对默认规则做个排除规则啊，像另一个规则一样，做个通配符版的

另，你的图片我看了半天才看出来是咖啡图标的一半