咖啡是不是防御至上的个人看法

einheria

用咖啡也有一段时间了，对于咖啡还是非常喜欢的，通过咖啡的规则也学到了不少安全知识。

看到有人说咖啡是防御至上，规则用好了可以滴水不漏，一开始也是深信不疑，但是使用了几个月以后，在不断的调试中有了一点自己的想法。

我们说咖啡防御至上，主要是就它的“自订规则”而言，但是我个人感觉这不是McAfee的本意。感觉就咖啡的自订规则，其实是为了加强这款杀软的定制性、提高它针对不同使用需求的适应性，简单来说，就是对部分有特别需求又有基础的用户提供一个定制性强的小工具，是这款杀软本身一个有益的小补充。自订规则可以让咖啡成为一个充满个性、应对需求快速反应的杀软，却不是它跻身顶级的原因。

这么说的理由在于咖啡的自订规则存在非常多不足，——从这里可以看出McAfee并没有打算把自订规则作为制胜的法宝——主要就是规则的管理非常不便。例如，规则限定某一含有A，B两个文件的文件夹不能被读取，我们为它加设规则。某一程序加载A是正常的，把该程序设为例外，那么对它加载B这一不正常行为就不能制止了。又例如，安装程序时我们需要开放注册表写入和Temp文件夹权限，但是与此同时，端口规则等等不相关的东西全部关闭了，而且相比HIPS，我们对于该程序安装过程中进行了什么操作都处于没有察觉的状态。凡此种种不一而足，尤其当防御到达极致时，上百条的规则完全超出咖啡规则的管理能力……

总之，咖啡的规则充其量只能算是伴侣或者糖，我相信咖啡仍然需要下大力气加强查杀。就目前的测试情况来看，咖啡的查杀能力相比同等级的杀软要有所逊色，咖啡还需要奋起直追。

[ 本帖最后由 einheria 于 2007-12-27 14:12 编辑 ]

fifa45

企业版的就这样子吧，误杀率和杀毒引擎的强弱有很大关系。一般要是杀错了要打官司的

gxd

加载B不是不能禁止，只是比较麻烦，要多做规则
这也是为什么有的人规则比较多的原因
A和B采用分别管制

[ 本帖最后由 gxd 于 2007-12-26 15:52 编辑 ]

深红的雪

文章有见地，的确完全依赖咖啡规则是不行的，毕竟咖啡本质上是一款杀毒软件，而不是HIPS，尽管它的防御和监控都很强大
但文中但也有不准确的地方。
1.如gxd所说的，A和B采用分别管制就可以达到允许加载A而防止加载B的效果，或者你会认为这样做规则不是会很多吗？事实上即使是专业HIPS的规则也只能做到如此，唯一比咖啡做到好的就是它可以在阻止时弹出提示框让用户选择而已

2.

安装程序时我们需要开放注册表写入和Temp文件夹权限，但是与此同时，端口规则等等不相关的东西全部关闭了

这里不太懂你的意思。注册表的写入和Temp权限我们完全可以一直开放，而且只开放给授权的程序（包括安装文件）

3.

尤其当防御到达极致时，上百条的规则完全超出咖啡规则的管理能力.

此话不妥，上百条规则咖啡就应付不来？应该是，首先是用户自己管理不来了。

4.

咖啡规则的管理非常不便

事实上，咖啡规则的管理比HIPS还要方便。咖啡的规则阻止时，还能根据日志具体知道触犯了哪一条规则，便于排除（这是很多HIPS都没有做到的，因此HIPS的规则调试是比较郁闷的事）。

gxd

“唯一比咖啡做到好的就是它可以在阻止时弹出提示框让用户选择而已”
不算好，而只是不同
个人需求不同
有的场合弹个提示就是坏事

gxd

而且经常弹提示容易使人麻木、放松警惕

ronin

我想麦咖啡使用者基本上是看重它的规则保护以及EPO集中管理，至于麦咖啡的杀毒能力以及主动防御能力应该在二流水平

gxd

这是av-comparatives最近几次测试结果
换了5200以后能力有所上升

深红的雪

咖啡的杀毒能力应算在一流水平，只是与顶级无缘

会弹总比不会弹的好

当然也可以设成不弹直接阻止的

下一个永远

规则的确是用来提高可定制性的，但我相信mcafee公司也不是完全把规则当作辅助手段的