咖啡是一个有效的防毒工具,每个人依据自己的需要与喜好,可以有不同的玩法。除了参照论坛置顶贴的经典教程所展示的方案与规则之外,也许我们还可以开动脑筋,拓宽思路,找找其他的玩法。
以默认规则为例,在“标准防护”的基础上,可以有不同的组合与玩法。可以开启一些自带规则以增强防护,乃至于再略微自定义一点规则以组合成一套方案,这是最常见的玩法。
我们也可以反其道而行之,以自定义规则为主,实现简单、实用、乃至于近乎“普适通用”!
有可能实现吗?我们尝试一下。思路是:有害的东西拦截,其他的忽略,尽可能不影响正常安装与系统更新。具体实现,可以这样试试:
A、流氓程序的防御(流氓不流氓,用家说了算。当今最惹争议的就是三大桶,规则镇之:)
1、数字桶:禁止任何程序* 对**\360\* 执行创建操作
2、百度桶:禁止任何程序* 对**\baidu\* 执行创建操作
3、企鹅桶:禁止任何程序* 对**\tecent\* 执行创建操作
(不准任何程序在360、百度、腾讯的目录下新建文件夹,它还能装得上吗?)
B、典型病毒的防御(U盘病毒,恶意脚本、网马)
●U盘病毒的防御,可以从禁运根目录着手,也可以从禁锢autorun.inf入手,而另一个思路可以冻结整块U盘(假设你机子上U盘盘符从H开始,可用2个规则来冻结:)
1、文件规则 禁止H:\**,I:\**,J:\**,K:\**,L:\**,M:\** 对文件/文件夹** 执行读取、创建、写入、删除、执行操作
2、注册表规则 禁止H:\**,I:\**,J:\**,K:\**,L:\**,M:\** 对注册表项HKALL /** 执行写入、创建、删除操作
●恶意脚本(禁止调用脚本宿主是不错的方法,反过来,禁止脚本宿主做坏事,是不是也是有遏制的效果?)
1、文件规则 禁止cmd.exe,?script.exe 对文件/文件夹* 执行写入、创建、删除操作
2、文件规则 禁止reg.exe 对注册表项HKALL /**执行写入、创建、删除操作 (脚本程序基本上是以命令行的方式调用reg命令写注册表)(这一条可能影响程序安装,个别程序可能也是调用reg命令写注册表)
●网马 (马儿下到本地,被系统执行,拦截方法有三:一是禁止下载马儿;二是禁止任何程序去运行它;三是让它运行起来也做不了坏事)
方法1、文件规则 禁止浏览器、下载工具、聊天工具、电子邮件程序 创建、写入*.exe
方法2、文件规则 禁止*\Temporary Internet Files\**,*\AppData\Local\Temp\**,*\Downloads\** 对文件/文件夹* 执行读取、写入操作(这一条显然会影响程序安装卸载,没有上一条“友善”)
【注:以上文件规则中涉及的“文件/文件夹*”看P5的支持,不行的话像P4一样用** 另外像*\Temporary Internet Files\**这样路径的有效性也需经过实测】
C、系统危险程序 (敲竹杠闹得凶,其实也就是一个简单的net命令,其它的也差不多,可以尝试从两方面来冻结看看)
1、文件规则 禁止task.exe,format.*,net.exe,net1.exe,cacls.exe,ntsh.exe,disk*.exe,debug.exe,mshta.exe,del*.exe,taskill.exe,tasklist.exe 对文件/文件夹* 执行创建、写入、执行操作
2、注册表规则 禁止task.exe,format.*,net.exe,net1.exe,cacls.exe,ntsh.exe,disk*.exe,debug.exe,mshta.exe,del*.exe,taskill.exe,tasklist.exe对注册表项HKALL /** 执行写入、创建、删除操作
(如果这两条不影响系统更新,而又能防止它们带来的“灾难”,那就爽了,至于名单,自己百度下系统危险程序)
D、远程入侵(对于远程桌面、远程帮助、远程操作这些可以通过远程的方式进行控制乃至入侵的防御,自带已经可以应付)
一般用户,开启“防病毒标准保护”里的“禁止远程创建/修改可执行文件和配置文件”和“禁止远程创建自动运行文件”就可以了吧。
至于服务器,可能需要开启“防病毒爆发控制”里的规则(一般情况下,开启第一条“将共享设为只读”;病毒爆发、危险时日,开启第二条“阻止对所有共享资源的读写访问”)。
如果自己不放心,再加条禁止远程对注册表HKALL /**的操作,也就很全面了。
E、其他方面(虽然主打自定义,作为入口防御,也不要忘了自带规则,作为入口防御,重点项目监测下,以便知道系统因何而有改变)
1、勾选“通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件”的报告,使用排除列表:C:\WINDOWS/MICROSOFT.NET/FRAMEWORK*/V*/MSCORSVW.EXE, C:\WINDOWS/SERVICING/TRUSTEDINSTALLER.EXE, C:\Windows/system32/dism.exe, C:\WINDOWS/SYSTEM32/DRVINST.EXE, C:\WINDOWS/SYSTEM32/msiexec.exe, C:\WINDOWS/SYSTEM32/POQEXEC.EXE, C:\WINDOWS/SYSTEM32/SVCHOST.EXE, C:\WINDOWS/SYSTEM32/winlogon.exe, C:\WINDOWS/SYSTEM32/wuauclt.exe, McAfeeHIP_Clie*, MRTSTUB.EXE 以便系统更新时不会产生无谓的日志
2、勾选“通用最大保护-禁止在 Program Files 文件夹中创建新的可执行文件”的报告,使用排除列表:C:\WINDOWS/SERVICING/TRUSTEDINSTALLER.EXE, C:\WINDOWS/SYSTEM32/DRVINST.EXE, C:\WINDOWS/SYSTEM32/msiexec.exe, C:\WINDOWS/SYSTEM32/POQEXEC.EXE, C:\WINDOWS/SYSTEM32/winlogon.exe, C:\WINDOWS/SYSTEM32/wuauclt.exe, McAfeeHIP_Clie* 以便系统更新时不会产生无谓的日志
(这两条将会在有程序安装文件进系统的时候加以记录,告诉你谁谁谁安装了什么东东进系统,有问题的时候按日志追查)(至于还需不需要开启另外一些,自己拿捏,譬如“更改用户权限策略”,“更改文件扩展名的注册”等,都是可以监控乃至阻止的,自己按需要取舍)
除了上面这种方法,还有一种是数据保护法——主打数据防护。把系统盘以外的磁盘统统纳入防护,分别做规则:禁止任何程序对其读写访问,排除系统程序和文档、看图、音视频播放器、解压缩工具,神马病毒、脚本,爱怎么折腾去折腾,只要数据不失,大不了系统重装,就算是国产那些个号称暗地里扫描上传的也有一定的遏制作用不是(对于国产那些恶名在外的最好是安装在沙盘里使用以便彻底防范)。这种方法,细作下去,可以把读和创建、写入、删除分开,重点防御写与删,即使遇到破坏型的病毒、脚本,一样无惧。做到这样,对于U盘病毒、脚本宿主等的限制都可以不用管了,像U盘病毒即使运行了也只剩下写入系统盘,加一条禁止?:\*对C:\**的文件操作不也干瞪眼,不放心再补一条?:\*对注册表项HKALL /**的操作。余下的就是考虑其它病毒对系统的破坏,譬如感染系统文件,改变系统设置,注入系统进程之类,盗取本机机密等。要破除这种数据保护机制,一般情况下需要加驱,进行底层磁盘操作,加上规则限制非信任区的程序加驱,可以有效避免漏洞。
这么简简单单弄一下,在缺省设置的基础上,防护力有一定程度的提升,对于要求不高的人,也算是凑合吧,如果制订得合宜,可能实现不影响安装卸载而能阻击流氓、病毒的功效,真正具备初等能力的“普适性”。
本文抛砖引玉,在于思路与用法的探讨,希望引出更好的意见,至于其中所拟规则是否可行,仅供参考。 |
发表于 2015-5-23 06:58:06
楼主