（麦咖啡智能傻瓜型规则初探）之（菜鸟无忧第一季）（全系完）

柯林

本文抛砖引玉，提供一个“装上就用，几乎不用排除，可以安装、卸载软件、更新系统，合乎日常使用习惯”的初级规则以供参考，作为对杀毒的辅助，防御一般性的威胁（比如U盘病毒、网马、敲竹杠、恶意批处理之类），保护数据，基本安全之上的易用规则，具有一点“智能傻瓜性”。
适合人群：机子干净，习惯良好，具有一定动手能力（个别时候需要按日志排除，或者调整、修改点规则）的初级用家。

系统盘不在C盘的，请不要导入使用，请参考规则文字进行设置。请选择正确的版本加以使用。

64位win7规则：  【最好在D\E\F\G盘保护规则的排除里加上X:\update\update.exe（X为对应盘符，例如D盘则为D），以使系统更新无障碍】

32位win7规则： （full版，新增文件保护等）

                           32位xp的规则：
------------------------------------------
简要说明（相关事宜，压缩包里都有，这里简单提两点）;
1、系统盘不在C盘的，由于”通用最大保护-禁止将程序注册为服务“的路径限制，将导致无法进入系统。
2、安装硬件驱动、杀软、防火墙，最好关闭访问保护，以免造成问题。
其他的，请看使用说明和文字版规则。
----------------------------------------------------
一招强化（威力翻倍）：需要高安全性与掌控感的，只需简单一招，就可做到“需要安装的时候才安装，不需要谁也别想安装进计算机”，方法就是设置安装开关（禁止创建exe，禁运temp目录等），一般可参考下图进行设置：

googlex1

感谢 先去学习下

柯林

【本楼专用】--规则讲解（本楼内容不定期更新）：

规则思想：以限制未知为主，自己安装使用的程序忽略，也就是对于杀毒辅助而言，防御那些不是自己主动安装使用的东东。在去除U盘病毒、网马、非自己确认使用的程序所能带来的威胁之后，为易用化，任意安装、卸载、更新系统不受阻碍为目标。一句话，在保证基本安全的基础上最大化的易用。

---------------分割线（规则用途及注意事项讲解）-----------------
★数据保护（自定义规则里非系统盘保护规则），我是按照自己的机子设置（我的有D、E、F、G四个盘），你有几个非系统盘就设置几条。

★自定义规则--防止恶意脚本删除C盘文件，这一条，是为了防止你下到一个删除系统盘上所有文件的恶意批处理后不小心执行而把系统搞废，某些软件卸载的时候，会调用cmd.exe删除残留文件，这就有冲突；在乎安全，就不管它，自己回头手动删除卸载残留，在乎易用，可以把该条去除或者只勾选日志。

★自定义规则--防U盘病毒感染系统，这一条为了把U盘病毒钉死，禁了读，这就没得排除了，当你使用光驱安装程序的时候，可能运行不了，只有禁用该条；如果要尝试使用排除光驱路径的方法，把该条的禁读去除看看。

★防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB，把你用的清理工具添加进去，例如CCleaner64.exe之类。该条日志，可以帮助你分析，是否有流氓或恶意程序安装进本机。

★自定义规则--防止病毒感染htm和html文件，这两条，完全可有可无，目的也就是：万一某天来个专门感染网页文件的病毒，咖啡一时没认出来，把你机子上收藏的网页文件都给感染了，看日志可以发现问题，只起这么个作用而已；如果勾选阻止，会影响某些程序的安装。

★自定义规则-禁止网上下载的程序作怪，这一条是防御来自网络的威胁用的，对于聊天软件QQ传送文件可能带毒的问题，已经将其目录列入其中加以限制，如果你使用别的聊天软件，也请把它的文件存放目录列入其中。

★安装office这样的软件时，被自定义规则--“疑似全局exe感染”这条拦截了，为求通用无阻，这一条改监控好了。如果求安全，这一条继续保持阻止，必要时候才临时去除阻止。要想把这条变成安装软件的总开关，也很简单，操作上补个创建，规则勾选阻止与报告，就行了（当你需要安装软件时，去掉阻止的勾）。（说实话，真正下到全局感染exe的病毒来运行的情况，有几次？所以监测也就行啦，真要日志记录到大量系统盘exe文件被感染，点咖啡修复吧，修复不了重灌系统）

★防流氓推广的三个全家桶规则，主要作用是防止安装程序新装东东，为了减少不必要的日志，可以尝试把所用软件排除看看（以QQ为例，排除进程QQ.EXE,QQAPP.EXE）；如果你要安装360、百度、腾讯家的产品，被这些规则拦截的话，临时禁用一下。

zpf94

柯大，我用VSE默认规则测试http://bbs.kafan.cn/thread-1829750-1-1.html这个流氓。VSE居然报错退出了。。。  只有开启防病毒爆发的将所有共享项设为只读才能防住。但我很疑惑自保功能难道没有发挥作用吗？

柯林

zpf94 发表于 2015-5-24 12:04
柯大，我用VSE默认规则测试http://bbs.kafan.cn/thread-1829750-1-1.html这个流氓。VSE居然报错退出了。。 ...

VSE的AD较弱，除了运行程序和加驱，其它如钩子之类都不行，不知道它究竟什么动作，回头我试下看。
将所有共享设为只读，这个还是FD操作嘛，莫非改了咖啡或系统的设置。

柯林

zpf94 发表于 2015-5-24 12:04
柯大，我用VSE默认规则测试http://bbs.kafan.cn/thread-1829750-1-1.html这个流氓。VSE居然报错退出了。。 ...

我用这贴的1楼《五月规则》测了下，没有干掉咖啡嘛，是不是你机子软件冲突了？
这东东就是一个木马下载器吧，下了一堆东西来安装（由于我这规则为安装方便而设的，点击运行后就装了些垃圾）

是否注入不清楚(VSE的AD不耐看），日志记载到确实比较流氓：
已由访问保护规则禁止         xxx-PC\xxx        C:\USERS\xxx\APPDATA\LOCAL\TEMP\~XDSTWTMP\TTK_8110010020140313_SETUP.EXE        HKCU\SOFTWARE\MOZILLAPLUGINS\@TAOTAOSOU.COM/NPTAOTAOSOUPLUGIN\MIMETYPES\        通用标准保护:保护 Mozilla 及 FireFox 文件和设置        已阻止的操作: 创建

将由访问保护规则 (当前不强制执行规则) 禁止         xxx-PC\xxx        C:\USERS\xxx\APPDATA\LOCAL\TEMP\~XDSTWTMP\TTK_8110010020140313_SETUP.EXE        HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WINDOWS\CURRENTVERSION\EXPLORER\BROWSER HELPER OBJECTS\{E1022531-9301-4071-A07A-F7237D0DE741}\NOEXPLORER        通用标准保护:禁止安装 Browser Helper Objects 和 Shell Extensions        已阻止的操作: 写入

C:\WINDOWS\SYSTEM32\REGSVR32.EXE        HKLM\SOFTWARE\CLASSES\CLSID\{E1022531-9301-4071-A07A-F7237D0DE741}\        防间谍程序最大保护:禁止安装新的 CLSID、APPID 和 TYPELIB        已阻止的操作: 创建

已由访问保护规则禁止         xxx-PC\xxx        C:\USERS\xxx\APPDATA\LOCAL\TAOTAOSOU\TTK\TAOTAOSOU.EXE        C:\Users\xxx\AppData\Local\Microsoft\Windows\Temporary Internet Files\Content.IE5\BNMDPYF7\96MASFRB.htm        防病毒最大保护:保护缓存文件免受密码和电子邮件地址窃贼的攻击        已阻止的操作: 读取

柯林

zpf94 发表于 2015-5-24 12:04
柯大，我用VSE默认规则测试http://bbs.kafan.cn/thread-1829750-1-1.html这个流氓。VSE居然报错退出了。。 ...

我再看了下日志，看到你说的原因了，这流氓调用系统杀进程工具：
2015/5/24        12:32:48        已由访问保护规则禁止         xxx-PC\xxx        C:\WINDOWS\SYSWOW64\TASKKILL.EXE        HKLM\SOFTWARE\WOW6432NODE\MICROSOFT\WBEM\CIMOM\        用户定义的规则:禁止系统危险程序操作注册表        已阻止的操作: 写入
我规则里冻结了TASKKILL.EXE，所以没事

不好意思，三连了

zpf94

柯林 发表于 2015-5-24 13:20
我再看了下日志，看到你说的原因了，这流氓调用系统杀进程工具：
2015/5/24        12:32:48        已由访问保护规则 ...

我是虚拟机WIN7测试的，不清楚是否存在冲突，能将您冻结TASKKILL.EXE的规则文字版发来我看看吗谢谢~

柯林

zpf94 发表于 2015-5-24 13:28
我是虚拟机WIN7测试的，不清楚是否存在冲突，能将您冻结TASKKILL.EXE的规则文字版发来我看看吗谢谢~

哦，我这里没装虚拟机，实机测了下，是那样的，日志不多。

我设的危险程序冻结两条：
1、文件规则，禁止cacls.exe, format.*, Iexpress.exe, mshta.exe, net.exe, net1.exe, reg.exe, SchTasks.exe, takeown.exe, taskkill.exe, tasklist.exe  对*  创建、写入
2、注册表规则，禁止cacls.exe, format.*, Iexpress.exe, mshta.exe, net.exe, net1.exe, reg.exe, SchTasks.exe, takeown.exe, taskkill.exe对注册表项HKALL /** 创建、写入、删除

柯林

玩了一天，个别语法错误的地方修正下，感觉还行，大体框架就这样了。
很多菜鸟想要的“装上就用，可以随便安装、卸载软件而无需关闭规则”的要求，在不搞极致安全路线的情况下，貌似也能实现