查看: 11486|回复: 20
收起左侧

[其他相关] 麦咖啡最简练实用的规则——降龙十八掌

[复制链接]
柯林
发表于 2015-6-9 12:44:38 | 显示全部楼层 |阅读模式
本帖最后由 柯林 于 2015-6-10 18:27 编辑

其实咖啡的杀毒检测率并不差,对一般人也够用了,不放心把灵敏度调到高等即可。默认规则保住咖啡不被干掉,也就不怕了,升级病毒库后可把病毒杀掉。当然,放着规则不用,就可惜了。

如果你习惯良好,要用的软件都安装在C:\Program Files里,顶多再用一个D:\Program Files来做备胎,安装软件关掉规则,更新系统关掉规则,平时防御开着,那么规则就很简单了:

(一)入口防御-重点要点
创建不了文件,注册不了服务,不能弄成开机自动运行,基本上都废了,病毒也好,木马也好,总要安营扎寨,受权得令,才能呼风唤雨,否则都是空谈。默认规则5条就搞定了。
1、通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件,勾上阻止与报告,病毒和不明程序就跑不进系统了。如果要使用系统自动更新,一边上网,一边让系统在后面执行更新,可以排除dism.exe, drvinst.exe, HOTFIXINSTALLER.EXE, McAfeeHIP_Clie*, mcscript*, MRT.EXE, mrtstub.exe, MSCORSVW.EXE, msi*.tmp, msiexec.exe, poqexec.exe, setup.exe, spuninst.exe, svchost.exe, TrustedInstaller.exe, update.exe, wininit.exe, winlogon.exe, wuauclt.exe
2、通用最大保护-禁止在 Program Files 文件夹中创建新的可执行文件,勾选阻止与报告,病毒和不明程序就混不进用户程序目录了,如果要使用系统自动更新时连用户目录里的微软程序一块更新,那就排除dism.exe, drvinst.exe, FrameworkService.exe, HOTFIXINSTALLER.EXE, McAfeeHIP_Clie*, MCDATREP.EXE, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, MRT.EXE, mrtstub.exe, MSCORSVW.EXE, msi*.tmp, msiexec.exe, poqexec.exe, setup.exe, spuninst.exe, svchost.exe, TrustedInstaller.exe, update.exe, wininit.exe, winlogon.exe, wuauclt.exe
3、通用最大保护-禁止将程序注册为服务,注册不了服务,就加载不了驱动,放行系统explorer.exe,WmiPrvSE.exe,C:\windows\system32\*.exe,如果是64位系统就加上C:\Windows\SysWOW64\*.exe,然后放行自己所用的程序C:\Program Files\*\**.exe,如果是64位系统就加上C:\Program Files (x86)\*\**.exe【注意,P4中可能需要写成C:\Program Files\**\*.exe】,如果备胎里也安装有需要加驱或后台服务的软件,也请排除D:\Program Files\*\**.exe,最后,系统更新的也放掉C:\Windows/Microsoft.NET/Framework*/**.exe,TrustedInstaller.exe,update.exe,C:\Windows\SoftwareDistribution\Download\install\*.exe
4、通用最大保护-禁止将程序注册为自动运行,将咖啡等软件及系统更新相关的放掉????setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, automa*, autoup.exe, frminst.exe, ie-kb*.exe, ieupdate.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, ofcservice.exe, setup*.exe, setup.exe, setupre.exe, spuninst.exe, TrustedInstaller.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp (也可以用这样的名单C:\Windows\SoftwareDistribution\Download\install\*.exe, dotnetfx.exe, IEsetup.exe, ieupdate.exe, LogonUI.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, poqexec.exe, setup*.exe, setup.exe, setupre.exe, spuninst.exe, TrustedInstaller.exe, uninstall.exe, updater.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
5、防病毒标准保护-禁止拦截 .EXE 和其他可执行文件扩展名,勾选阻止与报告,并把排除名单清空。这样一搞,那些喜欢通过修改文件关联方式来作恶的病毒就搞不成破坏了。这个属于连带信任区与非信任区一起防的。

(二)网马防御
通用标准保护-禁止公用程序从 Temp 文件夹运行文件,这一条就是专门对付网马的,勾上阻止。
如果要再狠一点,就用另外一条:防间谍最大保护-禁止所有程序从 Temp 文件夹运行文件。
以上两条,看个人需要,二者选一即可,一般推荐第一条,误杀少。

(三)U盘病毒防御
思路有两种,一种是禁止系统自动播放而使得利用U盘传播的病毒失去自动感染的机会,方法是注册表规则,禁止explorer.exe读取、创建、写入 注册表项 HKCU  /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**Auto**
另外一种方法是冻结关键位置(这里是根目录),禁止?:\*读取、创建、写入、删除、执行*,实际上这样写,就具有拉黑的味道,这样一条规则是可以随时扩充黑名单的大杀器,凡是你不爽的、需要KO的东东,都可以添加到包含的进程名单里进行冻结。
以上两种方法,任选其一。一般推荐第一种就可以了,当然,第二种更狠更霸道。

(三)远程攻击防御
防病毒标准保护-禁止远程创建/修改可执行文件和配置文件
防病毒标准保护-禁止远程创建自动运行文件
防病毒爆发控制-将所有共享项设为只读
防病毒爆发控制-阻止对所有共享资源的读写访问
以上两组,一般任选一组即可,出于封死一切的目的,可以两组皆选,全部勾选阻止与报告。

(四)恶意行为防御
这个主要是针对一些流行的,利用系统功能进行恶作剧的行为进行防御,主要是命令行方式,目前需要防御的有:
1、脚本,主要是防vbs病毒的,反正一般人也用不到,用到了临时解封。禁止*执行**\wscript.exe
2、恶意删除文件的批处理,真要遇上,一个手痒就欲哭无泪,所以,禁止cmd.exe写入、删除*
3、格式化,无聊病人的玩意,不灭愧对爱机,禁止*执行**\format.???
4、恶意关机,恶作剧程序往往来一个倒计时关机,比如1秒,来不及保存的资料都丢了,所以,禁止*执行**\shutdown.exe
5、敲竹杠,这几年闹得凶,其实就是个简单的net命令,禁运net程序也能防止,万一系统要用就有误伤之虞,退一步,禁止net1.exe写入\\.\pipe\samr

(五)数据保护
前些年的恶意删除指定文件的病毒,以及这两年令人谈之色变的加密磁盘敲诈钱财的病毒,都涉及到数据保护问题。这个问题,最佳的处理方式,第一是备份,不管是光盘、U盘、移动硬盘(网盘就免了),做好备份总是有备无患。第二就是适当的防御措施。以VSE为例,可以对磁盘分区设置规则加以保护,至于强度究竟有多强,这就不得而知了。一般可以考虑,对需要保护的文件,执行保护,防御一般性的删除、改写乃至复制,一条规则就够了,禁止*读取、写入、创建、删除**\*防水\**,凡是需要保护的文件夹,后面加防水二字,例如,相片-防水,2015摄影-防水.....防水二字,你可以设置为任何文字,比如珍贵资料,屿麟恠.....名字不要太常见,即可。该条规则,要防止非法拷贝复制,排除名单为空,要让自己使用,排除C:\Windows\explorer.exe,C:\Windows\system32\dllhost.exe(xp系统没有这个)

(六)全局总闸
1、全局管制exe文件:禁止*创建、修改*.exe,如果要让系统更新自动后台下载更新文件,那就排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\sys*\Macromed\Flash\FlashPlayerUpdateService.exe, C:\Windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, setup.exe, update.exe, \??\C:\Windows\system32\winlogon.exe,如果是64位系统再加个C:\Windows\SysWOW64\msiexec.exe   这样一刀斩下去,所有非法安装、破坏、动机不纯的程序都废掉了,可能的漏洞是,病毒假冒为McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, setup.exe, update.ex这样的名字,你偏偏点击运行了,咖啡杀毒不做表示的话你就栽了,所以说要小心点啦,看见这些“脸熟”的东东,不要忙着激动先。(开着这条规则,浏览器下个exe格式安装包都下不了,可以加排除,最好是临时禁用该条,自己要下的时候放行,平常就卡吧卡吧卡死它)

2、全局管制注册表:禁止*创建、写入、删除 注册表项 HKALL  /Software/Microsoft/**  目的是防止外来威胁,防止病毒及恶意程序捣乱,当然要放行我们安装使用的合法东东啦,排除C:\WINDOWS\**,C:\Program Files\**,D:\Program Files\**,如果是64位系统,再加个,C:\Program Files (x86)\**,如果某些安装在APPDATA里的程序没法用,按日志排除下;如果要让系统更新自动进行,再加上setup.exe,update.exe,spuninst.exe,HOTFIXINSTALLER.EXE  【可以排除电子书如F:\电子书\**】

3、全局管制注册表:禁止*创建、写入、删除 注册表项 HKLM  /SYSTEM/**   目的是防止外来威胁,防止病毒及恶意程序捣乱,当然要放行我们安装使用的合法东东啦,排除C:\WINDOWS\**,C:\Program Files\**,D:\Program Files\**,如果是64位系统,再加个,C:\Program Files (x86)\**,如果某些安装在APPDATA里的程序没法用,按日志排除下;如果要让系统更新自动进行,再加上setup.exe,update.exe,spuninst.exe,HOTFIXINSTALLER.EXE  【这一条就不排除电子书了】

如果觉得还需要更强,自带规则再启用一些,做好排除即可。一般建议再加两招(禁止更改用户权限,排除lsass.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, services.exe, setup.exe, svchost.exe, update.exe)(保护网络设置,排除C:\Program Files*\Common Files\McAfee\SystemCore\*.exe, C:\Program Files*\McAfee\VirusScan Enterprise\*.exe, dism.exe, Framework*.exe, frameworkservice.exe, McAfeeHIP_Clie*, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, POQEXEC.EXE, services.exe, setadapter.exe, setup*.exe, setup.exe, svchost.exe, SystemPropertiesComputerName.exe, tcpsvcs.exe, TrustedInstaller.exe, uninstall.exe, update.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmgmt.exe, wmiadap.exe, _ins*._mp),凑成降龙20掌,也就足够用了,其它那些,意义不大,除了产生无谓的日志和大量排除,实用意义不是很突出,如果强调控制,再加一条端口访问规则,一共21掌,足以纵横江湖!
-------------------------------------------
这样弄下,既清晰又简单,做个咖啡杀毒的补助增强,效果也不错,设置不复杂,排除也少,符合简单、易用、高效的原则,同时也很灵活,反正就是重点防御嘛,将来出个什么流行的东东,再补上相应的规则,就能应对,随时可以添加或撤销。
不管怎么弄,咖啡VSE是防御不了钩子、底层磁盘这些AD方面的东西的,所以良好的习惯与敏锐的安全警觉很重要,来历不明的东东不要使用,不可靠的东西不用,便宜莫贪,诱惑say no,这样才能防止病从口入。


本来还可以再加一招,禁止*.*写入*防止感染型病毒,可惜P5一加这个就扯羊角风了

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
wjy19800315 + 1 又见柯大的技术贴啊

查看全部评分

wjy19800315
发表于 2015-6-9 13:06:21 | 显示全部楼层
又见柯大的技术贴啊
柯林
 楼主| 发表于 2015-6-9 13:11:40 | 显示全部楼层
wjy19800315 发表于 2015-6-9 13:06
又见柯大的技术贴啊

谈不上什么技术,都是些老资料,炒馊饭了
我总结下,给需要的人做个参考

为啥我老是做这些无聊的事呢
wjy19800315
发表于 2015-6-9 13:13:10 | 显示全部楼层
柯林 发表于 2015-6-9 13:11
谈不上什么技术,都是些老资料,炒馊饭了
我总结下,给需要的人做个参考

谦虚了
分享是一种美德啊
柯林
 楼主| 发表于 2015-6-9 23:28:58 | 显示全部楼层
本帖最后由 柯林 于 2015-6-9 23:35 编辑

修正下排除名单,windows目录与program files里创建可执行文件,是不需要排除system的,这个手误了

另,一般性的系统更新,应该是开着规则也正常进行的,遇到升级IE可能不行,一般可以在提示有系统更新的时候,关机前禁用访问保护,就万无一失了

规则很简单,效果也还可以,满足一般使用要求:开着规则,是装不上软件的,也是盗不了被保护的文件的,至于U盘病毒、恶意玩笑程序也就被“墙”了,还有就是,这样的思路用法,真的不需要搞什么大排除
lqqok
发表于 2015-6-10 06:30:53 | 显示全部楼层
能不能装系统补丁?
柯林
 楼主| 发表于 2015-6-10 09:07:14 | 显示全部楼层
本帖最后由 柯林 于 2015-6-10 09:09 编辑
lqqok 发表于 2015-6-10 06:30
能不能装系统补丁?


你用新更新的v3,应该可以,先前的,两条全局注册表规则里,没有加系统更新程序例外,只可以下载补丁,关机后安装时会失败,加了之后,大多数补丁可以自动更新了,极少数不行的,关机前禁用下访问保护。

如果是按1楼的文字进行设置的,没有问题。
lqqok
发表于 2015-6-10 14:45:36 | 显示全部楼层
请问是mcafee的哪个版本?导入后访问保护的属性里的右侧只有三个条目?我的是8.8 p4。
柯林
 楼主| 发表于 2015-6-10 18:24:03 | 显示全部楼层
lqqok 发表于 2015-6-10 14:45
请问是mcafee的哪个版本?导入后访问保护的属性里的右侧只有三个条目?我的是8.8 p4。

我是88-p5上做的。个人使用下来,这个P5版本毛病多多,各种不定时扯疯发狂事件接二连三,看来真本难觅,如果长期使用,建议还是用P4,除非能拿到官方正版无误的P5
lqqok
发表于 2015-6-10 18:54:06 | 显示全部楼层
那个啥三十条和这个规则比咋样?能不能算得是暗蓝销魂掌?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 22:02 , Processed in 0.133493 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表