麦咖啡最简练实用的规则——降龙十八掌

柯林

其实咖啡的杀毒检测率并不差，对一般人也够用了，不放心把灵敏度调到高等即可。默认规则保住咖啡不被干掉，也就不怕了，升级病毒库后可把病毒杀掉。当然，放着规则不用，就可惜了。

如果你习惯良好，要用的软件都安装在C:\Program Files里，顶多再用一个D:\Program Files来做备胎，安装软件关掉规则，更新系统关掉规则，平时防御开着，那么规则就很简单了：

（一）入口防御-重点要点
创建不了文件，注册不了服务，不能弄成开机自动运行，基本上都废了，病毒也好，木马也好，总要安营扎寨，受权得令，才能呼风唤雨，否则都是空谈。默认规则5条就搞定了。
1、通用最大保护-禁止在 Windows 文件夹中创建新的可执行文件，勾上阻止与报告，病毒和不明程序就跑不进系统了。如果要使用系统自动更新，一边上网，一边让系统在后面执行更新，可以排除dism.exe, drvinst.exe, HOTFIXINSTALLER.EXE, McAfeeHIP_Clie*, mcscript*, MRT.EXE, mrtstub.exe, MSCORSVW.EXE, msi*.tmp, msiexec.exe, poqexec.exe, setup.exe, spuninst.exe, svchost.exe, TrustedInstaller.exe, update.exe, wininit.exe, winlogon.exe, wuauclt.exe
2、通用最大保护-禁止在 Program Files 文件夹中创建新的可执行文件,勾选阻止与报告，病毒和不明程序就混不进用户程序目录了，如果要使用系统自动更新时连用户目录里的微软程序一块更新，那就排除dism.exe, drvinst.exe, FrameworkService.exe, HOTFIXINSTALLER.EXE, McAfeeHIP_Clie*, MCDATREP.EXE, mcscancheck.exe, mcscript*, mctray.exe, mdac_qfe.exe, mfefire.exe, MPEScanner.exe, MRT.EXE, mrtstub.exe, MSCORSVW.EXE, msi*.tmp, msiexec.exe, poqexec.exe, setup.exe, spuninst.exe, svchost.exe, TrustedInstaller.exe, update.exe, wininit.exe, winlogon.exe, wuauclt.exe
3、通用最大保护-禁止将程序注册为服务，注册不了服务，就加载不了驱动，放行系统explorer.exe,WmiPrvSE.exe,C:\windows\system32\*.exe,如果是64位系统就加上C:\Windows\SysWOW64\*.exe,然后放行自己所用的程序C:\Program Files\*\**.exe，如果是64位系统就加上C:\Program Files (x86)\*\**.exe【注意，P4中可能需要写成C:\Program Files\**\*.exe】，如果备胎里也安装有需要加驱或后台服务的软件，也请排除D:\Program Files\*\**.exe,最后，系统更新的也放掉C:\Windows/Microsoft.NET/Framework*/**.exe,TrustedInstaller.exe,update.exe,C:\Windows\SoftwareDistribution\Download\install\*.exe
4、通用最大保护-禁止将程序注册为自动运行，将咖啡等软件及系统更新相关的放掉????setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, automa*, autoup.exe, frminst.exe, ie-kb*.exe, ieupdate.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, ofcservice.exe, setup*.exe, setup.exe, setupre.exe, spuninst.exe, TrustedInstaller.exe, tsc.exe, uninstall.exe, update.exe, updater.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp （也可以用这样的名单C:\Windows\SoftwareDistribution\Download\install\*.exe, dotnetfx.exe, IEsetup.exe, ieupdate.exe, LogonUI.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, poqexec.exe, setup*.exe, setup.exe, setupre.exe, spuninst.exe, TrustedInstaller.exe, uninstall.exe, updater.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
5、防病毒标准保护-禁止拦截 .EXE 和其他可执行文件扩展名，勾选阻止与报告，并把排除名单清空。这样一搞，那些喜欢通过修改文件关联方式来作恶的病毒就搞不成破坏了。这个属于连带信任区与非信任区一起防的。

（二）网马防御
通用标准保护-禁止公用程序从 Temp 文件夹运行文件，这一条就是专门对付网马的，勾上阻止。
如果要再狠一点，就用另外一条：防间谍最大保护-禁止所有程序从 Temp 文件夹运行文件。
以上两条，看个人需要，二者选一即可，一般推荐第一条，误杀少。

（三）U盘病毒防御
思路有两种，一种是禁止系统自动播放而使得利用U盘传播的病毒失去自动感染的机会，方法是注册表规则，禁止explorer.exe读取、创建、写入 注册表项 HKCU  /Software/Microsoft/Windows/CurrentVersion/Explorer/MountPoints2/**Auto**
另外一种方法是冻结关键位置（这里是根目录），禁止?:\*读取、创建、写入、删除、执行*，实际上这样写，就具有拉黑的味道，这样一条规则是可以随时扩充黑名单的大杀器，凡是你不爽的、需要KO的东东，都可以添加到包含的进程名单里进行冻结。
以上两种方法，任选其一。一般推荐第一种就可以了，当然，第二种更狠更霸道。

（三）远程攻击防御
防病毒标准保护-禁止远程创建/修改可执行文件和配置文件
防病毒标准保护-禁止远程创建自动运行文件
防病毒爆发控制-将所有共享项设为只读
防病毒爆发控制-阻止对所有共享资源的读写访问
以上两组，一般任选一组即可，出于封死一切的目的，可以两组皆选，全部勾选阻止与报告。

（四）恶意行为防御
这个主要是针对一些流行的，利用系统功能进行恶作剧的行为进行防御，主要是命令行方式，目前需要防御的有：
1、脚本，主要是防vbs病毒的，反正一般人也用不到，用到了临时解封。禁止*执行**\wscript.exe
2、恶意删除文件的批处理，真要遇上，一个手痒就欲哭无泪，所以，禁止cmd.exe写入、删除*
3、格式化，无聊病人的玩意，不灭愧对爱机，禁止*执行**\format.???
4、恶意关机，恶作剧程序往往来一个倒计时关机，比如1秒，来不及保存的资料都丢了，所以，禁止*执行**\shutdown.exe
5、敲竹杠，这几年闹得凶，其实就是个简单的net命令，禁运net程序也能防止，万一系统要用就有误伤之虞，退一步，禁止net1.exe写入\\.\pipe\samr

（五）数据保护
前些年的恶意删除指定文件的病毒，以及这两年令人谈之色变的加密磁盘敲诈钱财的病毒，都涉及到数据保护问题。这个问题，最佳的处理方式，第一是备份，不管是光盘、U盘、移动硬盘（网盘就免了），做好备份总是有备无患。第二就是适当的防御措施。以VSE为例，可以对磁盘分区设置规则加以保护，至于强度究竟有多强，这就不得而知了。一般可以考虑，对需要保护的文件，执行保护，防御一般性的删除、改写乃至复制，一条规则就够了，禁止*读取、写入、创建、删除**\*防水\**,凡是需要保护的文件夹，后面加防水二字，例如，相片-防水，2015摄影-防水.....防水二字，你可以设置为任何文字，比如珍贵资料，屿麟恠.....名字不要太常见，即可。该条规则，要防止非法拷贝复制，排除名单为空，要让自己使用，排除C:\Windows\explorer.exe,C:\Windows\system32\dllhost.exe（xp系统没有这个）

（六）全局总闸
1、全局管制exe文件：禁止*创建、修改*.exe，如果要让系统更新自动后台下载更新文件，那就排除C:\Windows\explorer.exe, C:\Windows\Microsoft.NET\Framework**.exe, C:\Windows\servicing\TrustedInstaller.exe, C:\Windows\SoftwareDistribution\Download\**\*.exe, C:\Windows\sys*\Macromed\Flash\FlashPlayerUpdateService.exe, C:\Windows\system32\dism.exe, C:\Windows\system32\dllhost.exe, C:\Windows\system32\LogonUI.exe, C:\Windows\system32\msiexec.exe, C:\Windows\system32\poqexec.exe, C:\Windows\system32\svchost.exe, C:\Windows\system32\wininit.exe, C:\Windows\system32\wuauclt.exe, McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, setup.exe, update.exe, \??\C:\Windows\system32\winlogon.exe,如果是64位系统再加个C:\Windows\SysWOW64\msiexec.exe   这样一刀斩下去，所有非法安装、破坏、动机不纯的程序都废掉了，可能的漏洞是，病毒假冒为McAfeeFire.exe, McAfeeHIP_Clie*, mcscancheck.exe, mcscript*, mctray.exe, MPEScanner.exe, MRTSTUB.EXE, setup.exe, update.ex这样的名字，你偏偏点击运行了，咖啡杀毒不做表示的话你就栽了，所以说要小心点啦，看见这些“脸熟”的东东，不要忙着激动先。（开着这条规则，浏览器下个exe格式安装包都下不了，可以加排除，最好是临时禁用该条，自己要下的时候放行，平常就卡吧卡吧卡死它）

2、全局管制注册表：禁止*创建、写入、删除 注册表项 HKALL  /Software/Microsoft/**  目的是防止外来威胁，防止病毒及恶意程序捣乱，当然要放行我们安装使用的合法东东啦，排除C:\WINDOWS\**,C:\Program Files\**,D:\Program Files\**，如果是64位系统，再加个,C:\Program Files (x86)\**,如果某些安装在APPDATA里的程序没法用，按日志排除下；如果要让系统更新自动进行，再加上setup.exe,update.exe,spuninst.exe,HOTFIXINSTALLER.EXE  【可以排除电子书如F:\电子书\**】

3、全局管制注册表：禁止*创建、写入、删除 注册表项 HKLM  /SYSTEM/**   目的是防止外来威胁，防止病毒及恶意程序捣乱，当然要放行我们安装使用的合法东东啦，排除C:\WINDOWS\**,C:\Program Files\**,D:\Program Files\**，如果是64位系统，再加个,C:\Program Files (x86)\**,如果某些安装在APPDATA里的程序没法用，按日志排除下；如果要让系统更新自动进行，再加上setup.exe,update.exe,spuninst.exe,HOTFIXINSTALLER.EXE  【这一条就不排除电子书了】

如果觉得还需要更强，自带规则再启用一些，做好排除即可。一般建议再加两招（禁止更改用户权限，排除lsass.exe, McAfeeHIP_Clie*, mmc.exe, msi*.tmp, msiexec.exe, services.exe, setup.exe, svchost.exe, update.exe）（保护网络设置，排除C:\Program Files*\Common Files\McAfee\SystemCore\*.exe, C:\Program Files*\McAfee\VirusScan Enterprise\*.exe, dism.exe, Framework*.exe, frameworkservice.exe, McAfeeHIP_Clie*, mfeann.exe, mfehidin.exe, msi*.tmp, msiexec.exe, POQEXEC.EXE, services.exe, setadapter.exe, setup*.exe, setup.exe, svchost.exe, SystemPropertiesComputerName.exe, tcpsvcs.exe, TrustedInstaller.exe, uninstall.exe, update.exe, VirusScanAdvancedServer.exe, vmscan.exe, winlogon.exe, winmgmt.exe, wmiadap.exe, _ins*._mp），凑成降龙20掌，也就足够用了，其它那些，意义不大，除了产生无谓的日志和大量排除，实用意义不是很突出，如果强调控制，再加一条端口访问规则，一共21掌，足以纵横江湖！
-------------------------------------------
这样弄下，既清晰又简单，做个咖啡杀毒的补助增强，效果也不错，设置不复杂，排除也少，符合简单、易用、高效的原则，同时也很灵活，反正就是重点防御嘛，将来出个什么流行的东东，再补上相应的规则，就能应对，随时可以添加或撤销。
不管怎么弄，咖啡VSE是防御不了钩子、底层磁盘这些AD方面的东西的，所以良好的习惯与敏锐的安全警觉很重要，来历不明的东东不要使用，不可靠的东西不用，便宜莫贪，诱惑say no，这样才能防止病从口入。


本来还可以再加一招，禁止*.*写入*防止感染型病毒，可惜P5一加这个就扯羊角风了

wjy19800315

又见柯大的技术贴啊
顶

柯林

wjy19800315 发表于 2015-6-9 13:06
又见柯大的技术贴啊
顶

谈不上什么技术，都是些老资料，炒馊饭了
我总结下，给需要的人做个参考

为啥我老是做这些无聊的事呢

wjy19800315

柯林 发表于 2015-6-9 13:11
谈不上什么技术，都是些老资料，炒馊饭了
我总结下，给需要的人做个参考

谦虚了
分享是一种美德啊

柯林

修正下排除名单，windows目录与program files里创建可执行文件，是不需要排除system的，这个手误了

另，一般性的系统更新，应该是开着规则也正常进行的，遇到升级IE可能不行，一般可以在提示有系统更新的时候，关机前禁用访问保护，就万无一失了

规则很简单，效果也还可以，满足一般使用要求：开着规则，是装不上软件的，也是盗不了被保护的文件的，至于U盘病毒、恶意玩笑程序也就被“墙”了，还有就是，这样的思路用法，真的不需要搞什么大排除

lqqok

能不能装系统补丁？

柯林

lqqok 发表于 2015-6-10 06:30
能不能装系统补丁？

你用新更新的v3，应该可以，先前的，两条全局注册表规则里，没有加系统更新程序例外，只可以下载补丁，关机后安装时会失败，加了之后，大多数补丁可以自动更新了，极少数不行的，关机前禁用下访问保护。

如果是按1楼的文字进行设置的，没有问题。

lqqok

请问是mcafee的哪个版本？导入后访问保护的属性里的右侧只有三个条目？我的是8.8 p4。

柯林

lqqok 发表于 2015-6-10 14:45
请问是mcafee的哪个版本？导入后访问保护的属性里的右侧只有三个条目？我的是8.8 p4。

我是88-p5上做的。个人使用下来，这个P5版本毛病多多，各种不定时扯疯发狂事件接二连三，看来真本难觅，如果长期使用，建议还是用P4，除非能拿到官方正版无误的P5

lqqok

那个啥三十条和这个规则比咋样？能不能算得是暗蓝销魂掌？