本帖最后由 依班娜 于 2015-6-26 18:59 编辑
不是我要当咖啡的敌人……
咖啡不是很完美,我相信能熟练玩转咖啡的人也不会护短。
咖啡的第一短板是AD,但实际上,咖啡引以为傲的FD和RD部分(ND基本可以不谈,这是防火墙的事情,由咖啡负责并不合理)也并非大家所想象的那么好用,虽然大家都觉得好用。
先来比较下这样的两个构架
要包含的进程: 要包含的进程:
要排除的进程: 要排除的进程:
要阻止的文件或文件夹名: 要阻止的文件或文件夹:
要禁止的文件操作: 要排除的文件或文件夹:
要禁止的文件操作:
两个规则一看便知,是右边的规则更强大于左边的规则,左边的规则即是咖啡现有的规则。
这也是叶知大人曾经所遗憾的。
这样并不完美的构架,却被咖啡区的大神们玩出如此多的花样,这也让我万分佩服。先辈们所对访问规则作出的卓越贡献也是让我们普通用户所感激不尽的。
再来简要谈谈两个构架的使用上的区别
假如我们要实现这个目的,禁止所有进程在某个文件夹(暂定位置为d:\文本资料\,且在这文件夹内没有子目录)内创建除了txt以外的文件。
按照咖啡现有的构架是无法完美实现的,也许你要写很多条:
要包含的进程:*.*
要排除的进程:
要阻止的文件或文件夹名:d:\文本资料\*.exe(还有*.dll,*.bat,*.vbs等等,不可能写完,即使写完也没有意义,可执行文件可以通过注册表添加,比如可以让后缀为*.abc的文件变为可执行)
要禁止的文件操作:创建
假如使用右边的写法,那么很简单:
要包含的进程:*.*
要排除的进程:
要阻止的文件或文件夹名:d:\文本资料\*.*
要排除的文件或文件夹名:d:\文本资料\*.txt
要阻止的文件操作:创建
这样就完成了(也许要配合一定的注册表规则)
当然,注册表规则的目标项或键也需要排除,这里就不再举例说明。
虽然有人觉得这并没有什么卵用,都用默认规则就够了。话虽如此但是我觉得用处也不算没有,这样的自定义规则才是真正精细的,才能对默认规则起到一定的强化作用
默认规则有些是无法模仿的,就像右边的规则一样,我找到了一条比较明显的,还有一些默认规则应该在原理上也是隐含这右边的规则的构架。我从墨大的帖子中找到了这条规则。
规则名称:禁止将程序注册为服务
要包含的进程:*
要排除的进程:???setup.exe, ??setup.exe, ?setup.exe, avtask.exe, cfgwiz.exe, dahotfix.exe, dasetup.exe, fixccs.exe, frminst.exe, fssm32.exe, giantantispywa*, ie-kb*.exe, ieupdate.exe, ikernel.exe, InsFireTdi.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, McAfeeHIP_Clie*, mdac_qfe.exe, mmc.exe, msi*.tmp, msiexec.exe, navw32.exe, nmain.exe, rtvscan.exe, SAEDisable.exe, SAEuninstall.exe, setup*.exe, setup.exe, setupre.exe, Setup_SAE.exe, spuninst.exe, sqlredis.exe, tbmon.exe, uninstall.exe, update.exe, updater.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp
要保护的注册表项目或注册表值:HKCCS/Services/**
------------------------------------
注册表排除:
HKCCS/Services/INTEL PDS/**
HKCCS/Services/SYMIDSCO/**
HKCCS/Services/SWEEPSRV.SYS/**
HKCCS/Services/INTERCHECK FILTER/**
HKCCS/Services/INTERCHECK CONTROL/**
HKCCS/Services/SWEEPNET/**
HKCCS/Services/INTERCHECK SUPPORT*/**
HKCCS/Services/INORT/**
HKCCS/Services/INOTASK/**
HKCCS/Services/KAVMONITORSERVICE/**
HKCCS/Services/AVPG/**
HKCCS/Services/AVPCC/**
HKCCS/Services/SQLAGENT\$PADMINISTRATOR/**
HKCCS/Services/MSSQL\$PADMINISTRATOR/**
HKCCS/Services/MSSQLSERVERADHELPER/**
HKCCS/Services/PAVATSCHEDULER/**
HKCCS/Services/PAVAGENTE/**
HKCCS/Services/PAVREPORT/**
HKCCS/Services/ADMINSERVER/**
HKCCS/Services/PADFSVR/**
HKCCS/Services/OFFICESCAN_MASTER_SETUP_SERVICE/**
HKCCS/Services/APACHE2/**
HKCCS/Services/OFCSERVICE/**
HKCCS/Services/TMLISTEN/**
HKCCS/Services/NTRTSCAN/**
HKCCS/Services/VSAPINT/**
HKCCS/Services/TMFILTER/**
HKCCS/Services/OFCPFWSVC/**
HKCCS/Services/TM_CFW/**
HKCCS/Services/FIREHOOK/**
HKCCS/Services/FIRESVC/**
HKCCS/Services/FIRETDI/**
HKCCS/Services/FIREPM/**
既然默认规则都知道了更好的构架,为啥自定义却不弄成这样,拍砖! |