VSE的一堆咸鸡蛋

柯林

VSE只适合企业用，设置好规则“天下无敌”……诸如此类的臭鸡蛋，嗯啊，对耶，非耶，或者说，有道理呢，没道理？

有道理，也没道理！ 这算神马屁话？！

因为它就一普通杀软，没必要神话，美化，美得不像话！没错，人家就是针对企业环境推出的，企业用，正规标准的用，是合适得一塌糊涂啦！

个人“借用”，尽情“挪用”，也不是不可以，战斗机疆场飞，个人有能力弄一架来泡妞也不是不拉风啊，同理，VSE可“个”用！

只不过，咸鸡蛋太多，一不小心，就会“蛋碎了一地”

-->设置好规则，天下无敌！世界上就没有神马无敌的，连上帝都不可能：“上帝能创造出一块他举不起的石头以证明自己万能吗，能吗？”
-->关闭规则安装软件的时候，是VSE最脆弱的时候，没有规则的VSE是没有任何保护能力的！你当VSE是黄太阳杀毒软件啊？你当自己是病毒下载机啊，每一个安装文件都是毒王级别的杀手？连基本的病毒都杀不了，它披“杀毒软件”这张皮有神马意义？---------遇到自己手贱，运行了一个毒王，系统干翻了，这样倒霉催的事情有没有？有！几率多少？千分之一乃至万分之一！拿着千分之一乃至万分之一的事情否定VSE自身最基本的监控查杀能力，这是不是属于天生幽默高端黑？
--->磁盘炸弹，白加黑，毒王，毒网……都能防，完美规则能防！真的吗？no！-----所谓能防，是白名单稻草法：我知道你是病毒，或者不确定你是否好东西，我拒绝下载与运行，仅此而已！其实根本就无法确定，也无法准确拦截，一旦克制不住诱惑，下载了，点击了，运行了，结果就是两个字——悲剧！
--->VSE究竟能防些什么？防止正规操作下的“非法行为”！再好的规则，再好的措施，防御不了不安分的心，防御不了恶劣习惯！——哪怕是企业，电脑面前坐一作死的二货，拿着公司电脑滥用做私事，天天下毒来公司电脑上“玩”，各种乱七八糟软件装了又装，公司资料随便拷了带着满地跑......这样的员工面前，再好的东西也白搭！
--->对个人用户而言，哪些是VSE无能为力的？网络钓鱼，钩子注入，远程线程，内存入侵之类，都不是VSE擅长的。对此有没必要怕呢？没必要！网络钓鱼，人脑就可以防御。AD上的高能入侵，只有较为厉害的病毒才会使用，一般正常软件乃至灰色软件都很少使用，你要不去下毒来运行，不下VSE认不出杀不掉的毒来运行，这算什么问题？不算问题，没有开头，就无所谓过程与结尾。
--->究竟怎样使用VSE才能带来好效果？不盲不愤，平常心，好习惯，善于使用正版正规软件大公司产品，不善于使用非法恶劣软件小作坊玩意，安全意识达标，日常行为规范，VSE一定能为你提供舒适和睦的日常防护（无论规则多寡精陋）。

结论：没有绝对的安全，只有相对的不安全，相对比较下的较为安全，仅此而已！

paul_guo

全局禁运这个用法当然安全
然而用处真的很小

柯林

paul_guo 发表于 2015-12-30 21:46
全局禁运这个用法当然安全
然而用处真的很小

也不能说用处小，最简单的例子，网上一堆脚本小子，VB病毒满天飞，一个脚本禁运，就算下到也没屁用！
合适的应用，或者说用对地方，不管什么技能，都能发挥意想不到的作用的！

----------------------------------------
这帖子可能语气过了一点，本意只是想要号召麦粉特别是新人理性看待VSE，既不要把它吹得无所不能，也不要把它看成弱不禁风（断开一秒钟规则就死），VSE不是这样的！首先它的定位与出身就是一款合格的杀软，防御和查杀病毒的能力是一流的，其次才是自定义规则增强的功能，一般人用好杀毒为主，规则为辅，是正确的选择；折腾一族反过来主打规则为主，杀毒为辅，也是可以的，只是一般人不需要这样。

------------------------------------
病毒随着时代的演进而变化，防毒也应该跟着发生变化：过去是威金病毒之类破坏系统的为主，接着出现鬼影之类，现在以木马盗窃和加密勒索为主，无论规则怎么弄，应该跟上形势。考虑到VSE在AD上的一些短板与不足，防御未知威胁，较为合理的做法，只能从入口防御与数据保护上着手，否则一旦下载了病毒双击运行，再来考虑后续防御，既复杂又费时，还可能漏。

Mus

咖啡的魅力在规则，所谓的通用都不靠谱，每个人的使用环境和习惯都是不一样的，个人规则要在使用中慢慢摸索积累，适合自己的就是最好的！

kxmp

mcafee本地拉黑大法保平安
pe文件添加1字节他就查不出来
mcafee认为普通木马都是低威胁 没必要入库 直接hash拉黑

柯林

kxmp 发表于 2015-12-31 13:54
mcafee本地拉黑大法保平安
pe文件添加1字节他就查不出来
mcafee认为普通木马都是低威胁 没必要入库 ...

你手动改的？做免杀，这个不属于流行危险，可以低调处理的吧

kxmp

柯林 发表于 2015-12-31 14:00
你手动改的？做免杀，这个不属于流行危险，可以低调处理的吧

他们设计的就这样 低威胁不入库
坑死人了 注入样本他们也认为低威胁 不入库...

柯林

kxmp 发表于 2015-12-31 14:01
他们设计的就这样 低威胁不入库
坑死人了 注入样本他们也认为低威胁 不入库...

这样啊，是有点囧

qpzmggg999

Mus 发表于 2015-12-31 13:45
咖啡的魅力在规则，所谓的通用都不靠谱，每个人的使用环境和习惯都是不一样的，个人规则要在使用中慢慢摸索 ...

牺牲安全性来换取实用性

至少我一直是通用规则倡导者

柯林

总结一下，其实这贴，过于扯淡了，我真正想说的不过是：
●机子没有不良嗜好，从官网或绝对可信站点下载常用软件的用户，不用太过紧张，扫描下没毒，可以放心大胆的安装使用，没啥事的，宣扬关闭规则（自定义规则）就很危险属于“危言耸听”，一般习惯好的人不存在这样的问题，即使你用默认的缺省设置，一般都不容易中毒（中个流氓可能就难免）。
●实在不会设置规则，默认缺省设置也是够用的，只要你习惯良好，安全意识高，一般也没啥问题；有动手能力的，建议在默认上适当增强。简单、有效的适用规则，是存在的，也很容易做，并不复杂。
●虽然从入口到中后期的纵深防御，都可以用规则进行构建，但是对于一般人来说，考虑到精力投入与产出效果的比率问题，一般建议做好入口防御即可——这个最简单，也很有效。不管规则如何严密强大，由于VSE自身的一些监控点不足，难以做到滴水不漏，一般人没必要去追求“金钟罩”和“双击防御”，做好简单的入口防御就好。

-------------------------------------
由于2015年发生了许多重大安全事故——某知名安全监控网站被黑，包括windows 0day、浏览器0day在内的几百G的资料外泄（具体情况请自行搜索），安全形势不容乐观，除了平常小心谨慎以外，加强防御也势在必行，个人还是建议适当地增强默认缺省设置，同时也不要再盲目相信七八年前那些无敌之类的流言了，客观冷静才不容易吃亏。