麦咖啡VSE如何对付加密勒索及各种未知病毒？

柯林

马云波波波 发表于 2016-3-12 20:12
柯大，您这条万物杀（全局禁运规则），以咖啡目前的规则体系来看，恐怕无法彻底实现。此前版区的storyhar ...

要全盘禁运干什么？要做这个，组策略就可以了。
这个所谓万物杀，是立足这样的思想——系统（windows目录里的程序）是干净的，你自己安装使用的程序（C:\Program Files与D:\Program Files）是干净的，除此之外，你从网络下载也好，U盘上进来也好，光盘上复制来也好，或者它们位于U盘或光盘上也好，都是未知程序，对于未知程序禁运，就能做到保持系统干净，阻截病毒入侵。最终目的，放行已知和信任，拦截未知和不可信，即可。你要什么程序都不信任，*全部禁运，还用什么系统——大脑里面的意念程序？叶知那是一句玩笑话。
以上所言，扯到两个问题。
第一个问题，系统干净问题。什么样的系统才叫干净?你安装在windows目录里的程序可信不可信，Program Files里的呢？如何判定？如果，麦咖啡扫毒过没事，你不相信，用其他扫毒过，还是不相信，那只剩下一个方法，手工把所有的程序（不管她是exe还是dll还是其它），全部分析完（不知道一个人这辈子能不能做完），确认每一行代码都安全可靠了，才真正放心，承认自己安装使用的系统与程序是可靠的，干净的。
第二个问题，规则的重要性或者说定位问题。在谈论规则的时候，我们每个人，都自觉不自觉地陷入一个“囚笼”——以为规则才是万能的，其它都不可靠，VSE防毒全凭规则说了算。事实是不是这样？当然不是！恰恰相反，规则仅仅是杀毒的补充。麦咖啡能明确认出它是病毒的，直接杀了，用得着规则出马？反之，明明是个正常程序，麦咖啡说没事，规则把它拦了，死活不让它动，能够证明规则很牛逼，比麦咖啡自身的病毒检测识别还牛逼？当然不是这样。规则存在的意义，仅仅是出于这样一个事实和需要：有未知病毒的产生与存在，麦咖啡一时还认不出，如果放行，就中招了，如果拦下，就能够避免中招，仅仅是起到这样的作用（能够起到这个作用，就算很好地完成了任务）。那么拦下来的这个文件（可执行程序），究竟是不是病毒或危害性很大的恶意程序呢？准确的鉴定，只有提交专业病毒分析师去做；一般经验丰富的普通用户，使用HIPS等工具，也可以大致分析和判断出一些行为，有个基本判定，至于是不是就那么准确和靠谱，可就不好说了。

============================
综上所言，务实的用家，应该立足实际，把规则看做VSE杀毒的补充，让规则阻挡住可能存在未知文件中的病毒，就算ok了，在完成这个任务的同时而不妨碍正常应用，才是最佳选择——普通用户正常应用当中，一年到头，遇到的病毒，一般不超过一百个，这一百个病毒，麦咖啡帮你杀掉80个，剩下20个规则能够挡住，就算可喜可贺！被规则挡下来的未知文件，普通用户最佳处理方式，不是急于放行，而是先扫描，扫描没结果而又怀疑的，上报，这才是最佳做法。当然也有一些老生常谈的经验值得借鉴，比如，不是你主动下载的文件，丢掉！几十kb的玩意，一看就不是好东西，丢掉..........

规则永远不可能万能的！除非是中央主机自动托管的几百万乃至上千万条规则组成的智能分析“神经网络”，否则以一般计算机用户编制的几十条到几百条规则，就想把天下所有程序判断个子丑寅卯出来，显然是不现实的。另一方面，规则还得靠相关功能的支持，VSE在AD上就有很多功能缺失，要“金刚不坏”肯定不行。另一方面，只要人编制的程序都有漏洞，都有bug，系统也罢，咖啡也罢，各种软件也好。规则再牛逼，遇到漏洞和bug，一样然并卵。

=============================

所以综合评判取舍，个人观点，仅仅是个人观点，能够满足一年防下一百个企图进入本机做坏事的病毒、木马，VSE就算圆满完成任务，在这个前提下，规则能够很轻松，不妨碍日常操作，才是最好的，最值得普通用户选择的。以往流行的那种非得裹上几十层大粽子，弄得操作使用都不方便的做法，仅仅是一种为求安全极致而画地为牢、自捆手脚的做法，大把大把的时间花在漫长而意义有限的排除之中，所得到的安全结果与所付出相比，站在实际生活中的安全形势来看，并不划算！

===========================
叶版说的那个禁读取规则，个人理解仅仅是举例。以咖啡VSE的AD短板来说，最管用的就是禁运，甭管你病毒程序进来没进来，只要你运行不起来，就啥事也没有。一旦执行，防不住的注入行为及其它方面，就干瞪眼，再牛的规则也白搭。

tomy2014

学习一下……。

lorysun

这个个人用还可以，企业封的话会导致用户很多麻烦。

senseman

好好学习研究一下。

柯林

lorysun 发表于 2016-3-22 10:24
这个个人用还可以，企业封的话会导致用户很多麻烦。

应该不会，我的文档之类，根本就不应该出现可执行文件，只会有文档等文件。
麦麦咖啡默认自带规则，已经具备防御网马、加密特的功能---禁止公用程序从Temp文件夹执行文件，如果用户习惯好，不是就地解压执行，直接双击压缩包内的附件，将会被这条规则拦截。

最重要的是，一定要做上文件保护规则，保护住重要文件、桌面、我的文档，即使不幸中个加密特，重要资料毁不掉，系统大不了重做——企业貌似很多直接总机推送，重启就恢复系统的。

哈喽you

最暴力的也是最简单的，也是最直接的，也是最有效的

jone_jys

马云波波波 发表于 2016-3-12 20:12
柯大，您这条万物杀（全局禁运规则），以咖啡目前的规则体系来看，恐怕无法彻底实现。此前版区的storyhar ...

真正的全局禁运（可执行区域控制）；是这样的规则：
这样的规则，才能够防御几乎所有的病毒（包括一些底层病毒；但不能够拦截脚本）

要包含的进程：*
要排除的进程：无排除
要保护的文件或文件夹名：*
要排除的文件或文件夹名(这项，规则是没有的)：C:\Program Files (x86)\**, C:\Program Files\**, C:\Windows\**（以及其他可执行区域）
要禁止的文件操作：执行

看来很多麦粉还没有真正用过最新的企业版，VSE8.8的升级版MES10.1。MES已经可以制定如上的全局规则了，这也就是我坚持用MES的原因之一。

任何一个新事物的出现，必然有她存在的道理。

jone_jys

原本打算专门发帖来详述一下最新的企业版的。因为最近手头事多，几乎每晚都是凌晨过后才上床，遂暂时放弃。从界面 设置 到规则本身不是什么技术活，但是要说详尽还是挺耗时间。

MES的默认规则相对于8.8只保留了最精的20条，内置规则目前只能排除，不能编辑“包含的进程”；自定义规则可以“全局排除”，也可“策略排除”。。。

jone_jys

5、禁止创建scr文件
6、禁止创建bat文件
7、禁止创建cmd文件

比如，类似于如上规则，MES一条规则即可搞定。。。

马云波波波

jone_jys 发表于 2016-4-5 00:26
看来很多麦粉还没有真正用过最新的企业版，VSE8.8的升级版MES10.1。MES已经可以制定如上的全局规则了 ...

MES好像无法自定义规则吧？