麦咖啡简单智能平民化规则

柯林

用了VSE，很多人抱怨，规则太复杂，太难伺候，花费大把大把的时间排除，人都要“疯”了
那是你自己整复杂了！别想整个“铁桶不漏风”，有目的的“重点”关照一下，并不难，也实用。
所谓实用，就是：规则一次性搞好，基本上不用排除，不妨碍正常使用习惯，能够一如既往地安装、卸载、更新系统，渐渐地忘了咖啡的存在，让它做个安静的杀软，而最重要的是，在此同时，能够具有一定的防毒效果——随便插上带毒U盘不中毒，上个毒网不中毒，人家用邮件或聊天工具传个毒给你不中毒。做到这样，应该算是平民化的最简单好用的规则了。当然，如果你习惯了使用极端严厉防护的思维，这种方法就算了。如果能够理解，单用VSE默认设置都很少中毒，在默认上强化强化，防防U盘病毒，网络病毒，以及时兴的勒索加密，应该没什么不满意了。

《《《《《======简单智能平民化规则======》》》》》

1、网络访问控制规则，拦截指定外的程序上网 【端口规则】
2、网络病毒落点防御规则，封杀桌面  【文件规则】
3、网络病毒落点防御规则，封杀我的文档  【文件规则】
4、网络病毒落点防御规则，封杀win7/8/10系统默认的下载目录 【文件规则】
5、IE病毒防御规则，封杀**\TEMPORARY INTERNET FILES\Content.IE5\** 【文件规则】
（自带规则“通用标准保护--禁止公用程序从Temp文件夹运行文件”，名单里面的iexplore.exe删掉，没多大卵用，一开IE就来些无聊日志，用本条顶替即可，省掉无谓的触红）
6、U盘病毒防御规则，封杀第一块U盘  【文件规则】
7、U盘病毒防御规则，封杀第二块U盘  【文件规则】
8、U盘病毒防御规则，封杀第三块U盘  【文件规则】（一般像这样做3条已经能满足一台机子同时插U盘、手机内存卡、相机内存卡的防护需求了，如果求全，你机子上有几个USB接口，就写几条规则）
9、本地防御规则，防止U盘病毒扩散（禁止创建?:\autorun.inf）【文件规则】
10、防黑规则，禁止远程所有操作 【文件规则】【会影响更新时系统对更新目录的读取，不用也罢】
11、防止病毒程序被所用软件带入本机，禁止**\Program Files**创建scr文件 【文件规则】
12、运行防御规则，禁止**\Program Files**访问开机启动项Run  【注册表规则】
13、安装防护规则，禁止任何程序改写IE起始页  【注册表规则】
14、安装防护规则，禁止安装流氓软件360 【文件规则】
15、安装防护规则，禁止安装流氓软件百度产品 【文件规则】
16、安装防护规则，禁止安装流氓软件腾讯管家 【文件规则】
17、文件保护规则，禁止非法程序访问重要资料 【文件规则】（依据自己的实情和需要添加保护，例如最重要资料，全部收集在E盘上的一个文件夹里，以该文件夹为目标，禁止任何程序读取、创建、写入、删除，排除的程序除外；如果有多个文件夹需要保护，就逐条写上。这一条存在，即使上面所有保护都没效果，中了一个未知的加密勒索毒，重要的资料毁不掉，其他的看开些吧，系统重做就是）
18、文件保护规则，禁止任何程序更改hosts文件 【文件规则】
【如果需要再强化一点，防御一些恶意脚本，那就加上禁止**\Program Files**创建bat文件与vbs文件的规则（使用绿化软件需要排除解压程序）】
像这样弄弄就好了，很简单。（以上所言，全部是自定义规则）
新人需要具体操作的参考这里：http://bbs.kafan.cn/thread-2031568-1-1.html

漏了一点，脚本防御，假设人家发给你的是脚本，或者U盘上的病毒是脚本文件，如果不能阻止脚本文件创建，即使位于封杀区，点击了一样运行的，所以需要再加两条：
19、脚本防御位置--用户目录，禁止cmd.exe, cscript.exe, wscript.exe读取、执行C:\Users\**.*【这一条是否影响系统性能，待观察，主要是cmd.exe底层的东西，禁止读取用户目录里的文件是否影响系统流畅度，未知，如有，把它删除，改成禁止用户程序创建bat文件即可】
20、脚本防御位置--U盘，禁止cmd.exe, cscript.exe, wscript.exe读取、执行H:\**.* 【把H换成你的U盘盘符】（写一条就够了，本来就是聊胜于无，很少有人做成自动执行脚本文件在U盘上的毒的）

其他方面，可以勾选“通用标准保护--保护网络设置”，一般不影响安装，免得有些流氓程序把网络设置改了，到时候上不了网，又要去修复系统。
特别强调，要有效防御不请自来的网络病毒，特别是加密勒索类，上网软件所用的下载目录，一定要设定在2、3、4条所封杀的区域内，一般设成保存在我的文档里就行，比如聊天工具QQ之类，电子邮件收发工具等，否则就有漏
---------------------------------------------
就这样，很简单不是，智能傻瓜，易用，还有一些不错的效果。

至于一些安装或使用中遇到的流氓软件，讨厌的程序，有害程序策略里添加文件名加以铲除吧（自定义规则里写太多防御流氓安装的规则不划算）

关于摄像头防偷拍，台式机很简单，基本都是USB接口吧，用的时候插前面板上，不用的时候拔了就行【不拔也行，买摄像头时搭配的包装盒，翻过来罩上就行了】；笔记本自带的话，略微麻烦点，写个规则禁止不明程序读取、执行摄像头程序看看，其实最简单的就是合上笔记本，非要对着床开着，贴个狗皮膏药吧

对安全性极端敏感，下载文件需要确认可靠才安装的，装个沙盘吧（免费功能就足够），一般人算了，好好地用你的电脑，做你的事，别花时间在无谓的事情上，没多大意义。
---------------------------------------------
个人见解：VSE里的注册表项，相当于文件夹；值，相当于文件夹里的某个文件。写整体保护规则，用项就可以了（相当于FD操作上的保护整个目录（包括其下的所有文件）），值是用来对某个设置进行个例规定的（相当于FD操作上的针对某个具体的文件）。

附件：（3月8日晚再更新）【审核修改】
            
32位win7现成规则：（35条规则）

为免误会引发悲剧，特别说明下，这个规则防勒索加密，是针对日常使用中，加密勒索木马常见的传播途径——电子邮件或聊天工具传递病毒文件，实施的文件保存位置禁运，防止你被暗算！并不是说你随便下个勒索加密的马儿来双击，啥事都没有，不是这样的，离开了封杀区域，双击的程序，如果是加密勒索木马，如果没有防火墙规则拦截出站或者VSE做了联网规则拦截，将会对没被保护的文件进行加密（规则示例了如何保护一些重要的文件夹，这些被保护的目录里的文件，正常情况下可以幸免于难）；至于网络上下载安装包是否会下载到加密勒索病毒，一般情况下不会，当然会与不会，完全取决于你的习惯与运气，只用正规厂商有信誉者出品的东东，到其官网上下载的，通常没事，喜欢小东西，不知道什么人做的究竟可不可靠的小玩意，那就很难说了。以上所言，仅限于杀毒模块没有检测出的情况下，规则的作用与意义。对于已知及入库病毒，轮不到规则出场，也轮不到用户来操心。规则的作用，只是给系统套上一层铠甲，防御一些VSE没有检测出的未知病毒而已。
================================
测试说明
具体防御能力如何？测试一下。由于懒得装虚拟机，机子上的文件已经做了备份，就用实机简单测了一下（测试有风险，请勿效法，请按照测试的标准做法，使用虚拟机或沙盘，有条件的用测毒专用机）
个人环境：32位win7sp1    所用安全防线：系统墙+VSE（30条智能平民规则，VSE各项默认设置）
样本来源：http://bbs.kafan.cn/thread-2032061-1-1.html
三个样本里面测了两个，结论是没多大意义，VSE用来防毒，不是用来测毒，想通过日志看病毒行为，就是奢侈的想法。

具体过程：1、下载防护测试 ，双击下载目录里解压出来的样本，秒杀

说明预设的封杀区域很有效，把浏览器下载目录设在系统默认的下载或桌面；把电子邮件、聊天工具的文件保存目录设在我的文档，将会对你的计算机安全提供强有力的保护，无论是浏览毒网后台下载的病毒，还是陌生邮件带来的附件病毒，或是某个可恶的家伙用聊天工具给你传来的病毒，都是分分钟秒杀，绝不会因为你打开文件的时候而中毒（前提是不要把这些文件移出封杀区去打开）

2、测试规则的测试
自定义了几条测试规则，对D盘上的测试专用目录Tst进行限制，把病毒样本放进D:\Tst里解压，运行，结果，虽然防御成功，却没有得到想要的结果，并不理想，结果证明用VSE来双击测毒，就是屁话，它就不适合干这活，测毒必须沙盘或虚拟机。

如上图所示，病毒真正搞破坏的东东没有释放出来，无法测到修改文件的操作，第一步就废了。显然不能给测试规则D:\Tst加例外，允许病毒体的操作。要继续往下走，只有再搞个测试目录，写一条，禁止该目录向C盘创建exe文件，允许病毒体例外，然后去我的文档下，找到病毒体，拖回D:\Tst里来测试，这么啰嗦费事，太操蛋了，没多大意义。
测试过程中，虽然禁止了病毒体一切FD上的写入操作，禁止它读取执行C盘上的exe文件，禁止重要的注册表项上的操作，似乎有些AD行为，还是漏了（VSE的缺陷），比如访问因特尔显卡自带的后门程序hkcmd.exe，利用它来做一些事，这个可能漏了。测试中，两个病毒居然坚挺在任务管理器里，占用大量的CPU（两个加起来差不多占用50%cpu）与内存，机子便卡，想截图都不行，打开画图软件报内存不足，结束两个病毒进程，屏幕返回800*600的分辨率，可能就是病毒体残留物注入在显卡进程的缘故。重启系统，居然来个检查C盘文件，完毕进入系统，一切完好，没有异样，用PowerTool.exe检查，一切正常，用咖啡扫描内存，也没有异样。算是防住，但不是完美的防住。

结论：VSE这东东，目前就只能用来防毒，秒杀第一牛！要用它来测毒，那就是两个字——操蛋！所以，VSE用家还是老老实实用来搞定日常防御，那些测测试试的事情，交给3D完备的软件去弄，交给那些有精力有时间有乐趣的人去双击，别去趟这些浑水，看电影做事情更实惠。

hagcse

柯大发文，必属精品资料！ 学习了~

Smin

纯支持一下。。。

icedream89

很喜欢这句话“一般人算了，好好地用你的电脑，做你的事，别花时间在无谓的事情上，没多大意义。”

oliver_2011

柯大更新了 好 马着 现在用着你的菜鸟无忧二季里面的win7版 自己微调了一下

柯林

oliver_2011 发表于 2016-3-7 10:24
柯大更新了 好 马着 现在用着你的菜鸟无忧二季里面的win7版 自己微调了一下

更新下，个别地方有错误（禁止执行我的文档里的脚本文件，写错了，应该是读取与执行，不是创建——复制修改惹的锅）

--------------------------
补一句：规则名字改数字标记，更容易辨认（大家习惯了记三位数的门牌，用三位数来标记简单、易记、易认）

820119sly

又更新规则了啊前来支持。。。咨询个小疑问，安装时的溢出与脚本是属于杀毒模块的还是AD模块的？

柯林

820119sly 发表于 2016-3-7 12:44
又更新规则了啊前来支持。。。咨询个小疑问，安装时的溢出与脚本是属于杀毒模块的还是AD模块的？

这个不清楚，不搞软件编程与分析，不知道它具体怎么设计，按个人理解，应该是属于杀毒模块---内存防护

这个主要就是照顾懒人（我自己就比较懒，老是开了关、关了开、排除排除的麻烦，一次性整好就不管不是更好——除了泡样本区，日常使用中，遇到那些毒物的机会少，基本上就是可恶的家伙传个毒物（用聊天工具或电子邮件）给你，自己上网站下载就下到那种毁灭性病毒的机会基本上没有），防御日常威胁，保护资料数据。

再度更新下，再补充几条资料防护规则做个示例。需要的参考下。

820119sly

柯林 发表于 2016-3-7 13:04
这个不清楚，不搞软件编程与分析，不知道它具体怎么设计，按个人理解，应该是属于杀毒模块---内存防护

...

既然是杀毒方面的那我就不选择安装了，我只要规则。之前折腾杀软时卸载了，等过段时间闲了试试这个新规则。。。

柯林

820119sly 发表于 2016-3-7 13:15
既然是杀毒方面的那我就不选择安装了，我只要规则。之前折腾杀软时卸载了，等过段时间闲了试试这个新规则 ...

这个只是挡毒（禁运），又不能测毒，只适合日常使用防御偷偷摸摸进来的毒，试毒与测毒没用（充其量保护重要资料不被毁），注入乃至写病毒文件进系统都不行（因为要照顾日常习惯，方便安装，拦了这个，安装与更新就废了）