求一个 Mcafee VSE 8.8 P14的自定义规则

xtmatao

其实你可以建一个规则，把不想给他玩的程序用防火墙禁止联网

沉睡东风

柯林 发表于 2020-2-25 09:44
1、禁止*创建、写入C:\**.exe
2、禁止*创建、写入D:\**.exe

能不能再麻烦上传个VSE P14 + 11 6802 COMODO的规则？我看以前的教程是16年的过时了，一直想用咖啡豆，看到的都是过时的教程，COMODO后来改动蛮大的，界面都不一样了，最好是两个能导入的规则，这样再针对自己的情况改会容易很多。

柯林

沉睡东风 发表于 2020-5-24 20:56
能不能再麻烦上传个VSE P14 + 11 6802 COMODO的规则？我看以前的教程是16年的过时了，一直想用咖啡豆，看 ...

很早以前就有冲突，基本无解，严重卡顿机子及各种不确定问题，已经不提倡这种用法。

良好习惯与安全意识下，咖啡或毛豆，任选其一就能保证一般用户的安全，如果看重防火墙，建议尝试Sep14

一般人真的随便用一个就够了；防勒索不能单靠杀软，万一漏了呢，备份才是王道；除了勒索，其它的基本可以忽略，账户安全之类，还得靠密码强度与良好习惯。只要能打造一个相对“纯净的系统环境”，其实防毒的需求程度并不高，反之，用多“强的组合”，可能也是没多大用。

沉睡东风

柯林 发表于 2020-5-24 21:25
很早以前就有冲突，基本无解，严重卡顿机子及各种不确定问题，已经不提倡这种用法。

良好习惯与安全意 ...

我是想，先搞一个等以后有时间了慢慢研究，现在没时间搞，不然恐怕等以后版本变化啊之类的，再也没你这样的人可以请教了...

柯林

沉睡东风 发表于 2020-5-28 16:30
我是想，先搞一个等以后有时间了慢慢研究，现在没时间搞，不然恐怕等以后版本变化啊之类的，再也没你这样 ...

毛豆推出沙盘防御智能路线后，几乎可以靠入沙+白名单搞定“所有的问题”了，继续认认真真玩HIPS规则的没有多少人了，一般就用默认的就可以。至于说到HIPS，还是有人在继续玩吧，新的老的都还有人在玩，这个倒不用担心，如果感兴趣，总能找到志同道合的朋友交流的。

搭配方面，这两个真的搭不好了，冲突很大。对于普通使用需求来说，真的随便选一个，就够了。

沉睡东风

柯林 发表于 2020-5-28 18:46
毛豆推出沙盘防御智能路线后，几乎可以靠入沙+白名单搞定“所有的问题”了，继续认认真真玩HIPS规则的没 ...

几年之前用过VSE+毛豆的规则，那时候是一个返璞版咖啡豆直接伸手拿来导入的。后来才知道，我导入那2个规则其实版本都是太老了，虽然看起来能导入，但BUG之类应该很多吧，而且XP时代的规则太麻烦，搞到最后排除的规则都不够写，后来版本不断升级，不过我记得那个限制系统制造垃圾那条蛮好用的，后来很长一段时间就懒得开规则了，再后来版本又更新了，系统也换win10了 改过的规则没备份，VSE据说跟win10兼容性也不太好，所以弃用了很长时间，忘得也差不多了，规则又好几次想推到重来总是觉得很头大，看到你那篇16年的觉得是个新的希望，而且喜欢可以“一劳永逸”这种操作，可惜版本更新改的太多（也不太确定哪些规则还适用，记得咖啡排除毛豆里1个文件，后来版本已经没了，反正没找到），总体上感觉自己还是什么都不懂，可能之前投入的时间太少吧，毛豆的话本来也很少去看，界面改后更觉得头大，其实就是心理作怪，想搞个最强大的一劳永逸

柯林

沉睡东风 发表于 2020-5-29 17:24
几年之前用过VSE+毛豆的规则，那时候是一个返璞版咖啡豆直接伸手拿来导入的。后来才知道，我导入那2个规 ...

规则的话，VSE由于着重FD，用它的人，基本上都奔着入口防御——首先VSE是强大的杀毒软件，有不错的杀毒能力，正常情况下，只要拦住病毒库暂时没有认出的病毒，就算ok，明白这点，就知道一般防御性的规则，针对重点要点，写一写就可以了，并不需要去追求“金钟罩”。

至于毛豆这样的HIPS产品，如果用它的沙盘防御，几乎也等于“白痴型防御”，不用操什么心。至于喜欢规则防御的HIPS路线，也分普通、中级、疯狂型。一般也就按照高危拦截+非白即黑的组合方式，对病毒常有的行为操作进行拦截加上放行一些常用软件的正常行为，剩下的全部拦截或者弹窗都是可以的。至于更高需求，最精密的定制，那就是“一程序一规则”，对每一个进程，合法的、常用的、安全的进程，给出“详细到极致”的“安排”，然后对于重点的高危的行为，给予弹窗提示进行操作判断，这样设置，“可控性、安全性”都很高，但也很麻烦，需要大量的时间进行测试、调整、打磨。
不管HIPS怎么弄，规则防御最大的尴尬是——系统升级、程序安装、卸载，是一道坎，甚至于是“关口”，能够开着规则顺畅、安全、可靠地安装软件几乎很难，一旦关闭，再牛的规则，在此时就是盲点与门户大开，是最大的问题。虽然HIPS规则里也出过小信兄那样的带毒杀毒的《攻击规则》，大部分的规则还是很难完美兼顾这个问题。如果系统第一时间都打不上补丁，面对0day以及系统重大漏洞，就是筛子，防御工具再牛、规则再牛，又有多少作用？易用与安全，如何取舍，永远是个难题，一劳永逸、规则完胜之类，通常也就是安慰罢了，安全形势很复杂，需求自行掌握，规则之类的东西，看看就好，适当就好，想要“铁桶一样的安全，又要简单实用，通常很难平衡”。

沉睡东风

对啊对啊，HIPS使用起来太烦了，不过VSE那块绕不过的，我蛮喜欢毛豆那个省心的的纯沙盒防御。纯沙盒可以导入规则吗还是必须手动设置啊？手动的话就有点懵，像端口防御以前有直接一点击隐藏这种功能现在全不一样了，VSE和毛豆互相排除这一块，其实我不太清楚哪些文件是肯定需要一开始就排除干净，上次看你的教程尝试排除7个VSE的文件，第一个硬是没搜索到，我也不确定VSE改版后这个文件不存在了还是其他原因隐藏了之类的，后来的操作也因为界面改版太大，担心很多设置是否“达标”最后不得不暂时放弃了，所以想搞2个规则先绕过令人“迷茫”的过程，然后其他不重要的非系统文件可以慢慢排除。

柯林

沉睡东风 发表于 2020-5-30 13:19
对啊对啊，HIPS使用起来太烦了，不过VSE那块绕不过的，我蛮喜欢毛豆那个省心的的纯沙盒防御。纯沙盒可以导 ...

不要搭配，不适合。
VSE入口防御型规则即可。
毛豆自动沙盘，无须设置，装上即用，它是黑白名单管理机制——白名单程序忽略，不确定安全的一律自动入沙，全部它默认设置好的，无须用户操心。
单靠HIPS手工判定，太累，太得不偿失了。建议在默认的基础上，做一些高危项目的拦截即可（比如禁止桌面上的程序进行高危操作、调用系统程序、修改受保护的文件，禁止创建可执行文件等；禁止用户临时目录里的文件执行其它进程、创建可执行文件、修改受保护的文件等；禁止浏览器等在*\ProgramData\*里创建可执行文件等），这样既可很好地预防使用过程中可能出现的问题，又便于管理调整——当你想要安装、卸载程序或打系统补丁的时候，只需要关闭HIPS，保持默认的沙盘模式即可。

沉睡东风

柯林 发表于 2020-5-30 15:40
不要搭配，不适合。
VSE入口防御型规则即可。
毛豆自动沙盘，无须设置，装上即用，它是黑白名单管理机 ...

谢谢你告知了这么多哈。


现在最适合的组合是？你个人还用咖啡豆吗？

像咖啡豆的话它们一个开HIPS另一个关闭且用默认沙盒的情况下，我记得之前16年你写的那篇教程里也相互排除了不少东西，能否告知如何快速辨别那些需要排除的文件？