楼主: MysteryHyw
收起左侧

[求助] 求一个 Mcafee VSE 8.8 P14的自定义规则

[复制链接]
xtmatao
发表于 2020-4-24 17:27:21 | 显示全部楼层
其实你可以建一个规则,把不想给他玩的程序用防火墙禁止联网
沉睡东风
头像被屏蔽
发表于 2020-5-24 20:56:49 | 显示全部楼层
柯林 发表于 2020-2-25 09:44
1、禁止*创建、写入C:\**.exe
2、禁止*创建、写入D:\**.exe

能不能再麻烦上传个VSE P14 + 11 6802 COMODO的规则?我看以前的教程是16年的过时了,一直想用咖啡豆,看到的都是过时的教程,COMODO后来改动蛮大的,界面都不一样了,最好是两个能导入的规则,这样再针对自己的情况改会容易很多。
柯林
发表于 2020-5-24 21:25:11 | 显示全部楼层
沉睡东风 发表于 2020-5-24 20:56
能不能再麻烦上传个VSE P14 + 11 6802 COMODO的规则?我看以前的教程是16年的过时了,一直想用咖啡豆,看 ...

很早以前就有冲突,基本无解,严重卡顿机子及各种不确定问题,已经不提倡这种用法。

良好习惯与安全意识下,咖啡或毛豆,任选其一就能保证一般用户的安全,如果看重防火墙,建议尝试Sep14

一般人真的随便用一个就够了;防勒索不能单靠杀软,万一漏了呢,备份才是王道;除了勒索,其它的基本可以忽略,账户安全之类,还得靠密码强度与良好习惯。只要能打造一个相对“纯净的系统环境”,其实防毒的需求程度并不高,反之,用多“强的组合”,可能也是没多大用。
沉睡东风
头像被屏蔽
发表于 2020-5-28 16:30:33 | 显示全部楼层
柯林 发表于 2020-5-24 21:25
很早以前就有冲突,基本无解,严重卡顿机子及各种不确定问题,已经不提倡这种用法。

良好习惯与安全意 ...

我是想,先搞一个等以后有时间了慢慢研究,现在没时间搞,不然恐怕等以后版本变化啊之类的,再也没你这样的人可以请教了...
柯林
发表于 2020-5-28 18:46:24 | 显示全部楼层
沉睡东风 发表于 2020-5-28 16:30
我是想,先搞一个等以后有时间了慢慢研究,现在没时间搞,不然恐怕等以后版本变化啊之类的,再也没你这样 ...

毛豆推出沙盘防御智能路线后,几乎可以靠入沙+白名单搞定“所有的问题”了,继续认认真真玩HIPS规则的没有多少人了,一般就用默认的就可以。至于说到HIPS,还是有人在继续玩吧,新的老的都还有人在玩,这个倒不用担心,如果感兴趣,总能找到志同道合的朋友交流的。

搭配方面,这两个真的搭不好了,冲突很大。对于普通使用需求来说,真的随便选一个,就够了。
沉睡东风
头像被屏蔽
发表于 2020-5-29 17:24:26 | 显示全部楼层
本帖最后由 沉睡东风 于 2020-5-29 17:36 编辑
柯林 发表于 2020-5-28 18:46
毛豆推出沙盘防御智能路线后,几乎可以靠入沙+白名单搞定“所有的问题”了,继续认认真真玩HIPS规则的没 ...

几年之前用过VSE+毛豆的规则,那时候是一个返璞版咖啡豆直接伸手拿来导入的。后来才知道,我导入那2个规则其实版本都是太老了,虽然看起来能导入,但BUG之类应该很多吧,而且XP时代的规则太麻烦,搞到最后排除的规则都不够写,后来版本不断升级,不过我记得那个限制系统制造垃圾那条蛮好用的,后来很长一段时间就懒得开规则了,再后来版本又更新了,系统也换win10了 改过的规则没备份,VSE据说跟win10兼容性也不太好,所以弃用了很长时间,忘得也差不多了,规则又好几次想推到重来总是觉得很头大,看到你那篇16年的觉得是个新的希望,而且喜欢可以“一劳永逸”这种操作,可惜版本更新改的太多(也不太确定哪些规则还适用,记得咖啡排除毛豆里1个文件,后来版本已经没了,反正没找到),总体上感觉自己还是什么都不懂,可能之前投入的时间太少吧,毛豆的话本来也很少去看,界面改后更觉得头大,其实就是心理作怪,想搞个最强大的一劳永逸
柯林
发表于 2020-5-29 18:59:43 | 显示全部楼层
本帖最后由 柯林 于 2020-5-29 19:02 编辑
沉睡东风 发表于 2020-5-29 17:24
几年之前用过VSE+毛豆的规则,那时候是一个返璞版咖啡豆直接伸手拿来导入的。后来才知道,我导入那2个规 ...

规则的话,VSE由于着重FD,用它的人,基本上都奔着入口防御——首先VSE是强大的杀毒软件,有不错的杀毒能力,正常情况下,只要拦住病毒库暂时没有认出的病毒,就算ok,明白这点,就知道一般防御性的规则,针对重点要点,写一写就可以了,并不需要去追求“金钟罩”。

至于毛豆这样的HIPS产品,如果用它的沙盘防御,几乎也等于“白痴型防御”,不用操什么心。至于喜欢规则防御的HIPS路线,也分普通、中级、疯狂型。一般也就按照高危拦截+非白即黑的组合方式,对病毒常有的行为操作进行拦截加上放行一些常用软件的正常行为,剩下的全部拦截或者弹窗都是可以的。至于更高需求,最精密的定制,那就是“一程序一规则”,对每一个进程,合法的、常用的、安全的进程,给出“详细到极致”的“安排”,然后对于重点的高危的行为,给予弹窗提示进行操作判断,这样设置,“可控性、安全性”都很高,但也很麻烦,需要大量的时间进行测试、调整、打磨。
不管HIPS怎么弄,规则防御最大的尴尬是——系统升级、程序安装、卸载,是一道坎,甚至于是“关口”,能够开着规则顺畅、安全、可靠地安装软件几乎很难,一旦关闭,再牛的规则,在此时就是盲点与门户大开,是最大的问题。虽然HIPS规则里也出过小信兄那样的带毒杀毒的《攻击规则》,大部分的规则还是很难完美兼顾这个问题。如果系统第一时间都打不上补丁,面对0day以及系统重大漏洞,就是筛子,防御工具再牛、规则再牛,又有多少作用?易用与安全,如何取舍,永远是个难题,一劳永逸、规则完胜之类,通常也就是安慰罢了,安全形势很复杂,需求自行掌握,规则之类的东西,看看就好,适当就好,想要“铁桶一样的安全,又要简单实用,通常很难平衡”。
沉睡东风
头像被屏蔽
发表于 2020-5-30 13:19:30 | 显示全部楼层
对啊对啊,HIPS使用起来太烦了,不过VSE那块绕不过的,我蛮喜欢毛豆那个省心的的纯沙盒防御。纯沙盒可以导入规则吗还是必须手动设置啊?手动的话就有点懵,像端口防御以前有直接一点击隐藏这种功能现在全不一样了,VSE和毛豆互相排除这一块,其实我不太清楚哪些文件是肯定需要一开始就排除干净,上次看你的教程尝试排除7个VSE的文件,第一个硬是没搜索到,我也不确定VSE改版后这个文件不存在了还是其他原因隐藏了之类的,后来的操作也因为界面改版太大,担心很多设置是否“达标”最后不得不暂时放弃了,所以想搞2个规则先绕过令人“迷茫”的过程,然后其他不重要的非系统文件可以慢慢排除。
柯林
发表于 2020-5-30 15:40:14 | 显示全部楼层
本帖最后由 柯林 于 2020-5-30 15:41 编辑
沉睡东风 发表于 2020-5-30 13:19
对啊对啊,HIPS使用起来太烦了,不过VSE那块绕不过的,我蛮喜欢毛豆那个省心的的纯沙盒防御。纯沙盒可以导 ...

不要搭配,不适合。
VSE入口防御型规则即可。
毛豆自动沙盘,无须设置,装上即用,它是黑白名单管理机制——白名单程序忽略,不确定安全的一律自动入沙,全部它默认设置好的,无须用户操心。
单靠HIPS手工判定,太累,太得不偿失了。建议在默认的基础上,做一些高危项目的拦截即可(比如禁止桌面上的程序进行高危操作、调用系统程序、修改受保护的文件,禁止创建可执行文件等;禁止用户临时目录里的文件执行其它进程、创建可执行文件、修改受保护的文件等;禁止浏览器等在*\ProgramData\*里创建可执行文件等),这样既可很好地预防使用过程中可能出现的问题,又便于管理调整——当你想要安装、卸载程序或打系统补丁的时候,只需要关闭HIPS,保持默认的沙盘模式即可。
沉睡东风
头像被屏蔽
发表于 2020-5-31 10:30:31 | 显示全部楼层
本帖最后由 沉睡东风 于 2020-5-31 10:47 编辑
柯林 发表于 2020-5-30 15:40
不要搭配,不适合。
VSE入口防御型规则即可。
毛豆自动沙盘,无须设置,装上即用,它是黑白名单管理机 ...

谢谢你告知了这么多哈。


现在最适合的组合是?你个人还用咖啡豆吗?

像咖啡豆的话它们一个开HIPS另一个关闭且用默认沙盒的情况下,我记得之前16年你写的那篇教程里也相互排除了不少东西,能否告知如何快速辨别那些需要排除的文件?


您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-22 16:26 , Processed in 0.096070 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表