咖啡正式版8.5i规则----注意:测试版规则导入正式版会显示为测试版
原帖作者: wulingjie
看到有人要8.5的规则,就发出自己的给大家,要的就拿去用,可以改改自己。首先申明这个是自己使用的规则,不要讲设置是不是符合你们要求,如果要等大众规则可以等爱虫的,还有,对于“有害程序字定义”那,我很久没有更新了,因为我觉得意义不大,“缓冲去溢出保护项”本人自己已经添加了排除程序。
新的版本如果开启所有规则,咖啡经常会警报。不过除非是影响了程序运行,否则我都没有把程序写进规则的除项,当然日志会多一点,大家也会看到经常有红的闪,其实以前的版本这样设置也会有很多阻止日至的,无非咖啡没闪,所以没特别注意而已。如果觉得受不了的可以自己把自己受影响的程序写到排除项
由于8.5和8.0官方的默认规则设置方式不太一样了,8.5官方默认规则不能很清楚的看到细节上限制了哪些,所以在“自定义规则”选项,规则可能会有些赘余,请大家提出意见,写出较完美的规则~~~,本人主要是针对主框架设置规则,不设置细的规则,个人觉得细的没意义,每个人都有不同要求,可以按自己要求设置。
更新说明 图片我就不发了),希望大家具体提出建议,不要笼统说好或不好
11月15日测试发现,原本在8.0下设置如:%windir%\windows\**\*.sys有效,可以阻止写入,但是用在8.5上无效,不知道大家是不是这样,所以我把规则修改了,并对部分进行合并,因为原来的规则在8.5版本中已经有,希望大家继续提出意见.
11月15日晚:在"保护缓存文件免受密码和电子邮件地址窃贼的攻击"中排除了bitcomet.exe,解决了直接调用种子时种子出错."保护缓存文件免受密码和电子邮件地址窃贼的攻击"很容易造成有些程序运行有问题,两种建议:1.不启用此项 2.自己排除受影响程序,但由于本人用软件有限,不可能排除很多,所以要用户自己排除.
针对最近Sxs.exe,xiaoshen.exe等病毒泛滥,我添加了autorun.inf规则,解决办法本人建议三种:
1.事实上,大多数的用户并不需要AutoRun.inf文件来运行程序,因此,我们完全可以将硬盘的AutoRun功能关闭,这样即使在硬盘根目录下有AutoRun.inf这个文件,Windows也不会去运行其中指定的程序,从而黑客可能利用AutoRun.inf文件达到入侵的目的。
解决方法:是Autorun.inf这个文件有问题,将属性去除掉后删除,然后在注册表中查找autorun.inf所指向的文件,查到后将shell这个子项删除,即可打开D盘。开始--运行输入"regedit"(注册表) ,用"Ctrl+F"键
出现查找对话框输入"autorun.inf" 就可以看见 shell 子项
然后右键--删除
2.在我设置的autorun.inf文件设置中拒绝创建,写入,但这样会造成正常文件autorun.inf也无法创建,自己考虑
3.先自己兴建个空的autorun.inf文件,然后在规则中设置为拒绝写入,就可以解决,不影响创建
本人建议第一,三种
11月30日:原本准备发布个人认为比较完善的规则(这个完 善是指排除了我觉得安全的程序,免得老报警,有人可能觉得不安全,所以完善也是相对的,其他规则补充设置需要更高的高手指点),但由于以前测试版规在正式版中使用会继续显示测试版信息,所以从新对正式版进行一定设置,提取了规则,和以前发的测试版规则设置基本一致,由于时间有限,对设置的部分没有进行详细的,是些细节上的程序,因为个人爱好不一样,所以大家可以自己添加,以后我会改进,大家可以提出意见,高手也可以指正,谢谢!!
我想各位测试下正式版是否已经支持:%windir%这类标示符,我的规则是绝对地址,默认C经过测试还是不支持,大家有不同请指出 |
发表于 2006-12-1 20:43:10
楼主
咖啡再不采取动作市场份额估计会在hips和微软的竞争中大幅下降
发表于 2006-12-28 00:04:57
开了之后,系统自己的缓存都调用不起来了,Mcafee也无法工作,看来十分严厉,不知道要设置多少排除项