提升ens性能的技巧

bbszy

在默认的基础上做如下操作或设置的修改（基本不降低安全性的前提下）：

1. 鉴于全盘扫描速度奇慢无比且耗费大量资源，遇到较大的需要解包的文件可能会无限卡住，而按访问扫描也会自行缓存，在日常使用一段时间后和通过全盘扫描来建立缓存的效果是差不多的，而且咖啡的缓存是有期限的，所以安装后的全盘扫描不是必须的。如果实在要扫描，建议排除压缩文件的扫描，且发现威胁后的处理方式选“继续扫描”，减少误报后恢复文件的工作量。因此过了刚安装的那几天，后面卡顿会大大减轻。

2.对于安全的、大型文件可以在按访问扫描中排除读取，例如虚拟机磁盘文件、游戏资源文件（非exe、dll）等，排除后基本不会影响游戏帧率。

3. 威胁防护 - 按访问扫描，勾选 “针对 SYSTEM 进程禁用卷影复制卷的读取/写入扫描”。

4. 自适应防护也是卡顿的来源之一，一般情况下，主要是非咖啡信任的文件才会触发自适应防护在执行时的扫描及执行后的持续扫描，且这个扫描和按访问扫描是独立的，两个一起扫特别卡非信任程序的启动和后续的运行。官方的文档中介绍可以通过在按访问扫描中排除进程的读取扫描来禁止自适应防护对该进程的扫描，但个人觉得会降低安全性，例如我日常用的浏览器thorium，不在咖啡的信任文件名单里，导致一打开浏览器就一直卡，而排除浏览器的读取扫描个人觉得不安全。经过测试，发现一个方法：在自适应防护的“威胁检测用户消息传递”设置中勾选“向用户显示威胁通知”，下面的“默认操作”可以改为阻止，同时取消“如果无法访问 Threat Intelligence Exchange 服务器，请禁用威胁通知”的勾选（取消这个勾选是因为我们都没有连接TIE服务器，一旦勾上就会始终禁用威胁通知，并不会因为能连上GTI就不禁用通知）。默认设置下“信誉阈值达到以下值时通知用户”设置的是“未知”，这样，当运行一个信誉未知的程序时，会弹窗提醒（弹窗量不高），是否允许（可勾选记住选择），对于我们信任的程序选择允许，就不会触发自适应防护的持续扫描，就不会造成持续卡顿。但是“操作强制措施”下面设置的“达到信誉阈值时阻止”、“达到信誉阈值时清理”的设置还是生效的，如果程序有什么恶意行为，自适应防护依然还会采取措施。要注意的是，如果通知阈值等于或高于封闭阈值，则当用户选择“允许”时，程序的运行不会触发应用程序封闭，相当于打开了通知，应用程序封闭就作废了。同时要注意在记住规则的情况下，不要点错了允许或阻止，因为客户端暂时没找到能修改已记住规则的地方。


5.自适应防护的增强补救不启用“监控并补救已删除和更改的文件”，这也是程序的默认设置。官方文档里的说明：由于备份所有文件更改可能会占用大量磁盘空间，并且会对性能造成负面影响，因此默认情况下增强补救仅备份由进程创建的文件。启用此选项可同时备份已更改和删除的文件。

最后将官方的操作手册上传，供大家参考。

huang9527

感谢分享  先学习了

andychiou

感谢分享  先收藏了

x-天秤座

感谢楼主普及，不过这玩意儿太复杂了，还是其他的简单。

Balaor

感谢分享！

按访问扫描的“读取”关闭，立马见效了。。或者排除里面添加按时间修改或新增的文件。。

bbszy

Balaor 发表于 2024-6-11 20:25
感谢分享！

按访问扫描的“读取”关闭，立马见效了。。或者排除里面添加按时间修改或新增的文件。。[:28 ...

这么排除可能不太安全
按时间排除，经测试，是直接按文件本身的时间属性来的，比如下载一个病毒文件的修改时间正好在排除的范围，就不会被扫描。

x-天秤座

bbszy 发表于 2024-6-11 21:41
这么排除可能不太安全
按时间排除，经测试，是直接按文件本身的时间属性来的，比如下载一个病毒文件的修 ...

按照楼主的方法试了一下，但是打开本身的界面还是卡，打开其他程序具体也不好比。确实是删除自适应那个模块后会更快一些，但是肯定降低了安全性，期待楼主的更多经验和体会。

qiujuan

ens自适应防护好像无法排除

bbszy

qiujuan 发表于 2024-7-22 08:52
ens自适应防护好像无法排除

在按访问扫描里排除排除进程的读取就会排出自适应防护

aikafans

担心设置的时候就卡死了