请问**\*\**的含义

23tg33g073

不客气。

排除项的逗号没有错误。我看了你的这条日志：2008-8-14        23:03:29        已由访问保护规则禁止         NT AUTHORITY\SYSTEM        C:\WINDOWS\system32\svchost.exe        C:\WINDOWS\Prefetch\NOTEPAD.EXE-189578DA.pf        用户定义的规则:文件保护        已阻止的操作: 写入
我估计是你刚添加添加**\c:\windows\**排除项后产生的吧，现在应该没有产生了吧？


还有你的 \??\C:\WINDOWS\system32\winlogon.exe这个排除项可以去掉了，因为**\c:\windows\**已经包含了它了~~~~~

lujunji1987

不是的，现在还是在不断的产生，不知道使怎么回事，我按你的方法设置好后应用确定后，过了一会又又新日志了，就是我发你的那个，到目前移动5条了

lujunji1987

还有我觉得很奇怪  svchost.exe   干要写入文件

23tg33g073

刚才我自己也设置了一下这个规则测试，我也是用**\c:\windows\**进行了排除的，没有出现WINDOWS下文件犯规的日志。
我都觉得你的情况有待你诡异了，那你单独把  C:\WINDOWS\system32\svchost.exe  排除了吧~~~~~

23tg33g073

正常的，Prefetch是预取文件夹，这是加速你软件运行的，svchost.exe写入是正常的。

lujunji1987

你的没有问题我的怎么会有，奇怪了，中毒了会这样吗？还有如果就用这条规则理论上是不是也能防止所有病毒了呢？

23tg33g073

不可能的，因为如果这条规则没有排除项，那么也只是可以阻挡绝大多数病毒。况且这条规则还必须要排除项，必然你自己都无法使用电脑了，那么排除项就是病毒穿透你这条规则的途径了，我看了你的排除项，可以利用的有好几个。你要是不想被穿透，那么就必须要另设规则来对排除项进行控制，可见，一条规则是不可能阻挡住所有病毒的。

任何规则或规则组都不可能阻挡住“所有”病毒，所有楼主还是不要希望一条规则就能办到。楼主还是应该慢慢的学习别人的规则，然后汲取精华，通过若干条规则形成你防线~~~~~

lujunji1987

呵呵，其实默认的规则就有好多是比较好的啊，还有我对浏览器，注册表进行了保护，还有很多，呵呵。如果说病毒不能利用排除的话是不是就是比较安全了啊就那一条，谢谢了，我今天刚开始玩咖啡，看了不少帖子，自己也在研究规则。就是对系统关键文件和注册表只是不甚了解，所以入手比较麻烦。不过本人是不喜欢直接套用人家的规则的，呵呵

23tg33g073

恩，如果可以不排除当然是很强悍的，但是有些规则不可能不排除项。所以说从某种程度上来讲，咖啡8.0有时候比8.5还要安全一点，因为8.0 不能排除，所以我们在设置规则时就会更多的考虑它的精确性，并且规则只有开启和关闭的区别，所以病毒要想穿透不好办；但是因为8.5可以排除，那么某些人就不会在设置规则时考虑精确性了，并且在排除时也不够慎重，以致于被病毒利用了。

用咖啡当然不直接能套用别人规则了，要从别人做的规则中汲取别人的那种思路，这才是最重要的。

lujunji1987

你的意思是要分别保护需要保护的内容，那不是会相当的繁琐，保护一个软件或进程设置一个注册表和文件保护，那样的工程将是及其庞大的，参考了一些规则，好些都是把未知*exe  *.dll   *.bat等等分别阻止创建等，想问下直接一条**不是更方便吗，而且我也没发现什么问题。

我觉得自带的规则也有很多了。还有你的意思是病毒会是和排除文件名字一样的文件吗，这样的话想百分百安全不是不能有排除项了，那怎么可能呢？