请问**\*\**的含义

23tg33g073

首先回答你的问题一：
有些规则把*exe  *.dll   *.bat等等分别进行阻止看起来是很繁琐，但是是很科学的，而以一条规则直接阻止所有文件，看似很强大，其实这个规则很脆弱。我以一个例子还说明吧：比如你创建一个规则，禁止在本地创建所有文件，那么*exe  *.dll   *.bat等等都在所阻止之列了对吧。那么在某一时刻，一个进程abc.exe（就算是你所信任的进程）要在本地创建exe文件，并且假设这个操作也是正常的，那么你可以将其排除了。好了，问题出现了，因为你在这一条规则中进行了排除，不止是放行了这个进程在本地创建exe文件，而是放行了创建所有文件。好了那么如果某个时刻，abc.exe被病毒采取某种方式（比如说DLL插入等）来进行非法操作，要在本地创建dll文件或者bat文件等，那么你这条规则不是就起不到作用了吗！
但是如果你分别对一些文件格式采取单独的排除，那么你只需要在阻挡exe文件创建的那个规则里排除abc.exe，而其他的规则就不排除，那么即使这个进程被病毒利用，他也创建不了别的文件，这就是威胁大大降低了。

再回答你的问题二：
自带的规则确实是有很多排除项的，但是有很多可能并适合你的环境，比如说某些默认的规则对常用的浏览器进行了排除，但是有可能有些浏览器你并没有用，那么病毒就有可能伪装成那些浏览器的进程来钻空子了。
再者，我们为了避免病毒与排除项重名来穿透规则，所以我们都是以绝对路径来对进程进行排除的（特别是系统进程）。
最后，不知道你有没有注意到别人的规则中有些规则是采用文件夹整体排除的，如果你没有对这个文件家的创建或者写入操作进行控制，那么病毒如果在这个文件夹下创建可执行文件，或者直接对里面的文件进行感染，那么这条规则也作废了。

lujunji1987

那是不是应该一层一层的对排除项进行控制呢？我明白你的意思了，你是说精确的设置更安全，但是病毒木马间谍后门的格式这么多（看了人家的规则貌似列出的不多），规则改怎么设置呢，要是真的要进行那不是个相当庞大的工程了吗，还要排除。日志肯定是一堆一堆的来啊，呵呵
兄弟是不是玩了很久的咖啡啊，很又见地啊。

23tg33g073

其实也不是要每个文件都要去设置，我们设置规则需要从战略上和战术上同时把握规则，战略上就是从大的方向来防住病毒，我称之为三步走战略：防入侵——防蔓延——防破坏。
所以首先，也是最重要的，就是防止入侵，比如说防住网马，自动播放方式等就是防住了入侵的途径，然后防蔓延就是防住漏网之鱼在本地释放病毒文件，防破坏就是防止再次的漏网之鱼对系统文件活注册表的破坏了。其实只要你把握好三步，就不用那么做庞大的工程，因为你的主要经历是放在了防入侵上，堵住了源头，其余的两步就只是收尾的工作了。

也没有玩读久，现在用咖啡有半年了吧。主要是我喜欢钻研。所以进步比较快吧~~呵呵

lujunji1987

很佩服你，希望能从你这取些经，提高自己的水平。说实话HIPS我也用过几款，也稍微有些想法，想到咖啡的自定义性比卡巴2009强所以跳来这里了。能不能和你进一步交流呢，你同意的话，我希望能通过论坛信息和你联系，我已经发了一条信息给你了。我想看下你的规则可以吗，能发附件给我吗，不能的话junjilu@sina.com这个邮箱使我的，麻烦你了，我使真的很喜欢咖啡，想好好研究下，不想单纯考卡巴红伞一类的杀毒软件，想真正的学习下防毒软件的使用，顺便也学习一下系统相关的知识，觉得这样很好。
谢谢你了，你很热心也很有耐心。

23tg33g073

恩，好的，不过取经倒不敢当，互相交流。
我已经回了你的信息了，我们也可以在QQ上探讨，我的QQ：292617053

aribeth199

**\*\**和**\**是一样的。

大猫熊

关于C:\和\??\C:\还有\?\\C:\的区别我记得卡饭有帖子专门讨论，你可以搜一下。

lu89

[君 当 如 竹]的回答确实很有见地，收获不小，学习了。确实要用好卖咖啡，先要对系统有一定的了解，还要有一定钻研精神，才能充分发挥卖咖啡的防护功效