惭愧～～现在还没弄懂～～企业咖啡的fd规则是怎么匹配的？～～

小邪邪

打个比方，如果我建立了这样的3条规则：
A 全盘禁止修改EXE文件
B 禁止修改WINDOWS目录下的EXE文件
C 禁止修改SYSTEM32目录下的EXE文件

如果一个程序要修改EXE文件，它首先会被A规则阻止
如果它想修改WINDOWS目录下的EXE文件，会触动规则B，所以必须在A和B中都排除掉它才可以

而如果它是想修改WINDOWS目录下的SYSTEM32目录中的EXE文件
就必须在ABC这3条规则中都被加进“信任”列表中才可以的

[ 本帖最后由 小邪邪 于 2007-2-13 22:12 编辑 ]

小邪邪

呵呵，这就是一种多层次审核的概念

咖啡内涵是很丰富的，不仅是对于可执行文件的调用可以进行监控
甚至对任何格式的一份单独文件的调用，都可以事先设定规则进行管制的

zxc789

如果两个规则范围一样大但是处理结果相反呢？～～比如这个～～

如果是一个规则里面“允许（也就是不禁止）explorer.exe在c盘创建文件，不允许修改”～～
另一个规则里面“不允许explorer.exe在c盘创建文件，但是允许修改”～～

小邪邪

原帖由 zxc789 于 2007-2-13 22:20 发表

如果是一个规则里面“允许（也就是不禁止）explorer.exe在c盘创建文件，不允许修改（A） ”～～
另一个规则里面“不允许explorer.exe在c盘创建文件，但是允许修改（B） ”～～

   这不很简单的吗？要修改时就只会被规则A阻止（B规则无视）
要创建时就只会被B规则阻止（A规则无视）

如果同时要进行创建和修改时两条规则都会被触动

其实这样等于将一条创建，修改的规则给拆成两条了

一条禁止创建的，一条禁止修改的

zxc789

那这样看来咖啡的规则匹配还挺奇怪的～～

先搜索全部规则～～
1.选定可匹配的包含最大范围的规则进行匹配～～
2. 如果可匹配的包含最大范围的规则有n个～～则要匹配n次～～
3. 接着往下匹配包含较小范围的匹配规则～～

还是很乱啊～～或者是这样？～～
按字母排列从头到尾匹配所有规则一次～～最后才执行文件操作～～

还是？～～
1. 搜索所有规则～～
2. 匹配距离操作文件范围最近的可匹配规则～～（如在c：/windows下创建文件～～首先匹配范围是“c：/windows/"的可匹配规则）～～
3. 匹配较大范围的可匹配规则～～
4.匹配较小范围的可匹配规则～～



[ 本帖最后由 zxc789 于 2007-2-13 22:53 编辑 ]

stavan

楼主太可怕了...说的话巨难懂啊....

上面说的两种情况..具体是从大到小筛, 还是从小到大筛...还是按照字母顺序筛...
貌似没有什么意义嘛...应该是全部都筛一次, 最后才执行文件操作...
所以在设定规则的时候才要避免重复...否则资源都浪费了..呵呵..
我个人是这么理解的....

zxc789

我也觉得应该是全部都筛一次～～最后才执行文件操作～～就是不清楚它筛的顺序～～

sxingbai

楼主精神可嘉
看一下小邪邪规则包那个帖子
咖啡对规则有自己的编号
从u0到u1到u10,看你的规则有几位数，再到u2
用我推荐过的工具看一下便知

A91838338

我觉得应该和windows的权限设定一样的理解

即：deny > permit

如果设定了禁止，那么就按照禁止的，不论其他的规则是否允许
如果没有设定禁止，也没有设定允许，那就允许
如果设定了允许，没有设定禁止，那么允许

貌似对文件夹进行权限设定一样的规则，我想mcafee从m$那里得到的部分代码应该有着功能的，一个是针对用户名进行权限设定（比如admin有权限，guest只读权限），一个是针对进程作权限设定。原理应该都一样！

纯属个人意见！

zxc789

这个和匹配顺序有关系吗？～～没理解～～