查看: 2006|回复: 10
收起左侧

[求助] 咖啡新手咨询

[复制链接]
woodm
发表于 2009-11-11 15:05:02 | 显示全部楼层 |阅读模式
弱弱的问下,邪版中,
?:\WINDOWS\**\*.*
*:\WINDOWS\**\*.*
\??\?:\WINDOWS\**\*.*
\\?\?:\WINDOWS\**\*.*
有什么区别.
64位机中可否能用此设置.

晕死我了,奇怪最后一个为什么显示成这样.应该是,没有\\?\?:\windows\**\

[ 本帖最后由 woodm 于 2009-11-11 15:19 编辑 ]
大猫熊
发表于 2009-11-11 15:16:57 | 显示全部楼层
*:\WINDOWS\**\*.*包含了其他三种情况
1. ?:\WINDOWS\**\*.*表示任意盘windows目录下的所有文件。后面的\*.*可以去掉,效果一样。
2. \??\表示内存中的进程,经常出现在系统进程中
3. \\?\也表示内存中的进程,但是和2的区别我暂时还不清楚。
Esolo
发表于 2009-11-11 15:18:47 | 显示全部楼层

转载

mcafee杀毒软件编写规则时通配符使用方法
我们都知道,麦咖啡可以应用通配符 * 和 ? :
(喜欢咖啡的友情帮顶下啊)
1.问号 (?) : 用于排除单个字符) ,比如, 排除项 w?? 排除 www,但不排除 ww 或wwww
2.星号 (*) : 用于排除多个字符
双星号 (**) : 表示零个或多个含有反斜杠的字符,这样允许多层次排除。
比如, **temp*** ,双星号 (**) 表示在反斜线 () 字符前后任意多个
层级的目录,一个星号 (*) 表示任意一个或部分目录名称。
3.***和**有什么不同?---看完测试就知道了
4.排除规则 : C:\quarantine** 和 C:\quarantine 这2条有区别吗?没有区别吗?---前者排除C:\quarantine\目录下的所有文件,包括排除子文件夹,后者只包括C:\quarantine\下的文件,不排除子文件夹,即C:\quarantine\** 的排除范围 > C:\quarantine\ ,看下边我的测试会就明白。
以下是我自己作的测试,还望高手指教,不过我觉得应该是100%正确了的吧xixi
我在E:\bingdu下创建了一些文件和文件夹,其中patch.rar为病毒文件,在165、265文件夹中我把patch.rar分别更名为02.rar,03.rar,以便查看测试结果。
文件夹结构为:(知识若不分享 实在没有意义 http://www.biank.cn)
E:\bingdu
     ---125
     ---265
     ---03.rar
     ---02.rar
     ---patch.rar
下面我把我的测试结果奉上以飨朋友们--------没兴趣看测试的,直接看最后1句我总结的一条(不过这只是测试中的其中一个结果)
在做此测试时,必须按如下图做些改动:临时禁用按访问扫描,把辅助操作改成继续扫描,以防咖啡进行隔离等动作,
规则为E:\bingdu ,排除E:\bingdu 下的所有文件,但不排除子文件夹。
规则为E:\bingdu**,细心的人会发现,**并没有出现在“设置排除项中”,但后边的“排除子文件夹”变成“是”了,其实在“添加排除设置中”输入**(仅限于最后出现的**字符),咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示**,这个地方中文咖啡似乎有歧义,大家仔细思考下就明白其真正的意思了。(另:在咖啡的访问保护中可以出现**为最后结尾的,因为那里咖啡没有这个打勾的选项, )
规则为E:\bingdu ,这个规则就是“什么也没有排除” 哈哈哈哈,
规则E:\bingdu* 等价于 E:\bingdu
规则为E:\bingdu** (最后2条规则其实和这条规则的作用是一样的),排除E:\bingdu下的文件夹,但不排除E:\bingdu的文件。通过这里大家可以悟出点什么吧,呵呵,我就不多说了。
规则为E:\bingdu\***和E:\bingdu**只是多了个显式地“排除子文件夹”(是E:\bingdu**的子集而已),是但真正的作用是一样的-----排除E:\bigndu下的文件夹,但不排除E:\bingdu的文件
规则为E:\bingdu\***和E:\bingdu\**的作用是一样的(是E:\bingdu**的子集而已) ,意思是排除E:\bingdu下的“文件夹中的任何文件”
看懂以上这些,大家应该什么都明白了,不用我作总结了。那么大家对咖啡的规则设置,比如“访问保护”等等都轻而易举了吧
不过还是总结1句吧:要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义,严重注意哦),或者在后边添加2个星号(**),咖啡会自动帮你打勾(知识若不分享 实在没有意义 http://www.biank.cn)
另外,就咖啡规则使用情况,说点个人经验。
一、在咖啡默认规则里有这样几条规则:
1、禁止在 Windows 文件夹中创建新文件 (.dll)
2、禁止在 Windows 文件夹中创建新文件 (.exe)
3、禁止在 System32 文件夹中创建新文件 (.dll)
4、禁止在 System32 文件夹中创建新文件 (.exe)
这几条规则,一般情况下都开启没有什么问题。一般的软件,在安装时往往会在Windows 文件夹和System32 文件夹创建exe文件和dll文件。不用管它。即便没有在Windows 文件夹和System32 文件夹创建exe文件和dll文件,也可以使用的。但是惟独在给系统打补丁时例外!某些系统补丁,即便阻止了,也没有什么,可有些系统补丁如果阻止往Windows 文件夹和System32 文件夹创建exe文件和dll文件,那就意味着系统瘫痪!您不能再登陆系统了!切记!所以,在打系统补丁时,要暂停使用这些规则。
二、同样一条保护规则,不要过于频繁的打开关闭。否则很容易出现失灵。原本阻止在某地创建某个文件,咖啡可能变的创建行为也不阻止了。偶甚至碰到咖啡密码失灵的情况,密码正确都不能解禁。所以,不要经常性打开关闭某条规则。这样可以避免此类失灵事件发生。
经过以上设置,再中木马、病毒、广告、间谍、恶意代码······几率将会是0。当然,最有可能中招的就是个人下载不安全软件,而后进行安装导致中招。如果注意安全,那另当别论了。 上面,是偶使用咖啡几个月的一点心得,大家交流一下。如果有更好的技巧,请不吝赐教?
偶再补充一些内容。某些网站或和黑客,会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件,可以这样做。用咖啡建立Cookies保护机制。
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对Cookies文件进行某些操作
阻挡对象:*
要阻挡的文件或文件名:**Cookies***
要阻止的文件操作:在读取文件、创建文件、写入文件前打勾
响应方式:阻止并报告访问尝试
好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然,这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制,不太好操作。用禁止,好多网站不能去。不禁止,又有危险。与咖啡相比,显然咖啡更加人性化。希望大家喜欢。
使用咖啡来防护个人隐私文件。
这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密,起到防护作用。如果您使用咖啡,那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉,根本不会想到是一个杀软来保护的。而且,咖啡防护文件,在他人读取、打开文件时,根本不提密码,也不提咖啡,只是提示:请确认磁盘没有写保护之类。对于一般人来说,还以为文件损毁了而打不开哈。哈哈。是否有些意思?
下面简单介绍一下,如何实现这个功能。首先,请将您所有需要保护的个人文件都放在某个根目录里,比如,起名为,麦粉丝。然后将这个文件保护起来即可。
具体规则设置如下:
咖啡控制台------访问保护------文件夹保护-----添加
规则名称:禁止对麦粉丝文件/文件夹进行任何操作
阻挡对象:*
要阻挡的文件或文件名:**麦粉丝***
要阻止的文件操作:在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式:阻止并报告访问尝试
Esolo
发表于 2009-11-11 15:22:55 | 显示全部楼层
32位和64位,c盘下program files文件夹不同,邪版规则应该不能通用
楼主确定\\?\?:\WINDOWS\**\*.*是正确写法?
woodm
 楼主| 发表于 2009-11-11 15:29:00 | 显示全部楼层
回复2#的朋友
<<Mcafee邪版XP精简型规则>>
RD 禁止可疑的程序访问注册表(项)
**
**\SystemRoot\**\*.*,?:\Program Files*\**\*.*, ?:\PROGRA~1\**\*.*, ?:\WINDOWS\**\*.*, SYSTEM, \??\?:\WINDOWS\**\*.*, \\?\?:\WINDOWS\**\*.*
如果*:\WINDOWS\**\*.*可取代其他3种,那邪邪为什么还要这样,我想应该是有区别的。
woodm
 楼主| 发表于 2009-11-11 15:39:25 | 显示全部楼层
原帖由 Esolo 于 2009-11-11 15:22 发表
32位和64位,c盘下program files文件夹不同,邪版规则应该不能通用
楼主确定\\?\?:\WINDOWS\**\*.*是正确写法?


谢谢3#的转贴
我也奇怪,我本不是要那样写的,可是提交后就成这样了。为什么第三条正常显示,所以我觉得最后一条和第三条应该有一些不同,
大猫熊
发表于 2009-11-11 16:43:43 | 显示全部楼层

回复 5楼 woodm 的帖子

你倒可以问问他~~不是所有的规则都是金科玉律~~~
至于64位的规则,如果你导入就麻烦了。。。program files还是其次,关键是mcafee会不断见红,显示svchost.exe试图结束mcafee进程被阻止。
建议在64位上自己编写规则,或者在32位规则中禁用‘终止mcafee进程’这一条再导出,导入64位中。并且所有program files的都另外加一个program files (x86)
louis00
发表于 2009-11-11 17:14:58 | 显示全部楼层
楼上高手  !!   我就不出声了    免得我失礼
大猫熊
发表于 2009-11-12 00:35:53 | 显示全部楼层

回复 8楼 louis00 的帖子

高手可不敢当。。。只是我以前犯过类似的错误。。。现在不想看到别人再犯而已~~~~
woodm
 楼主| 发表于 2009-11-12 03:24:09 | 显示全部楼层
回复7#的朋友
你说的program files (x86)我注意过,你没注意以下我的program files后面是带*的,现在不很明白的是最后两个排除项

[ 本帖最后由 woodm 于 2009-11-12 03:25 编辑 ]
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-26 07:53 , Processed in 0.131381 second(s), 16 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表