网络原因发了两篇<由病毒联想的>报谦

xyq.dell.com

先说背景:七月份开始了解咖啡，在九月安装时大概的明白了使用方法。由于是win7且不想直接导规则(会让我有无所适从的不安感)，且一直按照用适合自己的规则的想法去做，于是照搬了柯林<麦咖啡8.7i新手规则>的文字规则，内容一目了然，规则名称解释清楚，是我需要的直观教材。柯林文中介绍是中等防护，不知是谦虚还是的确为了新手的易用性有没照顾到的地方，我是新手没多少认知，烦请有经验的老鸟看看有什么缺憾，毕竟快半年的认识我应该有了些许提高，能接受比较难搞的规则了。           现在开主题:前段时间在样本区(还是hips区)见一病毒全盘删除文件(似乎只是可执行文件具体忘了)，有位饭友用8.7结果咖啡和系统目录被删残缺不全，有的用毛豆也悲剧了，于是我心颤了，我担心现有规则如果碰到不挑食的病毒岂不是除了受保护的文件格式，我的歌曲和相册都得消失?那时我会恸哭也不是不可能。于是我禁止C到G盘内容被删除(我的软件和系统都在C盘，D盘装相册和歌曲，E盘装游戏魔兽争霸和大富翁两个，F盘装BEYOND演唱会大国崛起等视频和文档，G盘是杂盘剩了17.4G用来放下载的内容和程序产生的文件，如日志，隔离区)也就是说除了C盘，其他盘符内容都分散，简单，排除相应程序也容易。前些天又看见鬼影，说修改硬盘mbr什么的，就在上面的规则里除了C盘又勾了其他四项，我想除了系统盘不经允许的程序哪也到不了，问题来了:一，排除项有explorer，它会不会被病毒利用。二，修改mbr是从c盘进行吧，那它修改的是哪里的信息，怎样禁止。三，自带规则有禁windows和program创建，那自带规则禁止修改吗，如果不禁止修改我是不是得建规则勾禁写入，谁能给排除项。四，隐藏分区有一百兆，那里安全吗。五，program data用保护吗。六，重中之重，咖啡的自保可靠吗，一切保护的前题都在他身上了。(我假设病毒进来了，运行了，且针对咖啡结束它的进程，咖啡能挡住吗)      最后，说的这么罗嗦只为方便大家了解我和我电脑的环境，我本身习惯较好，一切只是以防万一。赶在8.8发布，状况又多的时间发帖，还真担心被忽略了。呵呵，先谢谢大家。

xyq.dell.com

先说背景:七月份开始了解咖啡，在九月安装时大概的明白了使用方法。由于是win7且不想直接导规则(会让我有无所适从的不安感)，且一直按照用适合自己的规则的想法去做，于是照搬了柯林<麦咖啡8.7i新手规则>的文字规则，内容一目了然，规则名称解释清楚，是我需要的直观教材。柯林文中介绍是中等防护，不知是谦虚还是的确为了新手的易用性有没照顾到的地方，我是新手没多少认知，烦请有经验的老鸟看看有什么缺憾，毕竟快半年的认识我应该有了些许提高，能接受比较难搞的规则了。           现在开主题:前段时间在样本区(还是hips区)见一病毒全盘删除文件(似乎只是可执行文件具体忘了)，有位饭友用8.7结果咖啡和系统目录被删残缺不全，有的用毛豆也悲剧了，于是我心颤了，我担心现有规则如果碰到不挑食的病毒岂不是除了受保护的文件格式，我的歌曲和相册都得消失?那时我会恸哭也不是不可能。于是我禁止C到G盘内容被删除(我的软件和系统都在C盘，D盘装相册和歌曲，E盘装游戏魔兽争霸和大富翁两个，F盘装BEYOND演唱会大国崛起等视频和文档，G盘是杂盘剩了17.4G用来放下载的内容和程序产生的文件，如日志，隔离区)也就是说除了C盘，其他盘符内容都分散，简单，排除相应程序也容易。前些天又看见鬼影，说修改硬盘mbr什么的，就在上面的规则里除了C盘又勾了其他四项，我想除了系统盘不经允许的程序哪也到不了，问题来了:一，排除项有explorer，它会不会被病毒利用。二，修改mbr是从c盘进行吧，那它修改的是哪里的信息，怎样禁止。三，自带规则有禁windows和program创建，那自带规则禁止修改吗，如果不禁止修改我是不是得建规则勾禁写入，谁能给排除项。四，隐藏分区有一百兆，那里安全吗。五，program data用保护吗。六，重中之重，咖啡的自保可靠吗，一切保护的前题都在他身上了。(我假设病毒进来了，运行了，且针对咖啡结束它的进程，咖啡能挡住吗)      最后，说的这么罗嗦只为方便大家了解我和我电脑的环境，我本身习惯较好，一切只是以防万一。赶在8.8发布，状况又多的时间发帖，还真担心被忽略了。呵呵，先谢谢大家。

tbqwert

请给一个柯林<麦咖啡8.7i新手规则>的文字规则的链接让我学习一下吧~~~谢谢

xyq.dell.com

tbqwert 发表于 2011-1-23 19:30
请给一个柯林的文字规则的链接让我学习一下吧~~~谢谢

我是拿手机发的，你可以用左上角的搜索本版按标题搜下，或者点原创就在第一页蓝标题。

hanghuo

实际上咖啡的自保是很少被攻破的，这可以从版块当中看出，这类问题几乎不存在过，如果真的运气不好，遇上那种恶意顽固病毒，杀毒软件几乎是解决不了的，不是吗？

xyq.dell.com

hanghuo 发表于 2011-1-23 19:44
实际上咖啡的自保是很少被攻破的，这可以从版块当中看出，这类问题几乎不存在过，如果真的运气不好，遇上那 ...

倒确实没什么人说8.7自保不行的，不过看老帖说8.5进程在规则不完善情况下能被轻易结束。所以问问8.7改进后大概有多硬。

hanghuo

回复 5楼 xyq.dell.com 的帖子

当然，我相信咖啡会沿袭其优良传统的，呵呵！

xyq.dell.com

回复 6楼 hanghuo 的帖子

希望这不是真的。

大猫熊

一、默认规则有防止伪装系统进程，也就是防止全盘创建修改任何关键系统文件，所以病毒无法伪装成explorer.exe来展开行动，如果是单纯调用exe，我想至少它应该释放dll或者sys文件，你可以全盘阻止这类危险文件的生成。当然这就需要你在平时安装软件的过程中把好关。你可以对于常用的文件类型采取不同的读写保护策略。比如doc文件仅允许word进行操作，jpg文件仅允许PS或者照片查看软件操作，等等。还可以对特别重要的文件设立特别保护区，用咖啡禁止任何进程对其删除或写入，连explorer.exe都不行。

二、我不太清楚修改MBR的操作，等高人。

三、似乎不阻止修改，有待进一步确认。至于自己编写程序，排除项可以是windows\**，如果有其他程序，具体情况具体分析。

四、不太清楚。

五、在我印象里，没有什么程序是从Program Data运行的，但是有很多程序的配置文件在里面，你可以把它列为禁运区，或者说非信任区，然后指定只有program files和windows里面的程序可以写入删除创建文件。

六、如果只是结束进程的话，比较靠谱，8.8据说又进一步提升了咖啡的自保能力。至于病毒已经运行起来，释放了驱动，结束咖啡进程，就不一定能防住，所以说“堡垒往往从内部攻破”，关键是防止病毒运行起来，可以参考http://bbs.kafan.cn/forum.php?mod=viewthread&tid=749215 这篇帖子。

重复发贴