对咖啡的几个期望

thelord

用咖啡也有段时间了，感觉在规则的使用上还是有不方便的地方，期望咖啡能有所改进。

一、规则方面：

1.首先要实现的应该是“规则对象排除”，这样规则的适用性会更广。

常见的例子就是默认规则“禁止 Svchost 执行非Windows可执行文件”的排除，有人玩游戏会触发这条规则，即svchost执行游戏的dll文件。如果能排除这个dll文件，那就没事了。
而且有了对象排除，还可以用来限制程序只能对特定文件夹或特定后缀文件操作。例如可以禁止word写入任何文件，在对对象的排除里加入*.doc和office的配置文件夹，这下word只能规规矩矩了，嘿嘿

2.规则的管理。
咖啡对规则的管理那是相当的简陋，只能用鼠标一个个点。既然企业版，自然该用epo管理，所以偶只是期望一下。
最常碰到的问题就是程序的安装，如果阻挡的规则多了，几乎没人会有耐心去一个个排除。如果可以把规则归组管理，比如建个"安装规则组“，把一般安装程序不会触动的规则添加进去，比如”禁止拦截.EXE 和其他可执行文件扩展名“，”禁止将程序注册为服务“等，windows文件夹的保护，还有对ie的保护规则，这样就算安装包里带流氓软件也没戏。
这样安装的时候光启用”安装规则组“的规则就行了，其它的规则可以只报告或禁用，这就比较安全。

二、程序控制方面：

1.继续集成AD的一些重要方面。就像缓冲区溢出保护，增加控制 ”线程注入“，”底层磁盘写入“等功能。虽然溢出可能还是安全的头号敌人，可是”线程注入“之类的也够泛滥了。
有关AD的还有"自我进程保护”，咖啡仍需加强，毕竟树倒猢狲散啊，呵呵，而且咖啡可以把这个功能开放，这样防火墙进程也加入咖啡的保护范围，患难与共。

2.曾经8.0拥有的，禁止“read”的话，列出目录（list）也会被禁止。可以用来封锁某个目录文件夹，完全看不到其中内容。可惜到了8.5就没这个功能了。华丽地回来吧！

最后说的是，加强咖啡的AD显然对FD是有益的，因为咖啡的信任程序是通过路径排除的，如果遇到“线程注入”，门也就开了，也从侧面反映了3D的融合趋势。还有咖啡在样本区的表现不佳。。。

以上就是我的一些使用体会，没啥技术含量，只是抛砖引玉，喜欢咖啡的你有啥意见或期望可以畅快的说出来哈（尤其当你看到天上有流星划过的时候。。。）

idey

写的不错，很好，学习了

steve_mc

学习学习~~

小邪邪

经验之谈，谢谢分享心得

zzybwdb_2007

楼主的心得写的不错~~~~感谢分享~~~~

baobaoi_110

谢谢楼主可以学习了

millkiss

LZ果然是高手中的极品哈哈，但是我比较懒惰所以就用个人版咖啡的产品，昨天晚上实在受不了MISS2007 10in1的资源占用今早换了MISS2007 3in1  感觉还行！
我的希望是：MISS下个版本能改善内存占用高的缺点。

aribeth199

第一大点的第2小点以前有人提过，就是说要像HIPS那样便于操作，这要看咖啡公司的态度，因为对于企业用户来说，易用性应该不是第一位的，怎样更安全更为重要，而且企业用户是通过EPO管理，个人也接触不到这些。
第二大点的第1小点说到线程注入，是不是说加入验证。这一点确实有待提高。

starfish

呵呵，学习了，呵呵，这种经验应当多拿出来跟大家一起分享

xs610

呵呵，学习。