咖啡规则排除的问题（很奇怪的现象）

xyq.dell.com

sandyyangjie 发表于 2011-4-27 23:19
应该是底层操作，暂时没办法。。。好像。。。

底层操作就只能不让它运行起来了。面对类似的威胁要怎么加规则，貌似加规则用处也不大。

hj5abc

回复 49楼 xyq.dell.com 的帖子


是底层磁盘操作 咖啡不管的

大猫熊

xyq.dell.com 发表于 2011-4-27 23:40
底层操作就只能不让它运行起来了。面对类似的威胁要怎么加规则，貌似加规则用处也不大。

貌似是的，看来防不胜防啊。。。我就搞不清除了，像win7这种安全武装到牙齿的系统，对于这种底层操作难道一点没辙？连策略都不能禁止？。。。

大猫熊

bighead 发表于 2011-4-27 22:58
回复 41楼 wzx3250259 的帖子

还是不行，搭配了HIP8.0照样被过了

你的测试系统是什么？win 7? xp? vista?



刚才读到一篇文章，讲磁盘底层写入，似乎vista和win7都做了限制，一般程序是做不到的，见http://www.debugman.com/discussion/3016/vista-win7%E5%AF%B9%E7%9B%B4%E6%8E%A5%E7%A3%81%E7%9B%98%E5%86%99%E5%85%A5%E7%9A%84%E9%98%B2%E6%8A%A4/p1，不过我水平有限，没有太弄懂里面的意思。。。。

墨池

回复 1楼 bighead 的帖子

规则名称：禁止在本机非法修改EXE文件
要包含的进程：*
要排除的进程：*\Program Files*\**\*.*
要阻止的文件或文件夹名：**\*.exe
要禁止的文件：写入  创建  删除
        这是我的写法，没有问题。试了你的写法，确如你所言。我之前就发现排除写成**\Program Files\**有漏洞，所以我的规则没有采取这种写法。这应该是8.8语法变化的结果，也可以算是BUG！适应新的变化，规则作相应调整，才能使规则不失效。你的问题正是语法问题带来的规则失效问题。

        我的正式版规则写法如下：
规则名称：禁止在本机非法修改EXE文件
要包含的进程：**
要排除的进程：*\Program Files*\**\*.*, *\PROGRA~?\**\*.*
要阻止的文件或文件夹名：**\*.exe
要禁止的文件：写入
        因为信任区已经禁止.exe创建、写入，所以本条规则的作用是防止本机非信任区.exe文件被修改，但不影响正常下载.exe文件到非信任区以及正常删除非信任区.exe文件，安全+易用。

墨池

回复 9楼 sandyyangjie 的帖子

太好了，赞一个哈！

bighead

回复 54楼 sandyyangjie 的帖子

我的系统是win7 32位系统，（关闭UAC）

bighead

回复 55楼 墨池 的帖子

其实排除的进程还可以象邪邪那样写*\**\Program Files*\**
另外，8.8里面没有必要排除PROGRA~?，因为8.8里这个没有触红的，而8.7如果不排除这个文件夹就会红（邪邪应该是发现了这个所以就只排除Program Files和windows不再排除PROGRA~?了

墨池

回复 58楼 bighead 的帖子

“PROGRA~?”在XP可能会有用，以防万一嘛，某些老DOC程序会用得着，毕竟现在用XP很多都是都是为了解决老程序兼容问题。

墨池

wzx3250259 发表于 2011-4-27 20:50
可以试一下墨池或者版主的规则

硬盘炸弹，墨池规则不要试了，我亲自实践过了，挂了！这种硬盘底层破坏，咖啡规则目前还没有好的办法，病毒库也不入库，蛋疼。