|
2005-10-04, 11:33 PM
|
|
|
榮譽會員
 
|
軟體 - MCAFee(麥咖啡)進程解釋+設置指南
MCAFee(麥咖啡)行程解釋+設定指南
首先介紹一下安裝後產生的行程! 如果不安裝8.1的防火牆就一共應該有7個行程 UpdaterUI.exe shstat.exe Tbmon.exe Vstskmgr.exe Mcshield.exe Frameworkservice.exe naPrdMgr.exe UpdaterUI.exe:自動昇級進(咖啡一個星期昇級一次。) shstat.exe:也就是你系統欄裡那個盾牌一樣的圖示,啟動項處於註冊表內.(裝完重新啟動系統後,圖示才會出現在系統工作管理欄中。不 過,即使沒有圖示,VirusScan Enterprise 仍在執行,且您的電腦仍受到保護。) 您可以通過檢查以下註冊表鍵進行驗證: HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows\CurrentVersion\Run ShStatEXE="C:\Program Files\Network Associates\VirusScan\SHSTAT.EXE"/STANDALONE Tbmon.exe:錯誤報告程序 Vstskmgr.exe(Network Associates Task Manager):這個東西屬於系統服務。 Mcshield.exe:咖啡的核心,系統服務! Frameworkservice.exe(McAfee Framework 服務,McAfee 產品的共享元件框架):咖啡的後台框架行程,屬於服務。平時關閉的話,經 過我測試是不影響普通使用的,但是會影響昇級,且這個行程和Vstskmgr.exe不一樣,他不能自動的去啟動服務,如果你調整成手動,那麼你非得自己動手去啟動這個服務,才能執行昇級程序。 naPrdMgr.exe:這個行程以前的版本就有,它是個Frameworkservice.exe在一起的,如果Frameworkservice.exe被停止,則它絕對不會在工作管理器裡出現。 下面就開啟你的咖啡,(右擊系統托盤咖啡的圖示,選virusscan控制台) 這裡就是咖啡的簡單的網路防火牆功能,可以設定讓麥咖啡來阻止相應的連接阜,比如阻止了25連接阜以後,就可以禁止某些木馬把你的密碼等信 息當郵件傳送出去,但是如果你用軟體發郵件也會被阻止,可以在排除行程中輸入你現在使用的郵件軟體的行程名字,比如foxmail.exe 比如有個木馬是blazer5,連接的是5000連接阜,在這裡設定一下可以遮閉掉5000連接阜 這裡可以設定你的共享資源,主要是下面,他已經有很多的原有的規則了,你可以禁止在windows的目錄中新增文件,防止木馬的破壞,要裝軟體 的時候臨時執行,這樣雖然比較麻煩,但是安全性確實很不錯。預設的設定狀態下,開啟一個壓縮檔案是無法直接雙按執行文件的,像上面那 個的設定,因為有些壓縮包中可能有惡意程式碼,在臨時資料夾中執行某些惡意程序 這裡是防止某些病毒利用緩衝區溢位漏洞來傳播 建議把關機時檢測軟碟關了,不然很煩的,下面的掃瞄時間是個很難改動的設定,時間太短的話可能會檢查不完,太長的話有大文件會很慢 ,不過好在這裡是最長檢測時間,後面的選項,預設就好. 這是一個很不錯的設定,可以對高低風險的行程進行不同的設定,比如有些病毒很喜歡使用系統行程的名字,當然就是高風險的了,這樣設定 的話可以對低風險行程放寬設定以降低系統資源佔用掃瞄文件這裡,可以設定成只在讀取文件時檢測,這樣可以節省一些資源,當然也是放棄了安全性的。如果你在區域網路上,建議選檢測網路 驅動器。掃瞄檔案類型,按訪問掃瞄的話建議選項預設檔案類型,一般某些不常用的檔案類型,包括某些.bak文件,都是沒有太大危害的,至少現在他 不會執行,不是特別擔心的話選項預設檔案類型好了。下面是排除列表,就是不掃瞄的資料夾,比如麥咖啡把破解的serv-u當病毒,這裡可以把 serv-u的資料夾排除就可以了。建議把c碟的隔離資料夾增加進去,不然要去裡面移除病毒的時候他可能會彈出來煩人. 這裡要說的就是是否掃瞄壓縮檔案,我的建議是不掃瞄,因為掃瞄他們會花去大量的時間,即時裡面有病毒,也需要先解壓出來,就是直接運 行也要解壓到臨時資料夾,這個時候麥咖啡也會自動去檢測的。 這裡可以在系統空閒的時候自動掃瞄記憶體或者某些敏感資料夾。新增一個按需掃瞄工作,目標是記憶體或者敏感資料夾(比如c:\windows\),然後點計劃 這裡可以選項檢測時的cpu佔用率,太低的花話可能會讓檢測速度變慢。如果你設定了空閒時掃瞄記憶體的話,這裡還是改低一些吧。 |
__________________
|
|
|
送花文章: 3,
|
|
向 psac 送花的會員:
|
|
2006-04-04, 08:13 AM
|
#16 (permalink) |
|
榮譽會員
|
MCAFEE的監控確實是別的殺毒軟體無法比翼
我用咖啡已經快一年多了,其中的各個版本都試過,用的最滿意的也就是網上比較流行的8.0企業版,監控能力我就不多 說了,對比一下大陸殺毒軟體的監控真讓我汗顏,前段時間RAV推出了2006版,我想我同學要了一個正版ID和序列號,嘗試的裝了下想對於2005在占資源方面降低了很多,可論監控能力實在不敢苟同,由於本人比較喜歡找資源,各方面,包括黃網發現RAV在監控木馬方面做的實在薄弱,每當我逛完一些比較危險的網站用Edido掃瞄隨之即來的就是報警聲,為此我放棄了RAV用回了咖啡. 咖啡的監控能力實在太厲害,我下了一個關於病毒程式碼的電子書裡面有XX病毒的程式碼,當我閱覽的時候直接報毒,還有我同學一個帶毒的USB碟,插在別人的電腦上不報毒,別人電腦剛好是大家比較喜歡的KAV,結果一插到我的PC上就殺出來了.好了吹噓了咖啡這麼久說說他的缺點吧,其實就我來說可能就是殺毒能力不夠太狠有些病毒都會報無法移除和隔離,剛開始我也比較擔心,可後來發現其實病毒文件已經被隔離了在此告訴大家以後碰到這種情況不用太擔心. 現在我說說我的咖啡用法吧:很簡單打上他的修正檔程序PACH11和昇級他的引型也就是5000,打上他的相關傳輸協定這個比較重要因為裡面定義了很多病毒簽名和惡意程序(流氓軟體),現在比較流行DIY這個詞,相信咖啡迷知道咖啡也是需要DIY的哈哈,好了就說這麼多,歡迎大家交流! |
|
|
送花文章: 3,
|
|
2006-04-04, 07:10 PM
|
#17 (permalink) |
|
榮譽會員
|
[下載]mcafee安全軟體官方下載(2006年1月9日新增McAfee個人簡體中文版本VirusScan10.0.27I)!
McAfee官方病毒庫下載網頁2.1 更新 http://www.mcafee.com/us/downloads/u...t_download.asp 1.9更新 1、McAfee個人簡體中文版本VirusScan10.0.27官方下載位址 http://sdownload.nai.com/products/PR...-use_ZH-CN.EXE 2006年1月4日新增MCAFEE的VSE8.5 BETA I https://secure.nai.com/us/forms/down...SE85_372_5.Zip 12.1更新: McAfee 5000引擎 http://download.nai.com/products/nai...ta5eng5000.exe 1.mcafee8.0i(英文版)http://sdownload.nai.com/products/pr.../VSE80iLEN.Zip (中文版)http://sdownload.nai.com/products/pr.../VSE80iLCS.Zip (anti_spyware/v8.0)直接整合在mcafee8.0i http://sdownload.nai.com/products/PR....0/MASE80L.Zip (修正檔11) http://download.nai.com/products/pro...x/VSE80P11.Zip (整合修正檔10的mcafee)中文版http://sdownload.nai.com/products/pr.../VSE80iLEN.Zip 12.2更新 MVSE 8I繁體中文版 URL http://sdownload.nai.com/products/pr.../VSE80ilct.Zip 英文版 http://sdownload.nai.com/products/pr.../VSE80iLCS.Zip mcafee企業版8.0i圖解設定指南(新手指南) mcafee企業版8.0i設定指南 mcafee,中文稱作麥咖啡。最近老是有人問麥咖啡的問題,於是決定寫一篇這樣的東西,希望可以對使用麥咖啡的朋友有點說明 ^_^ 首先開啟麥咖啡的控制台,右擊工作管理欄的圖示或者從開始選單都可以開啟,可以看到以下的介面  下面按照控制台中的順序一個一個來說 存取保護  這裡,就是麥咖啡的簡單的網路防火牆功能,可以設定讓麥咖啡來阻止相應的連接阜,比如阻止了25連接阜以後,就可以禁止某些木馬把你的密碼等訊息當郵件傳送出去,但是如果你用軟體發郵件也會被阻止,可以在排除工作中輸入你現在使用的郵件軟體的工作名字,比如foxmail.exe,不知道明白了沒有^_^! 比如我現在知道有個木馬是blazer5,總是連接我的5000連接阜,感覺很不爽,在這裡設定一下可以遮閉掉5000連接阜,如下圖   這裡可以設定你的共享資源,主要是下面,他已經有很多的原有的規則了,你可以禁止在windows的目錄中新增文件,防止木馬的破壞,要裝軟體的時候臨時執行,這樣雖然比較麻煩,但是安全性確實很不錯。預設值的設定狀態下,開啟一個壓縮檔案是無法直接雙按執行文件的,像上面那個的設定,因為有些壓縮包中可能有惡意程式碼,在臨時資料夾中執行某些惡意程序,這個是否開啟看你自己選項了^_^ 緩衝區溢位保護  這裡是防止某些病毒利用緩衝區溢位漏洞來傳播,不過開啟以後會造成很多麻煩,建議禁止 電子郵件傳送掃瞄程序  這裡的設定我放到後面和按訪問掃瞄程序一起說明,因為他們實在很像 有害程式政策  建議全開,不過全開以後可能會把你的某些特別軟體當病毒,哈哈^_^ 按訪問掃瞄程序 麥咖啡的關鍵設定,即時保護就是這個了  這裡要改一些設定,建議把關機時檢測軟碟關了,不然很煩的,下面的掃瞄時間是個很難改動的設定,時間太短的話可能會檢查不完,太長的話有大文件會很慢,不過好在這裡是最長檢測時間,你自己看好了^_^ 後面的選項沒什麼可說了,預設值就好  這是一個很不錯的設定,可以對高低風險的工作進行不同的設定,比如有些病毒很喜歡使用系統工作的名字,當然就是高風險的了,這樣設定的話可以對低風險工作放寬設定以降低系統資源佔用,如果有時間的話可以好好改改,我這裡統一說一下。  掃瞄文件這裡,可以設定成只在讀取文件時檢測,這樣可以節省一些資源,當然也是放棄了安全性的。如果你在區域網路上,建議選檢測網路驅動器。掃瞄檔案類型,按訪問掃瞄的話建議選項預設值檔案類型,一般某些不常用的檔案類型,包括某些.bak文件,都是沒有太大危害的,至少現在他不會執行,不是特別擔心的話選項預設值檔案類型好了。下面是排除列表,就是不掃瞄的資料夾,比如麥咖啡把破解的serv-u當病毒,這裡可以把serv-u的資料夾排除就可以了。建議把c碟的隔離資料夾增加進去,不然要去裡面移除病毒的時候他可能會彈出來煩人^_^   這裡要說的就是是否掃瞄壓縮檔案,我的建議是不掃瞄,因為掃瞄他們會花去大量的時間,即時裡面有病毒,也需要先解壓出來,就是直接執行也要解壓到臨時資料夾,這個時候麥咖啡也會自動去檢測的。還是你自己選項好了。  發現病毒的操作,建議預設值。 有害程式政策也建議預設值 掃瞄所有所有硬碟(按需掃瞄程序)  這裡,看起來好像是很平常的設定,不過其實隱藏了很多東西∼比如他可以在系統空閒的時候自動掃瞄記憶體或者某些敏感資料夾。新增一個按需掃瞄工作,目標是記憶體或者敏感資料夾(比如c:\windows\),然後點計劃 http://tinypic.com/f0ahvs.GIF[/IMG] 這樣,他就會在系統空閒的時候掃瞄了,哈哈^_^ http://tinypic.com/f0ahyb.GIF[/IMG] 和前面的設定一樣,不過不再是即時的保護了,當然要檢測壓縮包了∼  非常貼心的設定,可以選項檢測時的cpu佔用率,太低的花話可能會讓檢測速度變慢。如果你設定了空閒時掃瞄記憶體的話,這裡還是改低一些吧 McAfee VirusScan 2005 繁體中文版下載: http://sdownload.nai.com/products/PR...0_11_ZH-TW.EXE 英語版: http://sdownload.nai.com/products/PR...EN_HomeUse.exe 西班牙語版: http://sdownload.nai.com/products/PR..._9_0_10_ES.EXE 德語版: http://sdownload.nai.com/products/PR..._9_0_10_DE.EXE 日語版: http://sdownload.nai.com/products/PR..._9_0_10_JP.EXE 韓文版: http://sdownload.nai.com/products/pr.../VSE80iLKO.Zip 2. McAfee Desktop Firewall 8.0簡體中文版: http://sdownload.nai.com/products/pr.../MDF800LCN.zip mcafee Desktop_Firewall 8.5英文版 http://sdownload.nai.com/products/PR...N-Licensed.zip 繁體中文版: http://download.nai.com/products/eva.../MDF850ETW.zip MDF 8.5的HOTFIX 2: CODEhttp://sdownload.nai.com/products/protected/hotfix/MDF850_HOTFIX2_LEN.ZIP 3.mcafee個人版防火牆http://download.mcafee.com/products/...PFPH6144EN.exe 4.個人版spamkiller http://download.mcafee.com/products/...MSKH6107EN.exe 5.MIS7105EN http://download.mcafee.com/products/.../MIS7105EN.exe 6.個人版殺毒9108 http://download.mcafee.com/products/.../VSH9108EN.exe 7.個人版McAfee.VirusScan.v10.0.21.Retail http://219.134.128.58:80/cgi-bin/dl/...Retail-ZWT.exe 8.McAfee ePolicy Orchestrator 3.5 多國語言使用權版本: http://download.mcafee.com/products/.../EPO350LML.Zip 9.Mcafee 5000引擎BETA4 http://download.nai.com/products/nai...ta4eng5000.exe 10.McAfee Desktop Firewall 8.0 日文版: http://sdownload.nai.com/products/pr.../MDF800LJP.zip 韓文版: http://sdownload.nai.com/products/pr.../MDF800LKO.zip |
|
|
送花文章: 3,
|
|
2006-04-05, 11:42 PM
|
#18 (permalink) |
|
榮譽會員
|
McAfee VirusScan v8.0i 設定規則(0921更新)
McAfee VirusScan v8.0i 設定規則(0921更新) McAfee VirusScan v8.0i設定起來比較麻煩,現把 一般常用的設定規則抽取出來,直接匯入即可完成 設定,方便初次使用的新人和嫌設定麻煩的朋友。^_^ 使用方法:解壓直接雙按匯入,重新啟動電腦即可 適用於簡體中文版,感謝wangk0998把規則翻譯成英文,所以英文版的也可以用了 說明: rules_block是「存取保護」的設定 主要特點有: 1.在「禁止大量大送郵件的蠕蟲病毒傳送 郵件」中排除了foxmail,dreammail 2.禁止了本機135-139,445,90,5000等連接阜,如果需要開放 請重新設定(此功能預設值關閉) 3.保持當前共享狀態 4.禁止了3721上網助手 5.禁止在C碟根目錄下建立新文件(防禦某些病毒木馬) 6.禁止了在windows和system32下建立新的exe和dll(防禦某些病毒木馬)如果要安裝軟體請關閉這些規則,否則可能無法完成安裝 7.禁止遠端修改系統 8.禁止3721網路實名 9.禁止網路豬\劃詞搜尋 10.禁止DUDU 11.保護了system.ini、win.ini和hosts 12.禁止百度搜霸 13.禁止360度搜 14.禁止QQ廣告 15.禁止IInfo 16.禁止很棒小秘書 17.禁止青蛙娛樂 18.禁止一搜 19.禁止CNNIC 20.解決金山詞霸在螢幕取詞和緩衝區溢位保護的衝突 rules_virdefine是「有害程式政策」的設定 主要特點有: 1.開啟了全部7項選項 2.自訂了對「上網助手」、百度搜霸、珊瑚蟲QQ中頗有爭議的兩個文件(infomgr.exe和infonet.exe)、很棒小秘書、青蛙娛樂(寫入系統檔案夾的dll)的查殺 3.排除了antispy對「網際快車」的查殺 4.排除了對Serv-U的查殺(安裝時請關閉按訪問掃瞄) 對按訪問掃瞄內容做了初級的設定,更適合於系統流暢的執行 計劃掃瞄裡排除了使用antispy掃瞄cookie 對瀏覽器劫持(比如ebay)咖啡還無能為力,請用hijackthis 沒有設定禁止修改註冊表,否則可能帶來很大麻煩 請謹慎使用系統檔案夾保護,特別是在windows更新和安裝需要向系統檔案夾寫入文件的軟體時,請關禁用按訪問掃瞄或關閉保護系統檔案夾 0903主要的改進有: 1.禁止在系統檔案夾下建立新的bat,com,sys。 2.阻擋阿里巴巴商機直通車。 3.自訂有害程序新增阿里巴巴商機直通車。 4.設定了一個「監視系統檔案夾」的規則,有一點類似tiny的這個功能,但是相對簡單,對於監視系統檔案夾的新動作還是比較有說明 的(預設值關閉)。 5.按訪問掃瞄進行了一點修改,修正了一些錯誤。 時間倉促,如果錯誤,歡迎指正 感謝hongkun1011朋友指出的失誤,有些規則使用了絕對路徑會造成win2000系統下規則不起作用,現已更證,請使用win2000系統的朋友注意 0909的更新有: 改變了在windows下的阻擋規則,包括子資料夾在內均阻擋exe,dll,com,bat,sys,這樣system32下的阻擋規則已成為多餘,但仍保留。現在包括灰鴿子在內很多木馬改變了寫入方式,改為在windows下建立子資料夾寫入病毒體,因此這樣的改動可以適應更多的情況。如果不喜歡這樣,只要把阻擋windows資料夾的規則去掉「**\」改回%windir%\*.dll(exe、dll、com、bat)即可 0921的更新有: 文件保護和有害程式政策阻擋增加了雅虎助手。 根據很多人的反映,分成了嚴厲版和普通版,區別很簡單,就是0909和0903的區別,嚴厲版阻擋了系統檔案夾中自資料夾產生exe,dll,bat,sys,com。 按訪問掃瞄做了些許調整,修正了一些風險 警告:安裝某些向系統檔案夾寫入的軟體和使用windows update時請關閉保護系統檔案夾的規則或者禁用按訪問掃瞄,否則可能造成不可預期的問 |
|
|
送花文章: 3,
|
|
2006-04-05, 11:50 PM
|
#19 (permalink) |
|
榮譽會員
|
McAfee重組安全產品 延續整合集中管理原則
McAfee準備在3日宣佈其商用安全產品重組,保證提供更方便購買、安裝、管理和執行的軟體。 McAfee目前的商用產品線將逐漸結束市場,改為新的McAfee Total Protection。新產品包含大多數現有的McAfee安全軟體,如殺毒、防間諜軟體、防火牆和垃圾電子信箱等保護,但該公司已改善產品的整合性與管理性。 McAfee將提供四種版本的Total Protection,兩種針對百台以上電腦的組織,另外兩種鎖定小型組織。前者訂於4月17日上市,後者要等到4月25日。 這次的產品重組,McAfee仍延續其整合與集中管理的產品原則。該公司發言人Vimal Solanki表示:「我們要重新定義顧客購買、佈署、管理和操作安全軟體的方式。」 McAfee的安全產品組合讓使用者一次安裝多重保護科技,包括對抗病毒、蠕蟲和間諜軟體的反應機制,以及防火牆等主動保護技術。 Solanki表示,McAfee這次首度在大型組織用產品McAfee Total Protection Enterprise中,加入主機入侵防護機制。最高端的版本 – Total Protection Enterprise-Advance,也首度加入網路存取管控機制。 此外,McAfee的中央管理操控台ePolicy Orchestrator,現在也納入防入侵軟體。Solanki說,防入侵軟體原有單獨的操控台,但顧客一直要求能與ePolicy Orchestrator整合。 針對小型組織,McAfee在新產品中加入代管電子信箱安全服務。這兩個版本分別是Total Protection for Small Business和Small Business-Advanced。Solanki說,雖然McAfee主打整合性產品,顧客仍可單獨選購特定的功能。 但Yankee Group分析師Andrew Jaquith表示,整合搭售是未來的主角。他說:「這或許是McAfee今年最重要的產品發怖,對他們和整個業界都有利,有助於讓這個概念成為未來的主流。」 Jaquith指出,雖然西班牙的Panda Software在安全軟體的深度整合上快過McAfee,該公司仍領先賽門鐵克(Symantec)、趨勢(Trend Micro)和CA(Computer Associates)等主要敵手。 他說:「賽門鐵克已經明確規劃出一個類似的路線,不過他們仍有很多整合工作待完成。」他指的是賽門鐵克收購的幾家公司,包括WholeSecurity、PlatformLogic和Sygate。Jaquith說:「我相信他們落後McAfee九個月。」 |
|
|
送花文章: 3,
|
|
2006-04-10, 04:33 PM
|
#20 (permalink) |
|
榮譽會員
|
精通咖啡的不要錯過了-----關於麥咖啡規則的萬用字元等
想精通咖啡的不要錯過了-----關於麥咖啡規則的萬用字元等 我們都知道,咖啡可以套用萬用字元 * 和 ? : (喜歡咖啡的友情幫頂下啊) 1.問號 (?) : 用於排除單個字串) ,比如, 排除項 w?? 排除 www,但不排除 ww 或wwww 2.星號 (*) : 用於排除多個字串 雙星號 (**) : 表示零個或多個含有反斜槓的字串,這樣允許多層次排除。 比如, **\temp*\** ,雙星號 (**) 表示在反斜線 (\) 字串前後任意多個 層級的目錄,一個星號 (*) 表示任意一個或部分目錄名稱。 3.**\*和**有什麼不同?---看完測試就知道了 4.排除規則 : C:\quarantine\** 和 C:\quarantine\ 這2條有區別嗎?沒有區別嗎?---前者排除C:\quarantine\目錄下的所有文件,包括排除子資料夾,後者只包括C:\quarantine\下的文件,不排除子資料夾,即C:\quarantine\** 的排除範圍 > C:\quarantine\ ,看下邊我的測試會就明白。 以下是我自己作的測試,還望高手指教,不過我覺得應該是100%正確了的吧xixi 我在E:\110下新增了一些文件和資料夾,其中patch.rar為病毒文件,在165、265資料夾中我把patch.rar分別更名為02.rar,03.rar,以便檢視測試結果。 資料夾結構為: E:\110 ---125 ---265 ---03.rar ---02.rar ---patch.rar 下面我把我的測試結果奉上以饗朋友們--------沒興趣看測試的,直接看最後1句我總結的一條(不過這只是測試中的其中一個結果) 在做此測試時,必須按如下圖做些改動:臨時禁用按訪問掃瞄,把輔助操作改成繼續掃瞄,以防咖啡進行隔離等動作,如圖1 [attachment=207354] 規則為E:\110\ ,排除E:\110\ 下的所有文件,但不排除子資料夾。如圖2 [attachment=207355] 規則為E:\110\**,細心的人會發現,**並沒有出現在「設定排除項中」,但後邊的「排除子資料夾」變成「是」了,其實在「增加排除設定中」輸入**(僅限於最後出現的**字串),咖啡會自動把「不包括子資料夾(D)」的勾選而不會顯示**,這個地方中文咖啡似乎有歧義,大家仔細思考下就明白其真正的意思了。(另:在咖啡的存取保護中可以出現**為最後結尾的,因為那裡咖啡沒有這個打勾的選項,  )如圖3[attachment=207356] 規則為E:\110 ,這個規則就是「什麼也沒有排除」 哈哈哈哈,如圖4 [attachment=207357] 規則E:\110\* 等價於 E:\110\ 。如圖5 [attachment=207358] 規則為E:\110\** \(最後2條規則其實和這條規則的作用是一樣的),排除E:\110\下的資料夾,但不排除E:\110\的文件。通過這裡大家可以悟出點什麼吧,哈哈,我就不多說了。如圖6 [attachment=207359] 規則為E:\110\**\**和E:\110\**\只是多了個顯式地「排除子資料夾」(是E:\110\**\的子集而已),是但真正的作用是一樣的-----排除E:\110\下的資料夾,但不排除E:\110\的文件。如圖7 [attachment=207360] 規則為E:\110\**\*和E:\110\**\的作用是一樣的(是E:\110\**\的子集而已) ,意思是排除E:\110\下的「資料夾中的任何文件」。如圖8 [attachment=207361] 看懂以上這些,大家應該什麼都明白了,不用我作總結了喜喜。那麼大家對咖啡的規則設定,比如「存取保護」等等都輕而易舉了吧 不過還是總結1句吧:要是想排除資料夾和該檔案夾下的所有文件一定要把「編輯排除項目」中的「不包括子資料夾」的勾選(中文咖啡在這裡字面意思有歧義,嚴重注意哦),或者在\後邊增加2個星號(**),咖啡會自動幫你打勾 |
|
|
送花文章: 3,
|
|
2006-04-12, 10:35 PM
|
#21 (permalink) |
|
榮譽會員
|
Q:
【求助】mcafee能夠監視註冊表,不讓其被修改嗎? macafee的文件保護不太會用,應該如果有非法訪問先詢問容不容許,容許可以放行,這樣就好了。 A: 使8.0I不能監視註冊表,8.5的可以。。。。完整的期待智能9.0出來,哈哈 8.5就可以,當然目前只英文有Beta版~ 下面嘗以 用咖啡8.0i來禁用註冊表... 註冊表一般情況下可以禁止使用。目的當然主要是防止木馬、病毒,以及防止他人修改註冊表。若使用咖啡殺毒軟體,那用咖啡來禁止使用註冊表絕對爽呆呆!這可能是殺毒軟體中獨一無二的。下面看看,如何通過咖啡來禁止使用註冊表。由於註冊表編輯器通過兩個工作/指令(regedt32和regedit.exe)都可以開啟,這樣對註冊表編輯器禁用需要設定兩條規則。看設定: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱: 禁止使用註冊表編輯器規則1 阻擋對像:* 要阻擋的文件或檔案名:C:\WINDOWS\regedit.exe 要阻止的文件操作:在讀取文件、執行文件、新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 咖啡控制台------存取保護------資料夾保護-----增加 l 規則名稱: 禁止使用註冊表編輯器規則2 阻擋對像:* 要阻擋的文件或檔案名:C:\WINDOWS\system32\regedt32.exe 要阻止的文件操作:在讀取文件、執行文件、新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 在配合禁止對註冊表進行新增、寫入活動規則。或者對註冊表進行更加嚴格的設定,可以將規則修改為禁止對註冊表進行讀取、執行、新增、寫入活動以配合禁用註冊表。 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止對本機註冊表進行任何活動 阻擋對像:* 要阻擋的文件或檔案名:**\*.reg 要阻止的文件操作:在讀取文件、執行文件、新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 Q:我主要是想防止一些軟體亂改註冊表,比如ie右健之類,這樣有用嗎 A: 這樣設定只能防止別人執行註冊表編輯器,不能阻止其它軟體更改註冊表~ 這樣是行不通的!程序依然可以寫入註冊表! 所以等到v:8.5說是保護註冊表,實際是封鎖註冊表!後果雙面刃可想而知~ |
|
|
送花文章: 3,
|
|
2006-04-19, 04:09 PM
|
#22 (permalink) |
|
榮譽會員
|
Mcafee 5000引擎可以支持對註冊表掃瞄
詳細連接 http://knowledgemap.nai.com/KanisaSu...logID=10164959 這個是咖啡官方的KB庫,E文不好的就不要去看了 大致意思是 5000引擎支持V2方式 V1方式使用傳統的SCAN.DAT, CLEAN.DAT, NAMES.DAT,工作起來和4400引擎沒有大區別。 V2方式需要新的AVV資料庫,命名為 AVVSCAN.DAT, AVVNAMES.DAT, AVVCLEAN.DAT。 看來咖啡5000引擎很值得期待喲! 根據咖啡論壇http://forums.mcafeehelp.com/viewtop...VSE85支持的 |
|
|
送花文章: 3,
|
|
2006-04-20, 10:21 AM
|
#23 (permalink) |
|
榮譽會員
|
McAfee8.0有害流泯程序修正檔
這個修正檔本人根據註冊表的變化製作成的,它可以阻止並移除流泯軟體,本修正檔是個註冊表文件,本來直接匯入即可,但McAfee8.0有個服務阻止此項操作,所以將McAfee McShield這個服務停止,即可匯入成功。 具體方法:XP系統右鍵我的電腦-管理-服務和套用程式-服務,找到McAfee McShield右鍵將其暫時停止,然後匯入註冊表文件即可。 問題澄清:上次本人說明收集88個流泯插件,實際是弄錯了,88個當中其中有些是同一個流泯插件的重複元件,實際21個,只要開啟註冊表文件就清楚。 有害程序自訂規則數量,無論是測版8.5還是8.0,它是有上限為50,顯示並識別。 所以8企業版的殺毒只要改為下面虛線內的.... ------------------------------------------------------------------------ Windows Registry Editor Version 5.00 [HKEY_LOCAL_MACHINE\SOFTWARE\Network Associates\TVD\Shared Components\NVP] "UserDefinedDetection_0"="baidubar.dll:baidu" "UserDefinedDetection_1"="ss_setup.exe:劃詞搜尋" "UserDefinedDetection_2"="ali.exe:阿里巴巴商機直通車" "UserDefinedDetection_3"="assist4.exe:3721上網助手" "UserDefinedDetection_4"="yassist4.exe:雅虎助手" "UserDefinedDetection_5"="cns.exe:雅虎助手元件" "UserDefinedDetection_6"="cns.dll:雅虎助手元件" "UserDefinedDetection_7"="cnsinst.dll:雅虎助手元件" "UserDefinedDetection_8"="autolive.dll:3721" "UserDefinedDetection_9"="Helper.dll:3721" "UserDefinedDetection_10"="assist.dll:3721" "UserDefinedDetection_11"="repair.dll:3721" "UserDefinedDetection_12"="autolive.dll2:3721" "UserDefinedDetection_13"="contmenu.dll:3721" "UserDefinedDetection_14"="asiesec.dll:3721" "UserDefinedDetection_15"="asnoad.dll:3721" "UserDefinedDetection_16"="aswiper.dll:3721" "UserDefinedDetection_17"="asbar.dll:3721" "UserDefinedDetection_18"="optimum.dll:3721" "UserDefinedDetection_19"="duduacc.exe  uDu加速器""UserDefinedDetection_20"="duduprosvc.exe uDu加速器""UserDefinedDetection_21"="ddddl.dll uDu加速器""UserDefinedDetection_22"="dmsched.exe uDu加速器""UserDefinedDetection_23"="rsen.dll uDu加速器""UserDefinedDetection_24"="dluban.dat uDu加速器""UserDefinedDetection_25"="rep.exe uDu加速器""UserDefinedDetection_26"="btdl.dll uDu加速器""UserDefinedDetection_27"="BaiDuBar.dll:百度搜霸" "UserDefinedDetection_28"="aupdate.exe:網路豬" "UserDefinedDetection_29"="pig.exe:網路豬" "UserDefinedDetection_30"="msetup.exe:網路豬" "UserDefinedDetection_31"="SearchM.dll:網路豬" "UserDefinedDetection_32"="AutoLive1.dll:一搜" "UserDefinedDetection_33"="yisous.dll:一搜" "UserDefinedDetection_34"="yisouu.dll:一搜" "UserDefinedDetection_35"="yisoub.dll:一搜" "UserDefinedDetection_36"="yisou.dll:一搜" "UserDefinedDetection_37"="DDTcomm.dll:新浪點點通" "UserDefinedDetection_39"="DdtFavorite.ocx:新浪點點通" "UserDefinedDetection_40"="rssreader.exe:新浪點點通" "UserDefinedDetection_41"="3721:asbar.dll" ------------------------------------------------------------------------------------------------ 我只選了上面的,用8企業版的殺毒可以自己改一改,上面的當例子,自找合適的用去[最多只能選50個] |
|
|
送花文章: 3,
|
|
2006-04-23, 04:26 PM
|
#24 (permalink) |
|
榮譽會員
|
咖啡設定參照
1、存取保護。 雙按存取保護,開啟存取保護。出現連接阜阻擋,文件保護,報告,三個選項。 (1)更改連接阜設定。 預設連接阜阻擋全部勾選。增加阻擋連接阜新規則。連接阜總共有65535個。好了,把1~65535連接阜全部進行設定。由於咖啡對連接阜的阻擋模式分為兩種:阻止入站,阻止出站,這樣,對1~65535連接阜進行設定,需要分為兩組。一組阻止通過1~65535連接阜入站,一組阻止通過1~65535連接阜出站。為了方便設定和檢視連接阜阻擋而影響的工作,可以這樣進行設定。1~1000,每隔100個連接阜設定一個規則,並進行規則標號。1000~10000,每隔1000個連接阜設定一個規則,也進行規則標號。10000~65535設定成一個規則,同時進行標號。這樣設定好了,可以連網進行測試,怎麼樣,不能上網咖?當然別人也進不來了。好了,開啟咖啡日誌,檢視那些工作被阻止,阻止的具體規則是哪些。比如,咖啡日誌標明,svchost.exe工作被新規則1阻止,好了,選新規則1,點擊「編輯」,彈出對話視窗,在已排除工作裡,增加svchost.exe,好了。依次類推,將影響的工作增加進去。設定好了之後,可以上網了。這樣進行連接阜設定,可以阻擋99%的連接阜。那些通過連接阜出入的木馬幾乎沒戲了。 (2)更改存取保護設定。 勾選所有預設設定。一一開啟編輯,檢視每個規則設定情況,凡是能夠選項「阻止並報告訪問嘗試」,一律選項。——預設規則裡,許多都是警告模式,將它們更改(註:如果更改預設設定,請再三思量,否則出現意外情況,我不負責)。將遠端對exe、ocx等文件保護規則合併。但凡遠端操作,在新增文件、寫入文件、執行文件、讀取文件、移除文件前全部打勾。 (3)更改咖啡日誌路徑。放在其他盤裡。 2、有害程式政策。預設規則裡,都沒有勾選。將他們全部勾選。 3、給咖啡殺毒軟體設定密碼。咖啡控制台——工具——用戶介面選項——密碼選項。選項使用密碼保護下面所有項目。設定8位以上超強密碼。在用咖啡設定一系列規則之後,可以鎖定咖啡殺毒軟體介面。這樣,別人不能再更改您對咖啡的設定了。 4、共享資源的保護。開啟咖啡存取保護——文件保護——共享資源,將它設定成阻止並報告訪問嘗試。這樣,共享資源就不能被別人共享了。 5、按訪問掃瞄程序設定。一般——掃瞄——將啟始區,關機時掃瞄軟碟去掉。 其他設定,自己看著辦吧。 上面是咖啡本身攜帶的一些規則。為了安全,可以進行更加嚴格的設定。 1、用咖啡殺毒軟體來防止3721、網路豬、中文郵、百度搜霸、一搜。 目前,3721、網路豬、中文郵、百度搜霸、一搜經常偷偷溜進您的電腦,而且難以卸載乾淨。用咖啡殺毒軟體可以阻止它們進入。 開啟咖啡殺毒軟體存取保護,新增如下幾個規則: 1、禁止在本機新增、寫入、執行、讀取3721任何內容; 2、禁止在本機新增、寫入、執行、讀取網路豬任何內容; 3、禁止在本機新增、寫入、執行、讀取中文郵任何內容; 4、禁止在本機新增、寫入、執行、讀取百度搜霸任何內容; 5、禁止在本機新增、寫入、執行、讀取一搜任何內容。 好了,3721、網路豬、中文郵、百度搜霸、一搜沒有理由呆在您的電腦裡了。 附上部分設定方法。比如,防止3721的方法: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止在本機新增、寫入、執行、讀取3721任何內容 阻擋對像:* 要阻擋的文件或檔案名:**\3721*\** 要阻止的文件操作:在新增文件、寫入文件、執行文件、讀取文件前全部打勾 回應方式:阻止並報告訪問嘗試 2、用咖啡殺毒軟體來防止未知木馬病毒 我查了下相關資料,就目前來說,木馬、病毒基本都是三種檔案類型的,exe、dll、vxd檔案類型。好了,只要我們新增如下三種保護機制: 1、禁止在本機任何地方新增、寫入任何exe文件 2、禁止在本機任何地方新增、寫入任何dll文件 3、禁止在本機任何地方新增、寫入任何vxd文件 這樣,現在出現的各種木馬病毒是進不來的。當然,這條規則非常霸道,就是您更新咖啡病毒庫,對其他軟體進行昇級,下載exe、dll、vxd檔案類型文件,以及移動任何exe、dll、vxd檔案類型文件也不可能了。所以,當您進行類似操作時,暫時取消此規則,等操作完成之後,再繼續使用。 部分規則新增如下所顯示: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止在本機任何地方新增、寫入任何exe文件 阻擋對像:* 要阻擋的文件或檔案名:**\*.exe 要阻止的文件操作:在新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 其他的類似規則,參照設定即可。 3、阻擋肆意移除文件的行為 現在出現許多移除mp3格式的病毒。好了,為了杜絕此類事件發生,可以這樣做。開啟咖啡存取保護,新增如下規則:禁止移除本機任何mp3文件。好了,那些病毒想移除mp3是不可能的了。即便是您自己也刪不掉mp3了!除非解禁!為了杜絕類似移除某些文件的病毒、木馬,好了。我們再新增一條規則:禁止移除本機任何內容。好了,那些肆意移除各種文件的病毒、木馬,根本起不了什麼作用。當然,如果這條規則起作用,您自己也不可能移除任何東西了。當您自己需要移除某些內容,暫時取消這條規則,等移除操作完成了,再開啟就是了。這條規則保護自己電腦不被別人移除任何東西非常管用哦。而且別人莫名其妙的,他根本不會想到是咖啡在阻止移除操作哦! 規則新增如下所顯示: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止移除本機任何mp3文件 阻擋對像:* 要阻擋的文件或檔案名:**\*.mp3 要阻止的文件操作:在移除文件前打勾 回應方式:阻止並報告訪問嘗試 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止移除本機任何內容 阻擋對像:* 要阻擋的文件或檔案名:**\*\** 要阻止的文件操作:在移除文件前打勾 回應方式:阻止並報告訪問嘗試 個人也可以使用類似方法保護任何一個文件不被移除。比如rm文件等。自己照貓畫虎試試。 4、用咖啡殺毒軟體保護註冊表。 目前許多木馬、病毒都喜歡在註冊表駐停留。好了。我們用咖啡新增這樣一條規則。禁止對本機註冊表進行新增、寫入活動。好了。除非您同意,否則,註冊表是不會無緣無故的被修改的。包括安裝軟體在內,如果咖啡依然開啟這條規則,哈哈,軟體雖然安裝完了,註冊表裡卻沒有寫入什麼東西。雖然不少軟體需要寫入註冊表裡才成,可註冊表裡沒有被寫入也可以用的哦——不信的可以實驗下!當然,不寫入註冊表,軟體功能上會打折扣,尤其是殺毒軟體、防火牆之類。我曾做過類似實驗。不讓反間諜軟體寫入註冊表裡,結果它只能查到間諜,卻不能清除間諜(查到間諜數量與反間諜軟體安裝時是否寫入註冊表無關)。對比一下金山、瑞星的註冊表監視功能,金山、瑞星簡直差遠了。他們對註冊表的監視不但煩人,而且意義不是很大。比如,安裝一個軟體,點擊阻止寫入註冊表,那您就一直點下去吧。十年也點不完。有什麼意義? 規則新增如下所顯示: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止對本機註冊表進行新增、寫入活動 阻擋對像:* 要阻擋的文件或檔案名:**\*.reg 要阻止的文件操作:在新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 5、用咖啡來保護主頁。 通過咖啡殺毒軟體來防護瀏覽器主頁被修改完全可以。這樣不用在安裝其他軟體進行防護了。其他瀏覽器防護軟體不但佔用一定資源,而且效果不一定好。而咖啡防護效果相當理想。具體方法如下: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止在本機新增/修改hosts文件 阻擋對像:IEXPLORE.EXE,或者* 要阻擋的文件或檔案名:**\etc*\** 要阻止的文件操作:在新增文件、寫入文件、移除文件前打勾 回應方式:阻止並報告訪問嘗試 好了。惡意網站不能在更改您的主頁了。 6、阻止惡意指令碼入侵。 開啟咖啡殺毒軟體存取保護中文件保護規則,新增這樣一些規則: 1、禁止在本機任何地方讀取、執行、新增、寫入任何js文件 2、禁止在本機任何地方讀取、執行、新增、寫入任何vbs文件 3、禁止在本機任何地方讀取、執行、新增、寫入任何htm文件 4、禁止在本機任何地方讀取、執行、新增、寫入任何html文件 好了,惡意網站通過指令碼而入侵本地機的惡意程式碼、木馬基本滾蛋了。 部分規則新增如下所顯示: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止在本機任何地方讀取、執行、新增、寫入任何js文件 阻擋對像:* 要阻擋的文件或檔案名:**\*.js 要阻止的文件操作:在讀取文件、執行文件、新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 其他的類似規則,參照設定即可。 當然,這樣有些嚴厲,可能妨礙上網,可以將這些規則修改為阻止新增、寫入即可。 7、用咖啡來防止插件入侵。 現在上網越來越不安全。惡意插件越來越多了。好了。我們用咖啡來對付他們。由於那些插件是綁架到Internet Explorer文件裡的,好了,我們用咖啡把Internet Explorer文件保護起來。 規則新增如下所顯示: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止在Internet Explorer資料夾中進行新增寫入活動 阻擋對像:* 要阻擋的文件或檔案名:**\Internet Explorer*\** 要阻止的文件操作:在新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 好了,那些插件不能進來了。 8、防止黑客破壞活動。 目前,黑客越來越多,也越來越喜歡入侵個人主機。黑客入侵個人主機不外乎兩個原因: 1、煉手。教學怎麼入侵別人。 2、種植後門。控制他人。 好了。廢話少說。黑客入侵,很難阻擋。那對於入侵的黑客破壞行為如何進行阻擋呢?看咖啡的手段。我們用咖啡建立這樣的規則:禁止遠端行為對本機任何文件/資料夾進行任何操作。這樣,黑客即便入侵了您的主機,他所能做的還有什麼呢? 具體規則設定如下: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止遠端行為對本機任何文件/資料夾進行任何操作 阻擋對像:System:Remote 要阻擋的文件或檔案名:**\*\** 要阻止的文件操作:在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾 回應方式:阻止並報告訪問嘗試 如果還不放心,可以將系統碟裡每個根目錄資料夾都新增一個規則。禁止黑客對他們進行任何操作。具體就不一一列舉裡。這樣設定,除非黑客能破壞咖啡,或者黑客知道咖啡密碼,更改咖啡設定,才能進行進一步破壞活動。如果黑客想破壞咖啡,決非易事。用過咖啡的人知道,咖啡不能被結束工作,只會持續工作。當然黑客可以通過卸載咖啡來破壞,問題是,黑客進行遠程域載,必定使用exe之類文件,而咖啡是不允許黑客遠端對exe之類文件進行任何操作的。偶使用咖啡不久,曾被一個黑客入侵,那時還不懂得設定如此嚴厲的規則,只是開啟咖啡預設的對exe、dll文件保護規則,那個黑客都沒有干成什麼。如果能建立這樣嚴厲的規則,黑客所能做的事情將會非常非常少哦。 9、防止程序執行。 咖啡具有強大的阻止功能,幾乎可以阻止任何一個程序執行。比如,tftp.exe這個程序,一般用戶是用不上的。可以用咖啡來阻止他執行。註:咖啡預設規則裡已經設定,就不列舉了。這個功能非常有用。如果某天,不想執行某個程序,可以參照這個規則,將那個程序終止。或者,某天中了木馬、病毒,又清除不掉,怎麼辦呢?這時咖啡這個功能就突顯出來了。將那個木馬、病毒程序用咖啡阻止起來即可。這樣,那個木馬不能執行也等於死悄悄了。 10、建立最嚴厲的規則。 在到黑客網站、破解基地、黃色網站去,往往難免中木馬。雖然我不去那些網站,但為了那些常去黑客網站、破解基地、黃色網站的人的安全,特意為其新增如下規則。禁止在本機進行任何新增、寫入、移除活動。這樣,中招的幾率將會是0。 具體規則設定如下: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止在本機進行任何新增、寫入、移除活動 阻擋對像:* 要阻擋的文件或檔案名:**\*\** 要阻止的文件操作:在新增文件、寫入文件、移除文件前打勾 回應方式:阻止並報告訪問嘗試 由於這條規則非常嚴厲,建議只在黑客網站、破解基地、黃色網站瀏覽時開啟。這條規則會產生大量日誌,一分鍾往往就有幾百條詳細日誌,非常佔用空間。所以,移動咖啡日誌到其他盤非常重要。當然,這條規則,也適合那些對安全性非常高的人使用。 此上許多規則,會影響到許多工作,所以,當您出現不解問題時,請及時檢視咖啡日誌,會找到相關答案的。具體解決辦法,請斟酌行事。 另外,就咖啡規則使用情況,說點個人經驗。 一、在咖啡預設規則裡有這樣幾條規則: 1、禁止在 Windows 資料夾中新增新文件 (.dll) 2、禁止在 Windows 資料夾中新增新文件 (.exe) 3、禁止在 System32 資料夾中新增新文件 (.dll) 4、禁止在 System32 資料夾中新增新文件 (.exe) 這幾條規則,一般情況下都開啟沒有什麼問題。一般的軟體,在安裝時往往會在Windows 資料夾和System32 資料夾新增exe文件和dll文件。不用管它。即便沒有在Windows 資料夾和System32 資料夾新增exe文件和dll文件,也可以使用的。但是惟獨在給系統打修正檔時例外!某些系統修正檔,即便阻止了,也沒有什麼,可有些系統修正檔如果阻止往Windows 資料夾和System32 資料夾新增exe文件和dll文件,那就意味著系統癱瘓!您不能再登入系統了!切記!所以,在打系統修正檔時,要暫停使用這些規則。 二、同樣一條保護規則,不要過於頻繁的開啟關閉。否則很容易出現失靈。原本阻止在某地新增某個文件,咖啡可能變的新增行為也不阻止了。偶甚至碰到咖啡密碼失靈的情況,密碼正確都不能解禁。所以,不要經常性開啟關閉某條規則。這樣可以避免此類失靈事件發生。 經過以上設定,再中木馬、病毒、廣告、間諜、惡意程式碼······幾率將會是0。當然,最有可能中招的就是個人下載不安全軟體,而後進行安裝導致中招。如果注意安全,那另當別論了。如果善於使用咖啡設定規則,則一個咖啡完全可以頂的上10個卡巴+10個諾頓+10個江民+10個瑞星+10個金山······不信者,自己試試。 上面,是偶使用咖啡幾個月的一點心得,大家交流一下。如果有更好的技巧,請不吝賜教!以後,偶還會補充一些咖啡使用技巧。此上,如果偶說的不對,或不準確的,請指教! 偶再補充一些內容。某些網站或\和黑客,會利用Cookies竊取用戶訊息。好了。為了盡量杜絕此類事件,可以這樣做。用咖啡建立Cookies保護機制。 具體規則設定如下: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止對Cookies文件進行某些操作 阻擋對像:* 要阻擋的文件或檔案名:**\Cookies*\** 要阻止的文件操作:在讀取文件、新增文件、寫入文件前打勾 回應方式:阻止並報告訪問嘗試 好了。通過Cookies洩密的個人隱私得到咖啡的保護了。當然,這樣設定在某些網站不合適宜。需要暫時取消這條規則。至於IE瀏覽器對Cookies的保護機制,不太好操作。用禁止,好多網站不能去。不禁止,又有危險。與咖啡相比,顯然咖啡更加人性化。希望大家喜歡。 使用咖啡來防護個人隱私文件。 這是利用咖啡具有強大的文件保護效能來實現的。許多人喜歡使用某些加密檔案對個人文件進行加密,起到防護作用。如果您使用咖啡,那完全可以利用咖啡來實現這個功能。而且防護效果非常理想。他人如果對咖啡不是非常熟悉,根本不會想到是一個殺毒軟體來保護的。而且,咖啡防護文件,在他人讀取、開啟文件時,根本不提密碼,也不提咖啡,只是提示:請驗證磁牒沒有寫保護之類。對於一般人來說,還以為文件損毀了而打不開哈。哈哈。是否有些意思? 下面簡單介紹一下,如何實現這個功能。首先,請將您所有需要保護的個人文件都放在某個根目錄裡,比如,起名為,流星雨。然後將這個文件保護起來即可。 具體規則設定如下: 咖啡控制台------存取保護------資料夾保護-----增加 規則名稱:禁止對流星雨文件/資料夾進行任何操作 阻擋對像:* 要阻擋的文件或檔案名:**\流星雨*\** 要阻止的文件操作:在讀取文件、執行文件、新增文件、寫入文件、移除文件前打勾 回應方式:阻止並報告訪問嘗試 |
|
|
送花文章: 3,
|
|
2006-04-24, 05:09 AM
|
#25 (permalink) |
|
榮譽會員
|
McAfee全新IPS技術 提供優先攻擊阻斷
McAfee 近期宣佈推出McAfee IntruShield3.1入侵防護解決方案和全新IntruShield Security Manager(ISM)設備。ISM是一個強大的、預置的、即插即用的設備,能夠管理IntruShield IPS的佈署。 IntruShield 3.1擁有很多全新的功能,包括集中的、內嵌的Web客戶端保護、下一代DoS 防護和業界第一個關於風險的IPS解決方案。IntruShield 3.1技術大大提高了IntruShield的安全功能,可以防護零日攻擊、DoS/DdoS、SYN Flood攻擊、間諜軟體、惡意軟體、VoIP漏洞、網路釣魚、殭屍網路、網路蠕蟲、木馬和端到端套用。 McAfee ISM設備是一個全硬體、簡單易用的企業級設備,為IntruShield IPS解決方案提供了集中的、可增強和 既時的原則管理。ISM預置了IntruShield 3.1軟體、許可證和原則管理,提供了對網路威脅和攻擊的預設IPS阻斷。 McAfee IntruShield 3.1軟體的功能包括: * Risk-Aware入侵防護通過智能地檢測、標幟和阻斷最相關的預警和攻擊,提高工作效率。通過匯入和交互McAfee Foundstone風險評估訊息以及Nessus的開放源漏洞訊息,能夠使企業鎖定風險,並為風險管理進行優先排序。 * 內裝Web客戶端可以主動保護未打修正檔的Web瀏覽器和桌面機,免遭網路攻擊、網路釣魚、間諜軟體、殭屍網路和其它惡意軟體的侵害。它還能防止未預期程序的下載,同時防止未使用權網路訪問。McAfee是惟一能夠主動阻止殭屍網路通信和安裝的公司。 * 下一代DoS防護是業界最高的下一代DoS防護技術。該技術提供了集中的、既時的防護DoS 攻擊、網路攻擊和網路欺詐的新功能。所有全新的加密SYN-cookie技術與IntruShield多層閾值、關於概要(profile-based) 和虛擬IPS功能結合在一起,提供了對DoS、DdoS和SYN flood攻擊的細粒度保護。 * 具備災難恢復功能的既時管理利用對ISM主動的管理服務技術,實現連續的和高可用管理。自動化Fail-Over(故障排除)和Fail-Back(故障後恢復)技術能夠在失效事件中實現關鍵組態資料的災難恢復。 McAfee 產品營銷總監Vimal Solanki說:「作為業界網路IPS技術、效能和功能的標準,McAfee 正在改變人們對入侵防護的看法以及他們對入侵防護中的期待。這是對現有和將來客戶的一種持續創新和革新行動,並且這種創新和革新已經有所收穫—IntruShield繼續提供主動防護的新方法,同時節省時間、降低成本以及保護企業投資。」 |
|
|
送花文章: 3,
|
|
2006-05-17, 02:39 PM
|
#26 (permalink) |
|
榮譽會員
|
McAfee5000引擎未正式發怖, 5100引擎又將登場
根據mcafee官方網站消息, McAfee 5100 RC版本引擎將在6月份公佈測試,據官方解釋,5100引擎將替代5000引擎作為下一代主打引擎,預計8月份將正式將會自動昇級 官方原文: http://www.mcafee.com/us/enterprise/...emainpage.html McAfee Anti-Virus Scanning Engine 5.0.00 Release Candidate Product Overview Our latest Anti-Virus Scanning Engine, which forms the core malware detection and repair component of many McAfee Anti-Virus Products, contains new features, better scanning performance and greater stability. Announcement regarding the 5000 engine: During the first phase of deployment of the 5000 Engine, issues were reported and further deployment was postponed. These issues, although not critical, were judged to be of a level that needed resolution via an Engine update. This decision was made to ensure that quality is maintained for all customers. Issues resolved: During system startup and shutdown the scan time of an empty Floppy Drive was excessive. This was most noticeable on certain hardware and was reported by several customers. A compatibility issue with VSE, identified by a Beta tester, during the first deployment phase. This could exhibit itself as an excessive consumption of memory. A compatibility issue, reported from the field, when integrating the new capabilities of the 5000 Engine in products under development.This could result in an unexpected termination of the application using the Engine. The Engine will be relabelled from 5000 to 5100 to ensure there is no confusion. This will assist the deployment of the Engine to existing customers. 引擎將從5000到5100重新命名,保證不會混淆,這將現有客戶的引擎組態。 The current schedule for the release is as follows: v5000 Release Candidate (all platforms except Netware, and OS400) - 2006-01-23 v5100 Release Candidate posted to Beta site - Jun v5100 Released for elective download - Jul v5100 Automatic Update from McAfee activated - Aug Where currently deployed, the 5000 Engine is still supported. However, we recommend that all customers upgrade to the 5100 Engine once it is publicly available. 正如現在安裝的5000引擎任何支持,但是,我們推薦所有的用戶一旦5100引擎公佈,昇級到5100引擎, ---------------------------=========================== McAfee提醒用戶防護最新5個微軟漏洞 McAfee公司近期宣佈為微軟發怖的5個最新漏洞提供全面防護。這些漏洞已經由 McAfee AVERT(防毒與漏洞緊急回應小組)研究過。根據研究結果,McAfee AVERT建議用戶驗證自己是否使用了公告中列出的微軟產品,並根據微軟和McAfee的建議立即更新。 這些更新包括佈署解決方案確保防止黑客利用該通報中列出的安全漏洞實施攻擊。 McAfee Avert 進階經理Monty Ijzerman說:「對於微軟此次發怖的漏洞公告。有兩點需要我們注意。第一,我們需要極大地關注微軟Exchange Server中的漏洞,因為這個漏洞不需要任何用戶的互動就可以突發,使漏洞成為潛在蠕蟲的傳播源。第二,微軟發怖了一個先前用於Macromedia漏洞的修正檔。這是微軟第一次為第三方的軟體發怖修正檔。這樣看來,很可能因為大部分Macromedia用戶還沒有打修正檔,因此,微軟的更新將確保客戶能夠得到保護。」 微軟漏洞公告 MS06-018 – 微軟Distributed Transaction Coordinator中的漏洞可能導致拒絕服務攻擊 MS06-019 -- Exchange Server中的漏洞可能導致遠端程式碼執行 MS06-020 – Macromedia播放器中的漏洞可能導致遠端程式碼執行 此次漏洞公告涵蓋了5個漏洞。其中,兩個漏洞會影響Macromedia播放器;一個漏洞產生於微軟Exchange Server中,以及 微軟Distributed Transaction Coordinator中有兩上漏洞。遠端程式碼執行存在於微軟Exchange Server中,能夠使得成功利用此漏洞的黑客完全控制受影響系統,並且能夠檢視、改變或移除資料,以及向系統安裝程序,或者新增一個擁有所有用戶權限的帳戶。該漏洞的突發無須與用戶的交互就可以實現,因此,可以被惡意軟體利用,並在網際網路上自動傳播。 更多關於漏洞的訊息,請訪問http://www.mcafee.com/us/threat_center/default.asp 和http://www.microsoft.com/technet/security/current.aspx。 McAfee解決方案 利用McAfee的安全風險管理方法,客戶能夠有效地解決業務優先等級和安全現實問題。McAfee的解決方案能夠在已知和未知攻擊造成破壞前,對他們進行識別。 通過預設設定,McAfee 主機IPS v6.0 和McAfee Entercept可以防範在Macromedia 和微軟中的緩衝區溢位漏洞所導致的程式碼執行。 McAfee VirusScan Enterprise 8.0i和McAfee Managed VirusScan with AntiSpyware 能夠防護針對Macromedia 播放器中緩衝區溢位漏洞所產生的攻擊。 McAfee IntruShield的簽名設定3.1.13 能夠保護Macromedia播放器中的漏洞。關於微軟Exchange Server和Distributed Transaction Coordinator的簽名設定包括1.8.74, 1.9.57, 2.1.40, 3.1.13。McAfee IntruShield以透明串聯方式佈署的McAfee IntruShield可以通過回應行為抓取這些包,從而防止攻擊。 McAfee Foundstone將檢測這些漏洞。一旦新的漏洞被發現,McAfee AVERT將增加檢測和清除方法到DAT文件裡。有關詳情,可參考:http://vil.nai.com/vil/newly-discovered-viruses.asp |
|
|
送花文章: 3,
|
|
2006-05-20, 08:13 PM
|
#27 (permalink) |
|
榮譽會員
|
McAfee公司近期宣佈為微軟發怖的5個最新漏洞提供全面防護。這些漏洞已經由 McAfee AVERT(防毒與漏洞緊急回應小組)研究過。根據研究結果,McAfee AVERT建議用戶驗證自己是否使用了公告中列出的微軟產品,並根據微軟和McAfee的建議立即更新。
這些更新包括佈署解決方案確保防止黑客利用該通報中列出的安全漏洞實施攻擊。 McAfee Avert 進階經理Monty Ijzerman說:「對於微軟此次發怖的漏洞公告。有兩點需要我們注意。第一,我們需要極大地關注微軟Exchange Server中的漏洞,因為這個漏洞不需要任何用戶的互動就可以突發,使漏洞成為潛在蠕蟲的傳播源。第二,微軟發怖了一個先前用於Macromedia漏洞的修正檔。這是微軟第一次為第三方的軟體發怖修正檔。這樣看來,很可能因為大部分Macromedia用戶還沒有打修正檔,因此,微軟的更新將確保客戶能夠得到保護。」 微軟漏洞公告 MS06-018 – 微軟Distributed Transaction Coordinator中的漏洞可能導致拒絕服務攻擊 MS06-019 -- Exchange Server中的漏洞可能導致遠端程式碼執行 MS06-020 – Macromedia播放器中的漏洞可能導致遠端程式碼執行 此次漏洞公告涵蓋了5個漏洞。其中,兩個漏洞會影響Macromedia播放器;一個漏洞產生於微軟Exchange Server中,以及 微軟Distributed Transaction Coordinator中有兩上漏洞。遠端程式碼執行存在於微軟Exchange Server中,能夠使得成功利用此漏洞的黑客完全控制受影響系統,並且能夠檢視、改變或移除資料,以及向系統安裝程序,或者新增一個擁有所有用戶權限的帳戶。該漏洞的突發無須與用戶的交互就可以實現,因此,可以被惡意軟體利用,並在網際網路上自動傳播。 更多關於漏洞的訊息,請訪問http://www.mcafee.com/us/threat_center/default.asp 和http://www.microsoft.com/technet/security/current.aspx。 McAfee解決方案 利用McAfee的安全風險管理方法,客戶能夠有效地解決業務優先等級和安全現實問題。McAfee的解決方案能夠在已知和未知攻擊造成破壞前,對他們進行識別。 通過預設設定,McAfee 主機IPS v6.0 和McAfee Entercept可以防範在Macromedia 和微軟中的緩衝區溢位漏洞所導致的程式碼執行。 McAfee VirusScan Enterprise 8.0i和McAfee Managed VirusScan with AntiSpyware 能夠防護針對Macromedia 播放器中緩衝區溢位漏洞所產生的攻擊。 McAfee IntruShield的簽名設定3.1.13 能夠保護Macromedia播放器中的漏洞。關於微軟Exchange Server和Distributed Transaction Coordinator的簽名設定包括1.8.74, 1.9.57, 2.1.40, 3.1.13。McAfee IntruShield以透明串聯方式佈署的McAfee IntruShield可以通過回應行為抓取這些包,從而防止攻擊。 McAfee Foundstone將檢測這些漏洞。一旦新的漏洞被發現,McAfee AVERT將增加檢測和清除方法到DAT文件裡。有關詳情,可參考:http://vil.nai.com/vil/newly-discovered-viruses.asp |
|
|
送花文章: 3,
|
|
2006-05-20, 08:16 PM
|
#28 (permalink) |
|
榮譽會員
|
Mcafee附加病毒庫:
最新附加病毒的發現頁面(Newly Discovered Threats): http://vil.nai.com/vil/newly-discovered-viruses.asp 從發現頁面取得名字後進入下載頁面搜尋下載(Recently Updated Threats): https://www.webimmune.net/extra/getextra.aspx 下載後增加到extra.dat。(可以用記事本開啟後增加) extra.dat儲存到:C:\Program Files\Common Files\Network Associates\Engine\ 右擊點系統圖示欄的mcafee圖示,選關於VirusScan Enterprise 在訊息裡面可以看到: 附加驅動程式中的病毒簽名數: 附加驅動程式可以檢測的病毒名稱: 如果沒有加的話這兩項是空的。 All extra.dat files received have an expiration date of 14 days, that is the extra.dat will stop functioning 14 days after creation. 還是有人沒有看懂,在名字頁面不是有很多病毒名稱(name)嗎,複製一下,在搜尋頁面貼上(Detection Name後面),點request,就會提示下載。增加就是extra.dat儲存到:C:\Program Files\Common Files\Network Associates\Engine\ 多個extra.dat合併成一個就是開啟其它的extra.dat把其中內容複製到其中一個(記事本開啟)。 |
|
|
送花文章: 3,
|
|
2006-05-26, 10:48 PM
|
#29 (permalink) |
|
榮譽會員
|
用好你的咖啡
許多人對咖啡不瞭解。先對咖啡略為介紹。 咖啡是國際上三大殺軟之一,也是下載使用率最高的殺軟。它是迄今為止監控最靈敏的殺軟,也是監控最全面的殺軟。 下面是咖啡官方對咖啡殺軟的簡介: McAfee防毒軟件,除了操作介面更新外,也將該公司的WebScanX功能合在一起,增加了許多新功能! 除了幫你偵測和清除病毒,它還有VShield自動監視系統,會常駐在System Tray,當你從磁盤、網絡上、E-mail夾文件中開啟文件時便會自動偵測文件的安全性,若文件內含病毒,便會立即警告,並作適當的處理,而且支持鼠標右鍵的快速選單功能,並可使用密碼將個人的設定鎖住讓別人無法亂改你的設定。 咖啡的下載地址論壇裡邊都有,這裡不多說了。 安裝咖啡注意事項: 1、在安裝時,時間選項裡,請選擇「永久」,不要選擇預訂一年之類。 2、第一次升級咖啡,會很慢,大約2~3小時才能完成。請耐心等待。以後病毒庫升級會很快,一般1~3分鐘搞定。目前咖啡1~3天升級一次。個別時,一天升級3次以上。 咖啡安裝完成了,先對咖啡進行一些設置。 1、訪問保護。雙擊訪問保護,打開訪問保護。出現端口阻擋,文件保護,報告,三個選項。 (1)、更改端口設置。默認端口阻擋全部勾選。 添加阻擋端口新規則。端口總共有65535個。好了,把1~65535端口全部進行設置。由於咖啡對端口的阻擋模式分為兩種:阻止入站,阻止出站,這樣,對1~65535端口進行設置,需要分為兩組。一組阻止通過1~65535端口入站,一組阻止通過1~65535端口出站。為了方便設置和查看端口阻擋而影響的進程,可以這樣進行設置。1~1000,每隔100個端口設置一個規則,並進行規則標號。1000~10000,每隔1000個端口設置一個規則,也進行規則標號。10000~65535設置成一個規則,同時進行標號。這樣設置好了,可以連網進行測試,怎麼樣,不能上網吧?當然別人也進不來了。好了,打開咖啡日誌,查看那些進程被阻止,阻止的具體規則是哪些。比如,咖啡日誌標明,svchost.exe進程被新規則1阻止,好了,選中新規則1,點擊「編輯」,彈出對話框,在已排除進程裡,添加svchost.exe,好了。依次類推,將影響的進程添加進去。設置好了之後,可以上網了。這樣進行端口設置,可以阻擋99%的端口。那些通過端口出入的木馬幾乎沒戲了。 (2)、更改訪問保護設置。勾選所有默認設置。一一打開編輯,查看每個規則設置情況,凡是能夠選擇「阻止並報告訪問嘗試」,一律選擇。——默認規則裡,許多都是警告模式,將它們更改(註:如果更改默認設置,請再三思量,否則出現意外情況,我不負責)。將遠程對exe、ocx等文件保護規則合併。但凡遠程操作,在創建文件、寫入文件、執行文件、讀取文件、刪除文件前全部打勾。 (3)、更改咖啡日誌路徑。放在其他盤裡。 2、有害程序策略。默認規則裡,都沒有勾選。將他們全部勾選。 3、給咖啡殺軟設置密碼。咖啡控制台——工具——用戶界面選項——密碼選項。選擇使用密碼保護下面所有項目。設置8位以上超強密碼。在用咖啡設置一系列規則之後,可以鎖定咖啡殺軟界面。這樣,別人不能再更改您對咖啡的設置了。 4、共享資源的保護。打開咖啡訪問保護——文件保護——共享資源,將它設置成阻止並報告訪問嘗試。這樣,共享資源就不能被別人共享了。 5、按訪問掃瞄程序設置。常規——掃瞄——將引導區,關機時掃瞄軟盤去掉。 其他設置,自己看著辦吧。 阻止流氓軟件 1、用咖啡殺軟來防止3721、網絡豬、中文郵、百度搜霸、一搜。 目前,3721、網絡豬、中文郵、百度搜霸、一搜經常偷偷溜進您的電腦,而且難以卸載乾淨。用咖啡殺軟可以阻止它們進入。 打開咖啡殺軟訪問保護,創建如下幾個規則: 1、禁止在本地創建、寫入、執行、讀取3721任何內容; 2、禁止在本地創建、寫入、執行、讀取網絡豬任何內容; 3、禁止在本地創建、寫入、執行、讀取中文郵任何內容; 4、禁止在本地創建、寫入、執行、讀取百度搜霸任何內容; 5、禁止在本地創建、寫入、執行、讀取一搜任何內容。 好了,3721、網絡豬、中文郵、百度搜霸、一搜沒有理由呆在您的電腦裡了。 附上部分設置方法。比如,防止3721的方法: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地創建、寫入、執行、讀取3721任何內容 阻擋對像:* 要阻擋的文件或文件名:**\3721*\** 要阻止的文件操作:在創建文件、寫入文件、執行文件、讀取文件前全部打勾 響應方式:阻止並報告訪問嘗試 2、用咖啡殺軟來防止未知木馬病毒 我查了下相關資料,就目前來說,木馬、病毒基本都是三種類型的,exe、dll、vxd類型。好了,只要我們創建如下三種保護機制: 1、禁止在本地任何地方創建、寫入任何exe文件 2、禁止在本地任何地方創建、寫入任何dll文件 3、禁止在本地任何地方創建、寫入任何vxd文件 這樣,現在出現的各種木馬病毒是進不來的。當然,這條規則非常霸道,就是您更新咖啡病毒庫,對其他軟件進行升級,下載exe、dll、vxd類型文件,以及移動任何exe、dll、vxd類型文件也不可能了。所以,當您進行類似操作時,暫時取消此規則,等操作完成之後,再繼續使用。 部分規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地任何地方創建、寫入任何exe文件 阻擋對像:* 要阻擋的文件或文件名:**\*.exe 要阻止的文件操作:在創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 其他的類似規則,參照設置即可。 3、阻擋肆意刪除文件的行為 現在出現許多刪除mp3格式的病毒。好了,為了杜絕此類事件發生,可以這樣做。打開咖啡訪問保護,創建如下規則:禁止刪除本地任何mp3文件。好了,那些病毒想刪除mp3是不可能的了。即便是您自己也刪不掉mp3了!除非解禁!為了杜絕類似刪除某些文件的病毒、木馬,好了。我們再創建一條規則:禁止刪除本地任何內容。好了,那些肆意刪除各種文件的病毒、木馬,根本起不了什麼作用。當然,如果這條規則起作用,您自己也不可能刪除任何東西了。當您自己需要刪除某些內容,暫時取消這條規則,等刪除操作完成了,再打開就是了。這條規則保護自己電腦不被別人刪除任何東西非常管用哦。而且別人莫名其妙的,他根本不會想到是咖啡在阻止刪除操作哦! 規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止刪除本地任何mp3文件 阻擋對像:* 要阻擋的文件或文件名:**\*.mp3 要阻止的文件操作:在刪除文件前打勾 響應方式:阻止並報告訪問嘗試 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止刪除本地任何內容 阻擋對像:* 要阻擋的文件或文件名:**\*\** 要阻止的文件操作:在刪除文件前打勾 響應方式:阻止並報告訪問嘗試 個人也可以使用類似方法保護任何一個文件不被刪除。比如rm文件等。自己照貓畫虎試試。 4、用咖啡殺軟保護註冊表。 目前許多木馬、病毒都喜歡在註冊表駐留。好了。我們用咖啡創建這樣一條規則。禁止對本地註冊表進行創建、寫入活動。好了。除非您同意,否則,註冊表是不會無緣無故的被修改的。包括安裝軟件在內,如果咖啡依然開啟這條規則,哈哈,軟件雖然安裝完了,註冊表裡卻沒有寫入什麼東西。雖然不少軟件需要寫入註冊表裡才成,可註冊表裡沒有被寫入也可以用的哦——不信的可以實驗下!當然,不寫入註冊表,軟件功能上會打折扣,尤其是殺軟、防火牆之類。我曾做過類似實驗。不讓反間諜軟件寫入註冊表裡,結果它只能查到間諜,卻不能清除間諜(查到間諜數量與反間諜軟件安裝時是否寫入註冊表無關)。對比一下金山、瑞星的註冊表監視功能,金山、瑞星簡直差遠了。他們對註冊表的監視不但煩人,而且意義不是很大。比如,安裝一個軟件,點擊阻止寫入註冊表,那您就一直點下去吧。十年也點不完。有什麼意義? 規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止對本地註冊表進行創建、寫入活動 阻擋對像:* 要阻擋的文件或文件名:**\*.reg 要阻止的文件操作:在創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 5、用咖啡來保護主頁。 通過咖啡殺軟來防護瀏覽器主頁被修改完全可以。這樣不用在安裝其他軟件進行防護了。其他瀏覽器防護軟件不但佔用一定資源,而且效果不一定好。而咖啡防護效果相當理想。具體方法如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地創建/修改hosts文件 阻擋對像:IEXPLORE.EXE,或者* 要阻擋的文件或文件名:**\etc*\** 要阻止的文件操作:在創建文件、寫入文件、刪除文件前打勾 響應方式:阻止並報告訪問嘗試 好了。惡意網站不能在更改您的主頁了。 6、阻止惡意腳本入侵。 打開咖啡殺軟訪問保護中文件保護規則,創建這樣一些規則: 1、禁止在本地任何地方讀取、執行、創建、寫入任何js文件 2、禁止在本地任何地方讀取、執行、創建、寫入任何vbs文件 3、禁止在本地任何地方讀取、執行、創建、寫入任何htm文件 4、禁止在本地任何地方讀取、執行、創建、寫入任何html文件 好了,惡意網站通過腳本而入侵本機的惡意代碼、木馬基本滾蛋了。 部分規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地任何地方讀取、執行、創建、寫入任何js文件 阻擋對像:* 要阻擋的文件或文件名:**\*.js 要阻止的文件操作:在讀取文件、執行文件、創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 其他的類似規則,參照設置即可。 當然,這樣有些嚴厲,可能妨礙上網,可以將這些規則修改為阻止創建、寫入即可。 7、用咖啡來防止插件入侵。 現在上網越來越不安全。惡意插件越來越多了。好了。我們用咖啡來對付他們。由於那些插件是綁架到Internet Explorer文件裡的,好了,我們用咖啡把Internet Explorer文件保護起來。 規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在Internet Explorer文件夾中進行創建寫入活動 阻擋對像:* 要阻擋的文件或文件名:**\Internet Explorer*\** 要阻止的文件操作:在創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 好了,那些插件不能進來了。 8、防止黑客破壞活動。 目前,黑客越來越多,也越來越喜歡入侵個人主機。黑客入侵個人主機不外乎兩個原因: 1、煉手。學習怎麼入侵別人。 2、種植後門。控制他人。 好了。廢話少說。黑客入侵,很難阻擋。那對於入侵的黑客破壞行為如何進行阻擋呢?看咖啡的手段。我們用咖啡建立這樣的規則:禁止遠程行為對本地任何文件/文件夾進行任何操作。這樣,黑客即便入侵了您的主機,他所能做的還有什麼呢? 具體規則設置如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止遠程行為對本地任何文件/文件夾進行任何操作 阻擋對像:System:Remote 要阻擋的文件或文件名:**\*\** 要阻止的文件操作:在讀取文件、執行文件、創建文件、寫入文件、刪除文件前打勾 響應方式:阻止並報告訪問嘗試 如果還不放心,可以將系統盤裡每個根目錄文件夾都創建一個規則。禁止黑客對他們進行任何操作。具體就不一一列舉裡。這樣設置,除非黑客能破壞咖啡,或者黑客知道咖啡密碼,更改咖啡設置,才能進行進一步破壞活動。如果黑客想破壞咖啡,決非易事。用過咖啡的人知道,咖啡不能被退出進程,只會持續工作。當然黑客可以通過卸載咖啡來破壞,問題是,黑客進行遠程卸載,必定調用exe之類文件,而咖啡是不允許黑客遠程對exe之類文件進行任何操作的。偶使用咖啡不久,曾被一個黑客入侵,那時還不懂得設置如此嚴厲的規則,只是打開咖啡默認的對exe、dll文件保護規則,那個黑客都沒有幹成什麼。如果能建立這樣嚴厲的規則,黑客所能做的事情將會非常非常少哦。 9、防止程序運行。 咖啡具有強大的阻止功能,幾乎可以阻止任何一個程序運行。比如,tftp.exe這個程序,一般用戶是用不上的。可以用咖啡來阻止他運行。註:咖啡默認規則裡已經設置,就不列舉了。這個功能非常有用。如果某天,不想運行某個程序,可以參照這個規則,將那個程序終止。或者,某天中了木馬、病毒,又清除不掉,怎麼辦呢?這時咖啡這個功能就突顯出來了。將那個木馬、病毒程序用咖啡阻止起來即可。這樣,那個木馬不能運行也等於死悄悄了。 10、建立最嚴厲的規則。 在到黑客網站、破解基地、黃色網站去,往往難免中木馬。雖然我不去那些網站,但為了那些常去黑客網站、破解基地、黃色網站的人的安全,特意為其創建如下規則。禁止在本地進行任何創建、寫入、刪除活動。這樣,中招的幾率將會是0。 具體規則設置如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地進行任何創建、寫入、刪除活動 阻擋對像:* 要阻擋的文件或文件名:**\*\** 要阻止的文件操作:在創建文件、寫入文件、刪除文件前打勾 響應方式:阻止並報告訪問嘗試 由於這條規則非常嚴厲,建議只在黑客網站、破解基地、黃色網站瀏覽時開啟。這條規則會產生大量日誌,一分鐘往往就有幾百條詳細日誌,非常佔用空間。所以,移動咖啡日誌到其他盤非常重要。當然,這條規則,也適合那些對安全性非常高的人使用。 此上許多規則,會影響到許多進程,所以,當您出現不解問題時,請及時查看咖啡日誌,會找到相關答案的。具體解決辦法,請斟酌行事。 另外,就咖啡規則使用情況,說點個人經驗。 一、在咖啡默認規則裡有這樣幾條規則: 1、禁止在 Windows 文件夾中創建新文件 (.dll) 2、禁止在 Windows 文件夾中創建新文件 (.exe) 3、禁止在 System32 文件夾中創建新文件 (.dll) 4、禁止在 System32 文件夾中創建新文件 (.exe) 這幾條規則,一般情況下都開啟沒有什麼問題。一般的軟件,在安裝時往往會在Windows 文件夾和System32 文件夾創建exe文件和dll文件。不用管它。即便沒有在Windows 文件夾和System32 文件夾創建exe文件和dll文件,也可以使用的。但是惟獨在給系統打補丁時例外!某些系統補丁,即便阻止了,也沒有什麼,可有些系統補丁如果阻止往Windows 文件夾和System32 文件夾創建exe文件和dll文件,那就意味著系統癱瘓!您不能再登陸系統了!切記!所以,在打系統補丁時,要暫停使用這些規則。 二、同樣一條保護規則,不要過於頻繁的打開關閉。否則很容易出現失靈。原本阻止在某地創建某個文件,咖啡可能變的創建行為也不阻止了。偶甚至碰到咖啡密碼失靈的情況,密碼正確都不能解禁。所以,不要經常性打開關閉某條規則。這樣可以避免此類失靈事件發生。 經過以上設置,再中木馬、病毒、廣告、間諜、惡意代碼······幾率將會是0。當然,最有可能中招的就是個人下載不安全軟件,而後進行安裝導致中招。如果注意安全,那另當別論了。如果善於使用咖啡設置規則,則一個咖啡完全可以頂的上10個卡巴+10個諾頓+10個江民+10個瑞星+10個金山······不信者,自己試試。 某些網站或\和黑客,會利用Cookies竊取用戶信息。好了。為了盡量杜絕此類事件,可以這樣做。用咖啡建立Cookies保護機制。 具體規則設置如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止對Cookies文件進行某些操作 阻擋對像:* 要阻擋的文件或文件名:**\Cookies*\** 要阻止的文件操作:在讀取文件、創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 好了。通過Cookies洩密的個人隱私得到咖啡的保護了。當然,這樣設置在某些網站不合適宜。需要暫時取消這條規則。至於IE瀏覽器對Cookies的保護機制,不太好操作。用禁止,好多網站不能去。不禁止,又有危險。與咖啡相比,顯然咖啡更加人性化。希望大家喜歡。 我們都知道,咖啡可以應用通配符 * 和 ? : (喜歡咖啡的友情幫頂下啊) 1.問號 (?) : 用於排除單個字符) ,比如, 排除項 w?? 排除 www,但不排除 ww 或wwww 2.星號 (*) : 用於排除多個字符 雙星號 (**) : 表示零個或多個含有反斜槓的字符,這樣允許多層次排除。 比如, **\temp*\** ,雙星號 (**) 表示在反斜線 (\) 字符前後任意多個 層級的目錄,一個星號 (*) 表示任意一個或部分目錄名稱。 3.**\*和**有什麼不同?---看完測試就知道了 4.排除規則 : C:\quarantine\** 和 C:\quarantine\ 這2條有區別嗎?沒有區別嗎?---前者排除C:\quarantine\目錄下的所有文件,包括排除子文件夾,後者只包括C:\quarantine\下的文件,不排除子文件夾,即C:\quarantine\** 的排除範圍 > C:\quarantine\ ,看下邊我的測試會就明白。 以下是我自己作的測試,還望高手指教,不過我覺得應該是100%正確了的吧xixi 我在E:\110下創建了一些文件和文件夾,其中patch.rar為病毒文件,在165、265文件夾中我把patch.rar分別更名為02.rar,03.rar,以便查看測試結果。 文件夾結構為: E:\110 ---125 ---265 ---03.rar ---02.rar ---patch.rar 下面我把我的測試結果奉上以饗朋友們--------沒興趣看測試的,直接看最後1句我總結的一條(不過這只是測試中的其中一個結果) 在做此測試時,必須按如下圖做些改動:臨時禁用按訪問掃瞄,把輔助操作改成繼續掃瞄,以防咖啡進行隔離等動作, 規則為E:\110\ ,排除E:\110\ 下的所有文件,但不排除子文件夾。 規則為E:\110\**,細心的人會發現,**並沒有出現在「設置排除項中」,但後邊的「排除子文件夾」變成「是」了,其實在「添加排除設置中」輸入**(僅限於最後出現的**字符),咖啡會自動把「不包括子文件夾(D)」的勾選中而不會顯示**,這個地方中文咖啡似乎有歧義,大家仔細思考下就明白其真正的意思了。(另:在咖啡的訪問保護中可以出現**為最後結尾的,因為那裡咖啡沒有這個打勾的選項, ) 規則為E:\110 ,這個規則就是「什麼也沒有排除」 哈哈哈哈, 規則E:\110\* 等價於 E:\110\ 規則為E:\110\** \(最後2條規則其實和這條規則的作用是一樣的),排除E:\110\下的文件夾,但不排除E:\110\的文件。通過這裡大家可以悟出點什麼吧,呵呵,我就不多說了。 規則為E:\110\**\**和E:\110\**\只是多了個顯式地「排除子文件夾」(是E:\110\**\的子集而已),是但真正的作用是一樣的-----排除E:\110\下的文件夾,但不排除E:\110\的文件 規則為E:\110\**\*和E:\110\**\的作用是一樣的(是E:\110\**\的子集而已) ,意思是排除E:\110\下的「文件夾中的任何文件」[ 看懂以上這些,大家應該什麼都明白了,不用我作總結了喜喜。那麼大家對咖啡的規則設置,比如「訪問保護」等等都輕而易舉了吧 不過還是總結1句吧:要是想排除文件夾和該文件夾下的所有文件一定要把「編輯排除項目」中的「不包括子文件夾」的勾選中(中文咖啡在這裡字面意思有歧義,嚴重注意哦),或者在\後邊添加2個星號(**),咖啡會自動幫你打勾 |
|
|
送花文章: 3,
|
|
2006-05-26, 10:48 PM
|
#30 (permalink) |
|
榮譽會員
|
用好你的咖啡
許多人對咖啡不瞭解。先對咖啡略為介紹。 咖啡是國際上三大殺軟之一,也是下載使用率最高的殺軟。它是迄今為止監控最靈敏的殺軟,也是監控最全面的殺軟。 下面是咖啡官方對咖啡殺軟的簡介: McAfee防毒軟件,除了操作介面更新外,也將該公司的WebScanX功能合在一起,增加了許多新功能! 除了幫你偵測和清除病毒,它還有VShield自動監視系統,會常駐在System Tray,當你從磁盤、網絡上、E-mail夾文件中開啟文件時便會自動偵測文件的安全性,若文件內含病毒,便會立即警告,並作適當的處理,而且支持鼠標右鍵的快速選單功能,並可使用密碼將個人的設定鎖住讓別人無法亂改你的設定。 咖啡的下載地址論壇裡邊都有,這裡不多說了。 安裝咖啡注意事項: 1、在安裝時,時間選項裡,請選擇「永久」,不要選擇預訂一年之類。 2、第一次升級咖啡,會很慢,大約2~3小時才能完成。請耐心等待。以後病毒庫升級會很快,一般1~3分鐘搞定。目前咖啡1~3天升級一次。個別時,一天升級3次以上。 咖啡安裝完成了,先對咖啡進行一些設置。 1、訪問保護。雙擊訪問保護,打開訪問保護。出現端口阻擋,文件保護,報告,三個選項。 (1)、更改端口設置。默認端口阻擋全部勾選。 添加阻擋端口新規則。端口總共有65535個。好了,把1~65535端口全部進行設置。由於咖啡對端口的阻擋模式分為兩種:阻止入站,阻止出站,這樣,對1~65535端口進行設置,需要分為兩組。一組阻止通過1~65535端口入站,一組阻止通過1~65535端口出站。為了方便設置和查看端口阻擋而影響的進程,可以這樣進行設置。1~1000,每隔100個端口設置一個規則,並進行規則標號。1000~10000,每隔1000個端口設置一個規則,也進行規則標號。10000~65535設置成一個規則,同時進行標號。這樣設置好了,可以連網進行測試,怎麼樣,不能上網吧?當然別人也進不來了。好了,打開咖啡日誌,查看那些進程被阻止,阻止的具體規則是哪些。比如,咖啡日誌標明,svchost.exe進程被新規則1阻止,好了,選中新規則1,點擊「編輯」,彈出對話框,在已排除進程裡,添加svchost.exe,好了。依次類推,將影響的進程添加進去。設置好了之後,可以上網了。這樣進行端口設置,可以阻擋99%的端口。那些通過端口出入的木馬幾乎沒戲了。 (2)、更改訪問保護設置。勾選所有默認設置。一一打開編輯,查看每個規則設置情況,凡是能夠選擇「阻止並報告訪問嘗試」,一律選擇。——默認規則裡,許多都是警告模式,將它們更改(註:如果更改默認設置,請再三思量,否則出現意外情況,我不負責)。將遠程對exe、ocx等文件保護規則合併。但凡遠程操作,在創建文件、寫入文件、執行文件、讀取文件、刪除文件前全部打勾。 (3)、更改咖啡日誌路徑。放在其他盤裡。 2、有害程序策略。默認規則裡,都沒有勾選。將他們全部勾選。 3、給咖啡殺軟設置密碼。咖啡控制台——工具——用戶界面選項——密碼選項。選擇使用密碼保護下面所有項目。設置8位以上超強密碼。在用咖啡設置一系列規則之後,可以鎖定咖啡殺軟界面。這樣,別人不能再更改您對咖啡的設置了。 4、共享資源的保護。打開咖啡訪問保護——文件保護——共享資源,將它設置成阻止並報告訪問嘗試。這樣,共享資源就不能被別人共享了。 5、按訪問掃瞄程序設置。常規——掃瞄——將引導區,關機時掃瞄軟盤去掉。 其他設置,自己看著辦吧。 阻止流氓軟件 1、用咖啡殺軟來防止3721、網絡豬、中文郵、百度搜霸、一搜。 目前,3721、網絡豬、中文郵、百度搜霸、一搜經常偷偷溜進您的電腦,而且難以卸載乾淨。用咖啡殺軟可以阻止它們進入。 打開咖啡殺軟訪問保護,創建如下幾個規則: 1、禁止在本地創建、寫入、執行、讀取3721任何內容; 2、禁止在本地創建、寫入、執行、讀取網絡豬任何內容; 3、禁止在本地創建、寫入、執行、讀取中文郵任何內容; 4、禁止在本地創建、寫入、執行、讀取百度搜霸任何內容; 5、禁止在本地創建、寫入、執行、讀取一搜任何內容。 好了,3721、網絡豬、中文郵、百度搜霸、一搜沒有理由呆在您的電腦裡了。 附上部分設置方法。比如,防止3721的方法: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地創建、寫入、執行、讀取3721任何內容 阻擋對像:* 要阻擋的文件或文件名:**\3721*\** 要阻止的文件操作:在創建文件、寫入文件、執行文件、讀取文件前全部打勾 響應方式:阻止並報告訪問嘗試 2、用咖啡殺軟來防止未知木馬病毒 我查了下相關資料,就目前來說,木馬、病毒基本都是三種類型的,exe、dll、vxd類型。好了,只要我們創建如下三種保護機制: 1、禁止在本地任何地方創建、寫入任何exe文件 2、禁止在本地任何地方創建、寫入任何dll文件 3、禁止在本地任何地方創建、寫入任何vxd文件 這樣,現在出現的各種木馬病毒是進不來的。當然,這條規則非常霸道,就是您更新咖啡病毒庫,對其他軟件進行升級,下載exe、dll、vxd類型文件,以及移動任何exe、dll、vxd類型文件也不可能了。所以,當您進行類似操作時,暫時取消此規則,等操作完成之後,再繼續使用。 部分規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地任何地方創建、寫入任何exe文件 阻擋對像:* 要阻擋的文件或文件名:**\*.exe 要阻止的文件操作:在創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 其他的類似規則,參照設置即可。 3、阻擋肆意刪除文件的行為 現在出現許多刪除mp3格式的病毒。好了,為了杜絕此類事件發生,可以這樣做。打開咖啡訪問保護,創建如下規則:禁止刪除本地任何mp3文件。好了,那些病毒想刪除mp3是不可能的了。即便是您自己也刪不掉mp3了!除非解禁!為了杜絕類似刪除某些文件的病毒、木馬,好了。我們再創建一條規則:禁止刪除本地任何內容。好了,那些肆意刪除各種文件的病毒、木馬,根本起不了什麼作用。當然,如果這條規則起作用,您自己也不可能刪除任何東西了。當您自己需要刪除某些內容,暫時取消這條規則,等刪除操作完成了,再打開就是了。這條規則保護自己電腦不被別人刪除任何東西非常管用哦。而且別人莫名其妙的,他根本不會想到是咖啡在阻止刪除操作哦! 規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止刪除本地任何mp3文件 阻擋對像:* 要阻擋的文件或文件名:**\*.mp3 要阻止的文件操作:在刪除文件前打勾 響應方式:阻止並報告訪問嘗試 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止刪除本地任何內容 阻擋對像:* 要阻擋的文件或文件名:**\*\** 要阻止的文件操作:在刪除文件前打勾 響應方式:阻止並報告訪問嘗試 個人也可以使用類似方法保護任何一個文件不被刪除。比如rm文件等。自己照貓畫虎試試。 4、用咖啡殺軟保護註冊表。 目前許多木馬、病毒都喜歡在註冊表駐留。好了。我們用咖啡創建這樣一條規則。禁止對本地註冊表進行創建、寫入活動。好了。除非您同意,否則,註冊表是不會無緣無故的被修改的。包括安裝軟件在內,如果咖啡依然開啟這條規則,哈哈,軟件雖然安裝完了,註冊表裡卻沒有寫入什麼東西。雖然不少軟件需要寫入註冊表裡才成,可註冊表裡沒有被寫入也可以用的哦——不信的可以實驗下!當然,不寫入註冊表,軟件功能上會打折扣,尤其是殺軟、防火牆之類。我曾做過類似實驗。不讓反間諜軟件寫入註冊表裡,結果它只能查到間諜,卻不能清除間諜(查到間諜數量與反間諜軟件安裝時是否寫入註冊表無關)。對比一下金山、瑞星的註冊表監視功能,金山、瑞星簡直差遠了。他們對註冊表的監視不但煩人,而且意義不是很大。比如,安裝一個軟件,點擊阻止寫入註冊表,那您就一直點下去吧。十年也點不完。有什麼意義? 規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止對本地註冊表進行創建、寫入活動 阻擋對像:* 要阻擋的文件或文件名:**\*.reg 要阻止的文件操作:在創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 5、用咖啡來保護主頁。 通過咖啡殺軟來防護瀏覽器主頁被修改完全可以。這樣不用在安裝其他軟件進行防護了。其他瀏覽器防護軟件不但佔用一定資源,而且效果不一定好。而咖啡防護效果相當理想。具體方法如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地創建/修改hosts文件 阻擋對像:IEXPLORE.EXE,或者* 要阻擋的文件或文件名:**\etc*\** 要阻止的文件操作:在創建文件、寫入文件、刪除文件前打勾 響應方式:阻止並報告訪問嘗試 好了。惡意網站不能在更改您的主頁了。 6、阻止惡意腳本入侵。 打開咖啡殺軟訪問保護中文件保護規則,創建這樣一些規則: 1、禁止在本地任何地方讀取、執行、創建、寫入任何js文件 2、禁止在本地任何地方讀取、執行、創建、寫入任何vbs文件 3、禁止在本地任何地方讀取、執行、創建、寫入任何htm文件 4、禁止在本地任何地方讀取、執行、創建、寫入任何html文件 好了,惡意網站通過腳本而入侵本機的惡意代碼、木馬基本滾蛋了。 部分規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地任何地方讀取、執行、創建、寫入任何js文件 阻擋對像:* 要阻擋的文件或文件名:**\*.js 要阻止的文件操作:在讀取文件、執行文件、創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 其他的類似規則,參照設置即可。 當然,這樣有些嚴厲,可能妨礙上網,可以將這些規則修改為阻止創建、寫入即可。 7、用咖啡來防止插件入侵。 現在上網越來越不安全。惡意插件越來越多了。好了。我們用咖啡來對付他們。由於那些插件是綁架到Internet Explorer文件裡的,好了,我們用咖啡把Internet Explorer文件保護起來。 規則創建如下所示: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在Internet Explorer文件夾中進行創建寫入活動 阻擋對像:* 要阻擋的文件或文件名:**\Internet Explorer*\** 要阻止的文件操作:在創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 好了,那些插件不能進來了。 8、防止黑客破壞活動。 目前,黑客越來越多,也越來越喜歡入侵個人主機。黑客入侵個人主機不外乎兩個原因: 1、煉手。學習怎麼入侵別人。 2、種植後門。控制他人。 好了。廢話少說。黑客入侵,很難阻擋。那對於入侵的黑客破壞行為如何進行阻擋呢?看咖啡的手段。我們用咖啡建立這樣的規則:禁止遠程行為對本地任何文件/文件夾進行任何操作。這樣,黑客即便入侵了您的主機,他所能做的還有什麼呢? 具體規則設置如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止遠程行為對本地任何文件/文件夾進行任何操作 阻擋對像:System:Remote 要阻擋的文件或文件名:**\*\** 要阻止的文件操作:在讀取文件、執行文件、創建文件、寫入文件、刪除文件前打勾 響應方式:阻止並報告訪問嘗試 如果還不放心,可以將系統盤裡每個根目錄文件夾都創建一個規則。禁止黑客對他們進行任何操作。具體就不一一列舉裡。這樣設置,除非黑客能破壞咖啡,或者黑客知道咖啡密碼,更改咖啡設置,才能進行進一步破壞活動。如果黑客想破壞咖啡,決非易事。用過咖啡的人知道,咖啡不能被退出進程,只會持續工作。當然黑客可以通過卸載咖啡來破壞,問題是,黑客進行遠程卸載,必定調用exe之類文件,而咖啡是不允許黑客遠程對exe之類文件進行任何操作的。偶使用咖啡不久,曾被一個黑客入侵,那時還不懂得設置如此嚴厲的規則,只是打開咖啡默認的對exe、dll文件保護規則,那個黑客都沒有幹成什麼。如果能建立這樣嚴厲的規則,黑客所能做的事情將會非常非常少哦。 9、防止程序運行。 咖啡具有強大的阻止功能,幾乎可以阻止任何一個程序運行。比如,tftp.exe這個程序,一般用戶是用不上的。可以用咖啡來阻止他運行。註:咖啡默認規則裡已經設置,就不列舉了。這個功能非常有用。如果某天,不想運行某個程序,可以參照這個規則,將那個程序終止。或者,某天中了木馬、病毒,又清除不掉,怎麼辦呢?這時咖啡這個功能就突顯出來了。將那個木馬、病毒程序用咖啡阻止起來即可。這樣,那個木馬不能運行也等於死悄悄了。 10、建立最嚴厲的規則。 在到黑客網站、破解基地、黃色網站去,往往難免中木馬。雖然我不去那些網站,但為了那些常去黑客網站、破解基地、黃色網站的人的安全,特意為其創建如下規則。禁止在本地進行任何創建、寫入、刪除活動。這樣,中招的幾率將會是0。 具體規則設置如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止在本地進行任何創建、寫入、刪除活動 阻擋對像:* 要阻擋的文件或文件名:**\*\** 要阻止的文件操作:在創建文件、寫入文件、刪除文件前打勾 響應方式:阻止並報告訪問嘗試 由於這條規則非常嚴厲,建議只在黑客網站、破解基地、黃色網站瀏覽時開啟。這條規則會產生大量日誌,一分鐘往往就有幾百條詳細日誌,非常佔用空間。所以,移動咖啡日誌到其他盤非常重要。當然,這條規則,也適合那些對安全性非常高的人使用。 此上許多規則,會影響到許多進程,所以,當您出現不解問題時,請及時查看咖啡日誌,會找到相關答案的。具體解決辦法,請斟酌行事。 另外,就咖啡規則使用情況,說點個人經驗。 一、在咖啡默認規則裡有這樣幾條規則: 1、禁止在 Windows 文件夾中創建新文件 (.dll) 2、禁止在 Windows 文件夾中創建新文件 (.exe) 3、禁止在 System32 文件夾中創建新文件 (.dll) 4、禁止在 System32 文件夾中創建新文件 (.exe) 這幾條規則,一般情況下都開啟沒有什麼問題。一般的軟件,在安裝時往往會在Windows 文件夾和System32 文件夾創建exe文件和dll文件。不用管它。即便沒有在Windows 文件夾和System32 文件夾創建exe文件和dll文件,也可以使用的。但是惟獨在給系統打補丁時例外!某些系統補丁,即便阻止了,也沒有什麼,可有些系統補丁如果阻止往Windows 文件夾和System32 文件夾創建exe文件和dll文件,那就意味著系統癱瘓!您不能再登陸系統了!切記!所以,在打系統補丁時,要暫停使用這些規則。 二、同樣一條保護規則,不要過於頻繁的打開關閉。否則很容易出現失靈。原本阻止在某地創建某個文件,咖啡可能變的創建行為也不阻止了。偶甚至碰到咖啡密碼失靈的情況,密碼正確都不能解禁。所以,不要經常性打開關閉某條規則。這樣可以避免此類失靈事件發生。 經過以上設置,再中木馬、病毒、廣告、間諜、惡意代碼······幾率將會是0。當然,最有可能中招的就是個人下載不安全軟件,而後進行安裝導致中招。如果注意安全,那另當別論了。如果善於使用咖啡設置規則,則一個咖啡完全可以頂的上10個卡巴+10個諾頓+10個江民+10個瑞星+10個金山······不信者,自己試試。 某些網站或\和黑客,會利用Cookies竊取用戶信息。好了。為了盡量杜絕此類事件,可以這樣做。用咖啡建立Cookies保護機制。 具體規則設置如下: 咖啡控制台------訪問保護------文件夾保護-----添加 規則名稱:禁止對Cookies文件進行某些操作 阻擋對像:* 要阻擋的文件或文件名:**\Cookies*\** 要阻止的文件操作:在讀取文件、創建文件、寫入文件前打勾 響應方式:阻止並報告訪問嘗試 好了。通過Cookies洩密的個人隱私得到咖啡的保護了。當然,這樣設置在某些網站不合適宜。需要暫時取消這條規則。至於IE瀏覽器對Cookies的保護機制,不太好操作。用禁止,好多網站不能去。不禁止,又有危險。與咖啡相比,顯然咖啡更加人性化。希望大家喜歡。 我們都知道,咖啡可以應用通配符 * 和 ? : (喜歡咖啡的友情幫頂下啊) 1.問號 (?) : 用於排除單個字符) ,比如, 排除項 w?? 排除 www,但不排除 ww 或wwww 2.星號 (*) : 用於排除多個字符 雙星號 (**) : 表示零個或多個含有反斜槓的字符,這樣允許多層次排除。 比如, **\temp*\** ,雙星號 (**) 表示在反斜線 (\) 字符前後任意多個 層級的目錄,一個星號 (*) 表示任意一個或部分目錄名稱。 3.**\*和**有什麼不同?---看完測試就知道了 4.排除規則 : C:\quarantine\** 和 C:\quarantine\ 這2條有區別嗎?沒有區別嗎?---前者排除C:\quarantine\目錄下的所有文件,包括排除子文件夾,後者只包括C:\quarantine\下的文件,不排除子文件夾,即C:\quarantine\** 的排除範圍 > C:\quarantine\ ,看下邊我的測試會就明白。 以下是我自己作的測試,還望高手指教,不過我覺得應該是100%正確了的吧xixi 我在E:\110下創建了一些文件和文件夾,其中patch.rar為病毒文件,在165、265文件夾中我把patch.rar分別更名為02.rar,03.rar,以便查看測試結果。 文件夾結構為: E:\110 ---125 ---265 ---03.rar ---02.rar ---patch.rar 下面我把我的測試結果奉上以饗朋友們--------沒興趣看測試的,直接看最後1句我總結的一條(不過這只是測試中的其中一個結果) 在做此測試時,必須按如下圖做些改動:臨時禁用按訪問掃瞄,把輔助操作改成繼續掃瞄,以防咖啡進行隔離等動作, 規則為E:\110\ ,排除E:\110\ 下的所有文件,但不排除子文件夾。 規則為E:\110\**,細心的人會發現,**並沒有出現在「設置排除項中」,但後邊的「排除子文件夾」變成「是」了,其實在「添加排除設置中」輸入**(僅限於最後出現的**字符),咖啡會自動把「不包括子文件夾(D)」的勾選中而不會顯示**,這個地方中文咖啡似乎有歧義,大家仔細思考下就明白其真正的意思了。(另:在咖啡的訪問保護中可以出現**為最後結尾的,因為那裡咖啡沒有這個打勾的選項, ) 規則為E:\110 ,這個規則就是「什麼也沒有排除」 哈哈哈哈, 規則E:\110\* 等價於 E:\110\ 規則為E:\110\** \(最後2條規則其實和這條規則的作用是一樣的),排除E:\110\下的文件夾,但不排除E:\110\的文件。通過這裡大家可以悟出點什麼吧,呵呵,我就不多說了。 規則為E:\110\**\**和E:\110\**\只是多了個顯式地「排除子文件夾」(是E:\110\**\的子集而已),是但真正的作用是一樣的-----排除E:\110\下的文件夾,但不排除E:\110\的文件 規則為E:\110\**\*和E:\110\**\的作用是一樣的(是E:\110\**\的子集而已) ,意思是排除E:\110\下的「文件夾中的任何文件」[ 看懂以上這些,大家應該什麼都明白了,不用我作總結了喜喜。那麼大家對咖啡的規則設置,比如「訪問保護」等等都輕而易舉了吧 不過還是總結1句吧:要是想排除文件夾和該文件夾下的所有文件一定要把「編輯排除項目」中的「不包括子文件夾」的勾選中(中文咖啡在這裡字面意思有歧義,嚴重注意哦),或者在\後邊添加2個星號(**),咖啡會自動幫你打勾 |
|
|
送花文章: 3,
|
平板模式
