咖啡规则设置技巧提高篇.docx

1、咖啡规则设置技巧提高篇咖啡规则设置提高篇1.善用文件夹排除法大家在对规则进行排除的时候，一般的做法是逐个进程的添加。此法最大的缺点就是累。尤其是遇到需要添加大量进程的时候，或者新安装完软件的时候，每次都要查看日志，然后慢慢排除，实在是麻烦。恐怕很多人放弃咖啡也是出于这个原因。事实上，如果我们将软件集中管理起来（例如将软件安装在同名的文件夹内），然后采取文件夹排除法，那么就可以大大地减少工作量，也不会感觉到累了。但有一点需要注意的，就是排除的目标文件夹，需要另加规则进行保护，不然若病毒进入此文件夹后，就能通行无阻了。小结：咖啡之所以让一些人感觉到麻烦，无非就是规则的排除。善用文件夹排除法，可以让

2、你从大量的排除工作中解放出来。PS：排除的目标文件夹最好使用中文名称，可以防止病毒利用2.理清父子进程关系，搞清执行主体。如果你想写出好的、有效的、而又不影响正常使用的规则来，那么这一点是最最重要的。首先，大家要搞清什么是父进程，什么是子进程。只有父进程可以排除，子进程不能排除。在咖啡规则里，“要包含的进程”是父进程，“要阻止的文件或文件夹”是子进程，“要排除的进程”是对于“要包含的进程”而言的，而且只能是“要包含的进程”里的子集。所以，如果大家想写规则 “只允许在某个文件夹下创建.txt文件，而阻止新建其它任何文件”，那么这样的规则用咖啡是做不到的。有很多人写出无效的规则来，就是这个原因。

3、这点请大家一定要搞清楚。然后，我们举一例：大家看出这个规则的问题没有？这条规则的作用实际是在禁用注册表编辑器，但注意，这仅仅是注册表编辑器而已，而不是注册表。真正的注册表文件存在于%windir%SYSTEM32CONFIG中，由其中的多个文件和我的文档中各用户的ntuser.dat组成。事实上，病毒访问注册表的途径不只是通过regedit.exe（或者说，这种情况不多），病毒可以调用reg.exe来进行注册表的改写，也可以通过脚本来访问，也可以不借助其它程序直接访问注册表。因此，此规则并没有达到它所声称的目的，是失败的规则。造成这样的原因，正是用户没有搞清楚到底什么程序在访问什么文件。也就是

4、所谓的执行关系的问题。其次，理清楚执行主体还能有助于解决规则影响日常使用的问题。很多人写阻止规则时，都习惯性地填上“*”，然后再慢慢排除正常进程，这种做法其实就是让大家觉得用咖啡规则累的根源。只要我们在阻止程序时，只阻止真正的秉事者，那么就不会带来不必要的麻烦了。关于这点，可以参看第3条。再举一例：对于JS、vbs等脚本文件，很多人为了安全，都会禁止去“执行”。事实上，我们打开一个vbs文件时，进行的操作并不是“执行”，而是读取。那么是什么程序在“执行”脚本？脚本宿主工具，是脚本宿主解释并执行vbs里的代码。那又是谁启动了脚本宿主？答案是，你用什么程序去运行vbs文件的，就是什么程序调用了脚本

5、宿主。所以，你去禁止vbs脚本的“执行”，那是无效的。只有禁止读取vbs，才能达到禁用的目的。我们也可以去禁止调用脚本宿主工具，那么脚本自然就无法被解释了。再举一比较典型的例子，通过此例大家应该会对执行关系有一个比较清晰的了解：这两条规则，唯一不同的就是执行主体和被操作对象的关系互换了。这样互换后，两条规则有什么区别？先分析规则1：规则1要阻止的执行主体是U:*，也就是U盘的程序。也就是说，我们的系统程序（例如explorer）不再阻挡范围之内，所以我们去读取U盘里的文件，例如复制、打印word文档等等，都是可以的。因此在此规则下，U盘是可以正常使用的。规则1的作用其实就是“禁止I盘的文件对本

6、地文件进行任何操作”，简单说，就是即使I盘的程序被运行了，它也不能对本地干任何事。至于规则2：规则2要阻止的执行主体是*，即任何程序。自然包括操作系统，因此在此规则下，我们无法对U盘的文件进行任何操作！包括打开txt文档。规则2的作用是“禁止所有程序读取U盘的文件”，也就是说，U盘的文本文档也无法打开了！连往U盘里写文件，复制文件等等操作都无法完成。注：有时候，我们需要在规则1中的排除项里面加入“*Windows*”，这是因为，虽然理论上，系统的程序不在规则的阻挡范围之内，但实际应用时，会发现类似*NOTEPAD.EXE 这样的程序触犯规则，具体原因未明，可能是咖啡的判定bug。解决方法则是：

7、1.打上patch4补丁2.在排除项里添加*windows*因为U盘里面的文件和windows文件夹里面的文件是没有交集的，也就是说，排除了windows文件夹，其实是什么也没有排除。小结：所谓研究咖啡规则，不仅仅是要学习规则的语法，更重要的是多去了解系统的常识和程序被调用的关系。其实在编写规则时多进行测试，就能搞清楚很多问题了，最后你能知道什么程序调用什么程序是正常行为，而什么情况却不是。当这些你都了然于胸的时候，你就能很好地驾驭咖啡的规则了，而同时，你也成为一个高手了。3.转换思路，另辟蹊径为了说明问题，又举一例：我们一般的防范U盘规则。大家都是怎样做的？我想大部分都是禁止系统去读取aut

8、orun.inf吧。其实要实现此功能还有另一种方法的。那就是使用注册表规则。如下图：要包含的进程那里，我想大概大家又会习惯性地填上“*”。其实，执行这个注册表操作的正是explorer.exe，只禁止它就可以了。其它一些正常的进程也会访问这个键值，所以，随便地填上“*”不符合我们方便性要求。大家在写规则时，除非必要，否则慎用“*”。其实此规则防U盘的效果和禁止读取autorun,inf的作用是一样的，连缺点都是一致的，就是会连光盘的自动播放功能都禁了。小结：举此例的目的在于说明，要设规则达到某种效果，其实可以有很多方法的。若此路难行，不妨绕道。这样或者就能找到最好最适合自己的方法。4.减少重复

9、劳动，规则多合一举一例：大家认为此规则可以如何改进？我的看法是，包含进程那里，我们需要进行调整。用过迅雷的都知道，迅雷的有两个运行文件，一个是thunder.exe，一个是thunder5.exe。因此这里只阻止thunder.exe的话，就让thunder5.exe偷过了。那么，是要再多建一条规则吗？当然不是，只要在包含项里加上thunder5.exe就可以了。不过哦，这样又有一个问题了：如果哪一天出了一个thunder6.exe呢？又要改规则吗？为了避免重复劳动，我们应该考虑将包含项改成如此：thunder.exe，thunder?.exe ，这样规则就基本不需要改动了，哪怕它某日又冒出一

10、个thunder7.再举一例：事实上，这两条规则完全可以合成一条，因为第二条规则其实就已经包含了第一条规则了，也就是说，第一条规则是多余的。因为通配符“*”就已经包含项和值。不信？可以试试。这样就是所谓的规则多合一了。其实对于很多规则来说，都可以考虑合成为一条的，当然具体情况要具体分析。又例如，如果你想保护一些重要的文件不被恶意修改、删除（如GHO镜像文件、文档资料等），可以将这些文件放到同名的目录中（不需要同一目录，只要同名即可），然后用一条规则保护这种目录即可。这样，一条规则就可以达到保护多种格式的文件的目的，而不必多写规则。小结：合理使用通配符和文件夹管理，可以少写和少改动规则，减少重复

11、劳动。另外还有一个方法，就是将各种功能相似的软件集中管理（将其都安装在一个文件夹内），然后针对这个文件夹建立规则，是最省心、又最有效的办法。如上例的迅雷规则中，还可以把thunder、flashget、emule、BT客户端、FTP软件等等都安装在一个文件夹中，这样就可以一条规则就能管理好这些程序了。我自己的做法是这样的：把IE禁用，把平时用的浏览器安装到“浏览器”目录，实行特别关照。迅雷等软件均装在“下载工具”目录，其它会访问互联网的程序放到另一目录中。然后分别为这些文件夹加以适当的限制，分配不同的权限。如此管理软件后，不但脉络清晰，还方便制定规则，实为一举两得。6.关于排除项的安全性路径排

12、除法这个问题就不需要什么说明了，大家知道，只要规则中存在一个排除进程，就多一份危险如果病毒和排除项名称一样这么办？这时采用路径排除法就能解决问题。7.了解系统文件夹作用，提高规则之针对性关于这个，大家需要了解的是：1.系统正常工作时，各个系统文件夹的作用。2.网页木马会把病毒下载到什么目录，病毒一般从什么文件夹运行，运行时会释放什么类型的文件到什么目录等等。或者大家觉得这些都是废话，但要对系统文件夹有一个深入的了解，不是一件容易的事，而搞清楚这些之后，编写规则的时候，就可以很有针对性了，而不必用那些超级规则来锁死硬盘了。8.前摄防御，不做事后诸葛： 病毒的侵入必将对系统资源构成威胁，即使是良性

13、病毒，至少也要占用少量的系统空间影响系统的正常运行，特别是通过网络传播的计算机病毒，能在很短的时间内使整个计算机网络处于瘫痪状态，从而造成巨大的损失。因此，防止病毒的侵入要比病毒入侵后再去发现和消除它更重要。因为没有病毒的入侵，也就没有病毒的传播，更不需要消除病毒。另一方面，现有病毒已有万种，并且还在不断增多。而消毒是被动的，只有在发现病毒后，对其剖析、选取特征串，才能设计出该“已知”病毒的杀毒软件；而当发现新病毒或变种病毒时，又要对其剖析、选取特征串，才能设计出新的杀毒软件。它不能检测和消除研制者未曾见过的“未知”病毒，甚至对已知病毒的特征串稍作改动，就可能无法检测出这种变种病毒或者在杀毒时

14、出错。这样，发现病毒时，可能该病毒已经流行起来或者已经造成破坏。而现在流行的主动防御，基本上是靠行为特征来判断的，这些特征也是入库式的，要是某天病毒使用未知的手段进行入侵，而这种手段没有包含在行为特征库里，病毒就可以绕过所谓的“主动防御”。从这个意义上说，现在的主动防御，其实也是一种“被动防御”。那么，什么才算是真正的主动防御？举数例：防删gho文件，防写镜像映射、保护安全模式等我想大家应该都有这样的规则吧？没有？还不赶快补上！不过大家在做这些规则的时候，有没有想过，你是因为什么才这样做的？试问，在熊猫威金大行其道之前，你可有想过保护gho文件？在AV终结者肆虐之前，你可曾想过保护镜像映射功能

15、？在帕虫发现之前，你又可曾保护过安全模式的注册表键值？或者你已经发现了，为什么我们的动作总是比病毒要慢一拍？如果是这样的话，跟传统的杀软的防毒手段岂不是一样的滞后？若不断其源，则水流不止。防毒，我们需要有前摄性。防止病毒进入系统，才是根本之法。而与此相反，很多人的做法却是在严格限制本地操作，这样无疑是对自己缚手缚脚。当然我不是说本地防御要不得。本地病毒防范还是必要的，但要适度，并且最好以不影响或者很少影响正常使用为前提，不然再多的规则，再强大的防御，在“失去方便性”这一前提面前，就显得不值一提了。由于主动防御早被大家熟知，因此在此不作讨论，而我们要谈的，是另一相似而不相同的概念前摄防御。说到这

16、里，到底何谓前摄防御？我无法下一个准确的定义，因为这个概念比较抽象。以我的理解，就是在病毒得以运行之前，就将其拦截住，也就是，阻断病毒的来路。（与主动防御相比，主动防御是在病毒运行之时，检测其行为，并将其拦截。前摄防御与主动防御的区别就在于时间上，一个是病毒运行之前，一个是病毒运行之时。）要做到前摄防御，谈何容易？的确是一件不简单的事，但也不是不可能的。前摄防御也不需要做得滴水不漏，能防住大部分未知病毒就很好了，剩下的还可以交给传统防御（监控、扫描杀毒）、本地的其它规则等等。一般来说，根据“前摄主动传统”的防御顺序，我们可以采取以下思路：（1）拒绝入侵：来历不明的入侵软件（尤其是通过网络传过来

17、的）不得进入系统。（重要,这一步是第一步，也是最关键的一步） 在这个环节上，我们的主要工作是：管好浏览器、防范U盘病毒、防范局域网的非法共享访问等等。这些通过咖啡的规则都可以做到。（2）防止运行：病毒要成功运行，需要系统环境的支持，例如动态链接库（dll文件）等等。我们不妨尝试不让病毒去加载这些文件，那么病毒将不能运行。（即使病毒被执行了，它还是无法运行成功）（3）管制好高风险的系统文件，不让病毒利用。如shutdown.exe,net*.exe,ntvdm.exe,at.exe等等，这些程序大众用户极少用到，而病毒却是恰恰相反。（4）根据病毒常见的高危行为事先布防。很多时候，只要阻止了病毒的

18、其中一个危险动作，那么病毒的运行就会停止。因此我们并不需要防止所有危险行为（那也会为自己带来不便）。（5）对于下载或其它途径传入的文件，都应该进行扫描后方可执行之。（这个与咖啡的规则无关了，题外话，_）小结：写规则时我们要考虑前摄性，如果一开始就假定了病毒已经运行，然后再去写规则应对的话，那么你的规则总是要比病毒慢一步，当新病毒出来的时候，可能就会无法适从。所以，我们写规则应当更多的考虑病毒运行之前的情况，而不是运行之后的防御。另外，主动防御也带给我们一个思路，那就是如何防范流氓我们应该从流氓的入口把关，而不是防流氓写入到某某目录。最后以一句话作结：正如没有最完美的人一样，没有最好用的安全软件，因为用软件的，正是人。