mcafee杀毒软件编写规则时通配符使用方法

最新推荐文章于 2021-10-07 14:46:01 发布

橙-极纪元JJY.Cheng

最新推荐文章于 2021-10-07 14:46:01 发布

阅读量707

点赞数

分类专栏：杀毒软件

杀毒软件专栏收录该内容

13 篇文章 0 订阅

订阅专栏

由于是转载，文章中的连接是无效的，看官勿点！

我们都知道，咖啡可以应用通配符 * 和 ? ：
（喜欢咖啡的友情帮顶下啊）
1.问号 (?) ：用于排除单个字符），比如，排除项 w?? 排除 www，但不排除 ww 或wwww
2.星号 (*) ：用于排除多个字符
双星号 (**) ：表示零个或多个含有反斜杠的字符，这样允许多层次排除。
比如， **\temp*\** ，双星号 (**) 表示在反斜线 (\) 字符前后任意多个
层级的目录，一个星号 (*) 表示任意一个或部分目录名称。
3.**\*和**有什么不同？---看完测试就知道了
4.排除规则： C:\quarantine\** 和 C:\quarantine\ 这2条有区别吗？没有区别吗？---前者排除C:\quarantine\目录下的所有文件，包括排除子文件夹，后者只包括C:\quarantine\下的文件，不排除子文件夹，即C:\quarantine\** 的排除范围 > C:\quarantine\ ，看下边我的测试会就明白。

以下是我自己作的测试，还望高手指教，不过我觉得应该是100%正确了的吧xixi
我在E:\110下创建了一些文件和文件夹，其中patch.rar为病毒文件，在165、265文件夹中我把patch.rar分别更名为02.rar，03.rar，以便查看测试结果。
文件夹结构为：(知识若不分享实在没有意义)

E:\110
---125
---265
---03.rar
---02.rar
---patch.rar

下面我把我的测试结果奉上以飨朋友们--------没兴趣看测试的，直接看最后1句我总结的一条（不过这只是测试中的其中一个结果）
在做此测试时，必须按如下图做些改动：临时禁用按访问扫描，把辅助操作改成继续扫描，以防咖啡进行隔离等动作,

规则为E:\110\ ，排除E:\110\ 下的所有文件，但不排除子文件夹。

规则为E:\110\**，细心的人会发现，**并没有出现在“设置排除项中”，但后边的“排除子文件夹”变成“是”了，其实在“添加排除设置中”输入**（仅限于最后出现的**字符），咖啡会自动把“不包括子文件夹(D)”的勾选中而不会显示**，这个地方中文咖啡似乎有歧义，大家仔细思考下就明白其真正的意思了。（另：在咖啡的访问保护中可以出现**为最后结尾的，因为那里咖啡没有这个打勾的选项，）

规则为E:\110 ，这个规则就是“什么也没有排除” 哈哈哈哈，

规则E:\110\* 等价于 E:\110\

规则为E:\110\** \（最后2条规则其实和这条规则的作用是一样的），排除E:\110\下的文件夹，但不排除E:\110\的文件。通过这里大家可以悟出点什么吧，呵呵，我就不多说了。

规则为E:\110\**\**和E:\110\**\只是多了个显式地“排除子文件夹”（是E:\110\**\的子集而已），是但真正的作用是一样的-----排除E:\110\下的文件夹，但不排除E:\110\的文件

规则为E:\110\**\*和E:\110\**\的作用是一样的（是E:\110\**\的子集而已），意思是排除E:\110\下的“文件夹中的任何文件”[

看懂以上这些，大家应该什么都明白了，不用我作总结了喜喜。那么大家对咖啡的规则设置，比如“访问保护”等等都轻而易举了吧
不过还是总结1句吧：要是想排除文件夹和该文件夹下的所有文件一定要把“编辑排除项目”中的“不包括子文件夹”的勾选中(中文咖啡在这里字面意思有歧义，严重注意哦)，或者在\后边添加2个星号（**），咖啡会自动帮你打勾(知识若不分享实在没有意义　http://www.yidabu.com)

另外，就咖啡规则使用情况，说点个人经验。
一、在咖啡默认规则里有这样几条规则：
1、禁止在 Windows 文件夹中创建新文件 (.dll)
2、禁止在 Windows 文件夹中创建新文件 (.exe)
3、禁止在 System32 文件夹中创建新文件 (.dll)
4、禁止在 System32 文件夹中创建新文件 (.exe)
这几条规则，一般情况下都开启没有什么问题。一般的软件，在安装时往往会在Windows 文件夹和System32 文件夹创建exe文件和dll文件。不用管它。即便没有在Windows 文件夹和System32 文件夹创建exe文件和dll文件，也可以使用的。但是惟独在给系统打补丁时例外！某些系统补丁，即便阻止了，也没有什么，可有些系统补丁如果阻止往Windows 文件夹和System32 文件夹创建exe文件和dll文件，那就意味着系统瘫痪！您不能再登陆系统了！切记！所以，在打系统补丁时，要暂停使用这些规则。

二、同样一条保护规则，不要过于频繁的打开关闭。否则很容易出现失灵。原本阻止在某地创建某个文件，咖啡可能变的创建行为也不阻止了。偶甚至碰到咖啡密码失灵的情况，密码正确都不能解禁。所以，不要经常性打开关闭某条规则。这样可以避免此类失灵事件发生。

经过以上设置，再中木马、病毒、广告、间谍、恶意代码······几率将会是0。当然，最有可能中招的就是个人下载不安全软件，而后进行安装导致中招。如果注意安全，那另当别论了。上面，是偶使用咖啡几个月的一点心得，大家交流一下。如果有更好的技巧，请不吝赐教?
偶再补充一些内容。某些网站或\和黑客，会利用Cookies窃取用户信息。好了。为了尽量杜绝此类事件，可以这样做。用咖啡建立Cookies保护机制。

具体规则设置如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止对Cookies文件进行某些操作
阻挡对象：*
要阻挡的文件或文件名：**\Cookies*\**
要阻止的文件操作：在读取文件、创建文件、写入文件前打勾
响应方式：阻止并报告访问尝试

好了。通过Cookies泄密的个人隐私得到咖啡的保护了。当然，这样设置在某些网站不合适宜。需要暂时取消这条规则。至于IE浏览器对Cookies的保护机制，不太好操作。用禁止，好多网站不能去。不禁止，又有危险。与咖啡相比，显然咖啡更加人性化。希望大家喜欢。

使用咖啡来防护个人隐私文件。
这是利用咖啡具有强大的文件保护性能来实现的。许多人喜欢使用某些加密软件对个人文件进行加密，起到防护作用。如果您使用咖啡，那完全可以利用咖啡来实现这个功能。而且防护效果非常理想。他人如果对咖啡不是非常熟悉，根本不会想到是一个杀软来保护的。而且，咖啡防护文件，在他人读取、打开文件时，根本不提密码，也不提咖啡，只是提示：请确认磁盘没有写保护之类。对于一般人来说，还以为文件损毁了而打不开哈。哈哈。是否有些意思？
下面简单介绍一下，如何实现这个功能。首先，请将您所有需要保护的个人文件都放在某个根目录里，比如，起名为，流星雨。然后将这个文件保护起来即可。

具体规则设置如下：
咖啡控制台------访问保护------文件夹保护-----添加
规则名称：禁止对流星雨文件/文件夹进行任何操作
阻挡对象：*
要阻挡的文件或文件名：**\流星雨*\**
要阻止的文件操作：在读取文件、执行文件、创建文件、写入文件、删除文件前打勾
响应方式：阻止并报告访问尝试