查看: 17452|回复: 59
收起左侧

[资讯] 咖啡的味道

  [复制链接]
storyhare 该用户已被删除
发表于 2011-10-3 13:42:41 | 显示全部楼层 |阅读模式
本帖最后由 storyhare 于 2012-11-23 21:23 编辑

呃,就当吾,无事可干吧~~

企业8.8出来很久很久了,可总使用率并不理想,或许有各种各样的原因;但此文的目的只有一个——让你使用Mcafee 8.8!



内容:

   I、安装,及相关图鉴说明  点击

   II、咖啡,为何为Mcafee

       1、何谓『强大』 点击

       2、何谓『伪神』 点击

       3、规则『神韵』——本文没有讲述。

   III、结束语  点击







评分

参与人数 3人气 +3 收起 理由
大猫熊 + 1 :)
钢铁侠 + 1 版区有你真精彩: )
LisaLan + 1 真强大~

查看全部评分

storyhare 该用户已被删除
 楼主| 发表于 2011-10-3 13:46:49 | 显示全部楼层

何谓『强大』

本帖最后由 storyhare 于 2011-10-3 15:27 编辑


什么也不说....(因为,语言是苍白的)






1、一个实验:   『一个实验引发的问题~~』





1、在仅启用规则中“咖啡自保”的规则,而后运行具有关闭杀软功能的病毒




结果:病毒并没有能关闭咖啡(图中那个“Full PC Scan”,就是传说中的“fakeav病毒”)




日志

        C:\Users\story\AppData\Roaming\defender.exe           C:\Program Files\McAfee\Common Framework\UdaterUI.exe        通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
        C:\Users\story\AppData\Roaming\defender.exe          C:\Program Files\McAfee\Common Framework\McTray.exe         通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
        C:\Users\story\AppData\Roaming\defender.exe                C:\Program Files\McAfee\VirusScan Enterprise\SHSTAT.EXE                通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止
        C:\Users\story\AppData\Roaming\defender.exe                C:\Program Files\McAfee\VirusScan Enterprise\mcconsol.exe          通用标准保护:防止终止 McAfee 进程        已阻止的操作: 终止




2、启用规则中的,所有全局权限规则,而后  【重启】




结果:病毒不能运行,且系统部分功能恢复(在感染病毒时,任务管理器是不能打开的)






日志

        C:\Users\story\AppData\Roaming\defender.exe            C:\Windows\System32\sechost.dll        防病毒爆发控制:阻止对所有共享资源的读写访问        已阻止的操作: 读取


----------------------




2、咖啡规则除了防毒,还能做什么??——~病毒的双击规则测试~(试样)

以下,为没有安装病毒库时的,病毒双击测试的部分内容截取


样本1
C:\Users\story\Desktop\9.27\9.27 (1).exe          \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings    已阻止的操作: 写入
C:\Users\story\Desktop\9.27\9.27 (1).exe               C:\Users\story\AppData\Local\Temp\Temporary Internet Files\Content.IE5\75LQUITX\desktop.ini          已阻止的操作: 读取
C:\Users\story\Desktop\9.27\9.27 (1).exe             113.105.247.36:80      禁止 HTTP 通信        
-------无感染现象——拦截成功-----------

样本2
C:\Users\story\Desktop\9.27\9.27 (2).exe           \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\Software\Microsoft\Windows\CurrentVersion\Internet Settings\ZoneMap\AutoDetect            已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (2).exe             C:\Users\story\AppData\Local\Temp\大飞辅助.exe        已阻止的操作: 执行
C:\Users\story\Desktop\9.27\9.27 (2).exe              C:\Users\story\AppData\Local\Temp\大飞辅助.exe.bat           已阻止的操作: 执行
------无感染现象——拦截成功-----------

样本3
C:\Users\story\Desktop\9.27\9.27 (3).exe             \REGISTRY\MACHINE\Software\Microsoft\91800           已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (3).exe         \REGISTRY\MACHINE\SOFTWARE\Microsoft\DClock                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (3).exe               C:\Program Files\Cmmvwgypeu\Path.rcd                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (3).exe               C:\Program Files\Zsobuu Mdwpaipn\explorer.exe                 已阻止的操作: 创建
-----无感染现象——拦截成功-----------

样本4
C:\Users\story\Desktop\9.27\9.27 (8).exe               C:\WINDOWS\Winhows Pudx\services.exe.txt        已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (8).exe                \REGISTRY\MACHINE\SOFTWARE\Classes\.wnl                 已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (8).exe               \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings           已阻止的操作: 写入
-----无感染现象——拦截成功-----------

样本5
C:\Users\story\Desktop\9.27\9.27 (10).exe        C:\hahagamesss2.exe                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (10).exe        C:\Baidu-Toolbar.exe                已阻止的操作: 创建
C:\Users\story\Desktop\9.27\9.27 (10).exe        C:\Program Files\Internet Explorer\iexplore.exe           已阻止的操作: 执行
-----无感染现象——拦截成功-----------

样本6
C:\Users\story\Desktop\9.27\9.27 (17).exe        \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Run                 已阻止的操作: 写入
-----无感染现象——拦截成功-----------

样本7
C:\Users\story\Desktop\9.27\22.exe        C:\Users\story\AppData\Local\Temp\~24C.tmp                 已阻止的操作: 执行
C:\Users\story\Desktop\9.27\27.exe        C:\Windows\system32\mn.dll                 已阻止的操作: 创建
-----无感染现象——拦截成功----------

样本8
C:\Users\story\Desktop\9.27\33.exe        \REGISTRY\USER\S-1-5-21-2419067324-3059823009-1530619562-1000\SOFTWARE\Microsoft\Windows\CurrentVersion\Internet Settings                 已阻止的操作: 写入
C:\Users\story\Desktop\9.27\33.exe        173.242.116.230:80
-----出现全屏弹窗,而后死机——拦截失败----------------


------这些测试,有意义么?? 当然,有;测试你规则的强度,根据病毒感染规律,编辑更好的规则,让你的电脑永远没有病毒------





3、纷繁的规则目录

参看本区“原创”标签





   

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
LisaLan + 1 有测端口防病毒的吗?

查看全部评分

storyhare 该用户已被删除
 楼主| 发表于 2011-10-3 14:12:41 | 显示全部楼层

何谓『伪神』

本帖最后由 storyhare 于 2011-10-3 18:21 编辑

记得,卡饭杀软防毒之最强....或许有人记得,或许已近被遗忘;但,咖啡一直存在!



仅需开启一条规则,卡饭毒区的所有病毒,都是浮云





规则名称:阻止对所有共享资源的读写访问

要包含的进程:*.*

要排除的进程: C:\Program Files (x86)\**\*.*, C:\Program Files\**\*.*, C:\Users\storyhare\AppData\Local\Google\**, C:\Windows\**\*.*, D:\Program Games\**\*.*



这并不需要验证,因为是不可改变的事实¥



但是呢~~~咖啡,可以是『神』,但必须是『伪神』!!


因为:

1、咖啡开机时的防护启动,普遍慢于系统加载项

2、咖啡规则的封闭,使得系统最脆弱的时候,咖啡却是不闻不问(软件安装,关闭规则)

3、对于直接访问底层的行为(包含恶意),咖啡的规则永远是旁观者

4、咖啡的规则,对于ring0权限的行为,只是无聊的摆设


神,是永远强大而不可捍卫的;而咖啡,需要『预热』....



--------------


仍旧,是一个实验:  咖啡规则与杀毒实验报告


规则实验报告:

目的——验证规则的效力范围是否包含杀毒模块


使用规则:

规则名称:自锁规则1
要包含的进程:*
要排除的进程:
要阻止的文件或文件夹名:C:\Program Files\McAfee\**
要禁止的文件操作:读取 创建 写入 删除 执行

规则名称:自锁规则2
要包含的进程:C:\Program Files\McAfee\**
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件操作:读取 创建 写入 删除 执行

规则名称:验证规则
要包含的进程:winrar.exe
要排除的进程:
要阻止的文件或文件夹名:**
要禁止的文件操作:创建


---------实验过程:


1、所启用的规则:




2、规则验证:rar无法解压(实验前验证规则的有效)






重启后:


3、右键菜单“右键扫描”不见




4、点击咖啡控制台图标无效




5、右下角咖啡图标




6、任务管理器中咖啡进程:6个(正常8个)




7、解压文件,失败,规则仍有效




8、注册表导入咖啡规则,失败,规则仍有效




9、双击病毒,被实时监控删除,咖啡杀毒组件有效



------------


试验结果:

规则可以阻止咖啡本身的一些功能,但并不能阻断其防御组件(规则和杀毒模块);

注意,在其规则具有效力的时候,规则并不能限制咖啡的杀毒功能



----该实验,有何意义~~只是咖啡 杀毒模块 与 规则模块 的 “决战” ,而已......







咖啡的神韵

难道以上的所有不是???  其他的任何一款杀软,有么????~~~



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
一晴空 + 1 咖啡真神了:)

查看全部评分

storyhare 该用户已被删除
 楼主| 发表于 2011-10-3 14:37:19 | 显示全部楼层

安装,及相关图鉴说明

本帖最后由 storyhare 于 2011-10-11 10:38 编辑

安装

找到安装包中的安装文件,双击




安装过程

























安装完成















剩下的,自己去『折腾』吧~~~



相关,应急教程

『规则排除应急教程』

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
storyhare 该用户已被删除
 楼主| 发表于 2011-10-3 15:20:18 | 显示全部楼层

结束语

本帖最后由 storyhare 于 2012-1-25 19:57 编辑

其实,很多内容都偏题了,但有何干?!!



只要你了解到了,什么是『咖啡』,那么,该文也就可以含恨而终了~~~






咖啡:

  1、我们的角度,不只是它的优点,而是她的所有

  2、我们不是用来杀毒,只是用来折腾『寂寞』

  3、我们并不骄傲,因为,不需要

  4、欢迎你的加入






智琛
发表于 2011-10-3 15:52:45 | 显示全部楼层
本帖最后由 黄智琛 于 2011-10-3 16:00 编辑

那个关于自保规则是咖啡本来就有的?
系统启动时,咖啡完全加载完毕之前一般软件都要快于它?

评分

参与人数 1人气 +1 收起 理由
storyhare + 1 恩;不是,仅系统任务

查看全部评分

eagleye
发表于 2011-10-3 17:20:22 | 显示全部楼层
咖啡真的用来 折腾的
每个人都思路都有局限性
所以,不断的学习,不断的否定自己,不断的折腾
所谓木有最折腾,只有更折腾~~~
tank200706
发表于 2011-10-3 17:39:18 | 显示全部楼层
这篇看着莫名地舒服。
gyfeva01
发表于 2011-10-3 17:43:51 | 显示全部楼层
现在一直在用咖啡感觉很不错~BZ加油~
卡卡洛夫
发表于 2011-10-3 19:38:46 | 显示全部楼层
path1快出来。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 00:02 , Processed in 0.137518 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表