口水帖-咖啡如之何？

柯林

恕我说句不恭的话，不论是HIPS还是其他任何东东，使用禁运乃至禁止文件创建的方法来执行防御，都带有自欺欺人的色彩——实质就是：你只允许使用和运行这些干净可靠的程序，其他的一律不允许！要有这么好的习惯和戒律守持，安全软件可以丢了。
很多人中招，就是因为下载了一些东东来运行，所以挂了。禁运于其来说，纯属扯淡。问题的关键，就在于你怎么判定下载的东东安全不安全？以及相关的如何保护运行的安全？
甭管你规则多NB，一旦程序无法运行和安装，必须关闭才可以进行，而关闭就会中招的话，这样的规则，其实意义是有限的，并不像宣传或想象中那么无敌！特别是新手，一旦迷信这个，下场可能也是死得难看。

柯林

马云波波波 发表于 2012-11-28 20:29
对于您说的第一个问题，因为咖啡企业版的防御有限，无com端口防护、系统底层防护等，因此咖啡CLT得分不 ...

为什么要进入program files文件夹？白+黑，你把程序放任何地方不是都可以运行么？起作用的不就是白exe旁边的黑dll？如果某个程序包含了黑dll，你怎么判定它是黑的，不允许exe加载它？HIPS对这东东实际上也是无力的，咖啡的给力依据何在？

大猫熊

柯林 发表于 2012-11-28 20:43
为什么要进入program files文件夹？白+黑，你把程序放任何地方不是都可以运行么？起作用的不就是白exe旁边 ...

直接杀dll。不需要规则防御。加载dll本来就是正常行为，但如果dll有问题查不出来那就是咖啡的责任了。还是要用样本说话。

马云波波波

柯林 发表于 2012-11-28 20:43
为什么要进入program files文件夹？白+黑，你把程序放任何地方不是都可以运行么？起作用的不就是白exe旁边 ...

      对于这个问题，咖啡目前还不能判定*.dll文件是否为黑文件。对于防御白加黑病毒上，咖啡目前也只有通过把好入口大关，防止*.dll文件进入系统来防御。而对于白文件*.exe调用黑文件*.dll这一行为，咖啡拦不住。
    另，咖啡的禁运规则与毛豆不同，对于硬盘炸弹这类系统底层病毒，咖啡通过禁运是拦不住的，炸弹依旧能破坏MBR，只能依靠禁读来防御；而毛豆依靠禁运是可以拦住的。因为咖啡的禁运拦不住底层行为。

柯林

大猫熊 发表于 2012-11-28 20:57
直接杀dll。不需要规则防御。加载dll本来就是正常行为，但如果dll有问题查不出来那就是咖啡的责任了。还是 ...

是的 我也认为 最有效的手段是检查 对于白+黑 最好的办法实际上是传统的特征码检测 现在各种主防包括HIPS讨论的规则防御之类 都属于非主流

柯林

马云波波波 发表于 2012-11-28 20:58
对于这个问题，咖啡目前还不能判定*.dll文件是否为黑文件。对于防御白加黑病毒上，咖啡目前也只有通 ...

发这贴没别的意思，实际上只是交流讨论一下。
题目写的口水，只是噱头和吸引眼球而已。
任何软件都有优缺点，都有它擅长的东西，扬长避短就好。实际上，病毒防御，除了安全软件，很重要的另一半，还包括个人的意识及习惯，必须二者完整统一，实现人机合一。

马云波波波

大猫熊 发表于 2012-11-28 20:57
直接杀dll。不需要规则防御。加载dll本来就是正常行为，但如果dll有问题查不出来那就是咖啡的责任了。还是 ...

    个人认为直接杀掉*.dll这一做法并不能完美的解决问题。因为动态数据链接文件本身并不具备感染与破坏能力，只有依靠*.exe的调用才能发挥破坏作用；可问题是：目前的杀毒软件大都对*.dll文件缺乏必要而有效的侦测手段！

柯林

马云波波波 发表于 2012-11-28 21:12
个人认为直接杀掉*.dll这一做法并不能完美的解决问题。因为动态数据链接文件本身并不具备感染与破坏能 ...

直接杀掉当然是最直接最干脆最有效的解决手段，如果黑dll起作用了再去防御exe的行为，有些是没法防御的。

个人观点，要保持咖啡“无敌规则”所塑造的“干净PC环境”，可以补加的一个有效手段是——虚拟机。新下的东东，先在虚拟机里跑一遍，确认没事的再转到实机。像你说的什么硬盘炸弹，虚拟机里出事了，就没必要拿到实机里为难咖啡了，直接扔掉就是了。

大猫熊

马云波波波 发表于 2012-11-28 21:12
个人认为直接杀掉*.dll这一做法并不能完美的解决问题。因为动态数据链接文件本身并不具备感染与破坏能 ...

这个是静态扫描匹配，不是主防。现在什么都讲究个主防，其实是非要把病毒行为和系统行为硬生生区分开来，有点钻牛角尖的感觉。

至于你说的目前的杀毒软件大都对*.dll文件缺乏侦测手段，可能只是说的一些国内厂商，急功近利，只想着迅速提高查杀率而专门杀exe等可执行文件。其实诸如诺顿咖啡这种老牌软件，不论是引擎还是病毒库都对所有类型的病毒有较为均衡的对待，内功深厚，这也是为什么这些老牌软件长盛不衰的原因。

大猫熊

柯林 发表于 2012-11-28 21:18
直接杀掉当然是最直接最干脆最有效的解决手段，如果黑dll起作用了再去防御exe的行为，有些是没法防御的。 ...

同意，要么保持好习惯不乱装，要乱装先在虚拟机试试，或者干脆就装在虚拟机里面，反正目前电脑性能过剩。