口水帖-咖啡如之何？

WEI.ER

个人认为白加黑是不能靠规则防御的，手动的规则太死了，白加黑可以在任意地方运行。

柯林 发表于 2012-11-28 20:22
请具体说明咖啡防御白+黑的办法
禁运以及禁止文件创建，这种手段防御，我认为根本不叫防御
白+黑的核心 ...

谨以2个角度说明：

一、咖啡的防御能力（目前所开发的）

1、咖啡不能够拦截运行进程的以下行为：进程间访问、底层磁盘

2、简单的禁运，不能够拦截硬盘炸弹

3、最大的问题；安装软件需关闭规则（对于较为严厉的规则）

--

综上，要说规则是否能够防御【白加黑】？  不能！

但，也能！！  因为，咖啡是杀毒软件；难道我们都忘了咖啡的本质是什么？  杀毒的，干活！！！

你说白加黑，能不能够“防御”？


二、安软的对比防御能力

什么样的安软能够防御，你说的“高级样本”-【白加黑】？

所有的，都能（一定程度上）！

但是，咖啡有了规则；在不安装软件的情况下（安装软件，仅仅是小概率事件），【白加黑】就是一个废物！

除了咖啡，还有多少软件，能够在拥有杀毒功能的同时，拥有规则这般强悍的防御力？！！

这才是，咖啡的诱人之处！！

#我们从没想过要神化咖啡；相反，我个人为将咖啡从“神坛上赶下来”而做出过相当多的努力！（当然，这些你并不知晓）

-

不要拿着毛豆的思维；来考察咖啡，因为这样，最后都是以可笑的结局收场的～

巴山冷箭

用咖啡的规则,主要是平时的应用,即不装软件时随意的玩游戏,浏览网页,上QQ......
咖啡的实质是一款杀毒软件,我们下载的软件程序,则要考这块来防御了.也有很多咖啡
杀不了的病毒,如果这期间,没有较好的使用习惯,则倒下了......

其实很多说"神"咖啡是在规则时的平时应用而已,从入口防御了网络网页等带来的威胁.
以我个人的使用,我还是把咖啡当杀毒软件用,这是它的本质工作.DIY规则,是业余
时间的一种乐趣...通过咖啡熟悉系统,通过应用熟悉咖啡......

咖啡,毛豆各有特色,也各有不足......理智对待

shiyuelaohu

咖啡最擅长的是入口防御，要说禁止挂钩子貌似只能从禁运黑dll上入手，无法阻止底层操作，这确实是咖啡的软肋。最好的方法就是将黑dll入库，但这也不太现实，这样一来病毒库就会变得相当庞大，所以云端验证是最好的方法。在使用绿色软件的时候不妨开启金山卫士，这样就相对安全了。另外，防御白加黑最好的工具是人脑，不要轻易使用来历不明的软件也就是了。如果毛豆提示挂钩子，又如何判断这个行为是黑是白呢？所以，好的意识才是最强大的主动防御。

GreenCodes

storyhare 发表于 2012-11-28 22:54
谨以2个角度说明：

一、咖啡的防御能力（目前所开发的）

说到底还是个人和企业使用环境不同，哪个企业整天没事下破解玩的？

GreenCodes

shiyuelaohu 发表于 2012-11-29 14:38
咖啡最擅长的是入口防御，要说禁止挂钩子貌似只能从禁运黑dll上入手，无法阻止底层操作，这确实是咖啡的软肋 ...

虚拟化操作+权限控制+信誉审核，可以最大限度保证安全，另外记得UAC要开

firefox3

柯林 发表于 2012-11-28 19:36
吐出来的口水就是泼出来的水，哪有收回的道理？
题目虽然有点刺眼，内容却是全部可由事实验证以理服人来 ...

柯大也玩咖啡？
我记得猫版提到过白加黑防御，找到了这里：
http://bbs.kafan.cn/forum.php?mo ... =%B0%D7%BC%D3%BA%DA

shiyuelaohu

白加黑只是少数，一个黑dll想要找一个可以利用的白名单也很困难。我曾经想过一个规则，既然无法用文件名判断dll，那么为什么不从exe入手呢？这样的白文件总是数量有限的。假如a.exe和b.exe是被利用过的。那么规则可如下，
a.exe,b.exe
无
**.dll
所有操作
当触红之后，再利用咱们强大的国产的云验证一下吧！

柯林

firefox3 发表于 2012-11-29 15:51
柯大也玩咖啡？
我记得猫版提到过白加黑防御，找到了这里：
http://bbs.kafan.cn/forum.php?mo ...

白+黑的防御，在目前确实是个问题，只有手动HIPS监控陌生程序的每一步行为，以及特征码侦测的直接杀掉，是从逻辑上可证明为有效的方式。以实际而言，绝大多数人其实中这个的概率很低，至少目前是这样。
如果不能完整监控程序的每一步行为，仅靠禁运或者禁止文件创建的方式，虽然在理论上可以推断成功防御，但从实际运用的角度，是有漏洞和不把稳的——用户下了一个程序，不知道它是白+黑，运行了，咋办？

柯林

GreenCodes 发表于 2012-11-29 15:45
说到底还是个人和企业使用环境不同，哪个企业整天没事下破解玩的？

这确实是的，本来就是企业用的，用在企业上，那是固若金汤。
换成个人来用，那就难免下个带毒的来运行不了，只能关了再运行或安装，结果倒下了，非高手难免的！于个人用户而言，计算机不下载和安装程序使用，那简直是太奇怪和太好的习惯及操守了，够屌丝