查看: 3654|回复: 19
收起左侧

[讨论] 由白加黑和硬盘炸弹想到的

[复制链接]
shiyuelaohu
发表于 2012-12-17 11:42:23 | 显示全部楼层 |阅读模式
      前段时间版区讨论了不少有关白加黑的事情,咖啡在开启规则的情况下预防白加黑非常容易,全局禁运dll,干净彻底,直接在入口上防御,很完美。但是,自己如何判断dll文件的合法性呢?如果不小心误排除了呢?接下来就是注入系统钩子的操作,这一步咖啡是无法拦截的。      
      至于防御硬盘炸弹,全局禁运exe,比如江民的jmbs.exe,只要禁运exe文件就完全没事,很完美吧?但自己如何判断exe的合法性呢?当然,自己根本不知道这个exe文件到底想要干什么,是文件层面的读取、执行、创建、删除的话,咖啡的规则还能进一步的拦截。但是如果是硬盘炸弹呢?那么,规则就没办法了,规则无法保护引导区。
      我们都知道,咖啡的入口防御是很完美的,只要是文件型病毒,在规则面前全是浮云。但是在入口防御上观察软件的行为不怎么直观,可以说很多情况下无法判断行为的好坏。人们往往对系统钩子的注入和引导区的修改等操作会很警惕,对入口防御上拦截的软件的行为则比较麻木。所以,相对于咖啡来说,毛豆更适合小白。(并非有意吐槽咖啡,只是毛豆在这方面做得更好,各有各的优势,咖啡规则的优势在于拦截更加迅速彻底,稳定不蓝屏,这些则是毛豆做不到的。)
      我非常赞同饭友greencodes的一个观点,VSE主要的目的是保护企业,有哪个企业会像我们个人一样,整天地下载一些绿色破解软件玩呢?又有哪个企业会时不时的关闭规则去安装来历不明的软件呢?
      所以,个人建议,个人使用VSE的时候,不妨加一个金山卫士,无论是下载的时候,还是安装软件的时候,关闭咖啡的规则时候记得联网开启金山卫士。国产的云还是很强大的,拿不准的就上传,云技术对于使用VSE的人来说或许真是必不可少的。

评分

参与人数 2经验 +5 人气 +1 收起 理由
jxfaiu + 1 加分鼓励
心跳回忆 + 5 感谢分享

查看全部评分

liangxy
头像被屏蔽
发表于 2012-12-17 12:12:14 | 显示全部楼层
金山卫士对于白加黑也不咋地吧?
GreenCodes
发表于 2012-12-17 13:09:00 来自手机 | 显示全部楼层
liangxy 发表于 2012-12-17 12:12
金山卫士对于白加黑也不咋地吧?

主要是利用国产云的压缩包鉴定
shiyuelaohu
 楼主| 发表于 2012-12-17 13:36:06 | 显示全部楼层
liangxy 发表于 2012-12-17 12:12
金山卫士对于白加黑也不咋地吧?

对付已知的白加黑还是很不错的,毕竟白加黑的数量是比较有限的,云端验证的压力不大。
GreenCodes
发表于 2012-12-17 17:38:24 | 显示全部楼层
shiyuelaohu 发表于 2012-12-17 13:36
对付已知的白加黑还是很不错的,毕竟白加黑的数量是比较有限的,云端验证的压力不大。

话说为啥不上传咖啡呢?咖啡的杀毒模块总是被忽视,其实只要上报,咖啡的云不错的,布防快
shiyuelaohu
 楼主| 发表于 2012-12-17 19:06:01 | 显示全部楼层
GreenCodes 发表于 2012-12-17 17:38
话说为啥不上传咖啡呢?咖啡的杀毒模块总是被忽视,其实只要上报,咖啡的云不错的,布防快

金山的比较方便些,往往在下载的时候就能检测了。
GreenCodes
发表于 2012-12-17 19:07:01 | 显示全部楼层
shiyuelaohu 发表于 2012-12-17 19:06
金山的比较方便些,往往在下载的时候就能检测了。

咖啡不能么,勾选扫描压缩包不就结了
shiyuelaohu
 楼主| 发表于 2012-12-17 19:12:19 | 显示全部楼层
GreenCodes 发表于 2012-12-17 19:07
咖啡不能么,勾选扫描压缩包不就结了

个人版咖啡将月神调到最高后可以秒掉黑dll,而企业版确不行,具体原因我也不明白。记得饭友袋鼠吱吱曾经说,企业版将月神调到最高,也就只有个人版默认的启发水平。
qpzmggg999
发表于 2012-12-17 19:40:24 | 显示全部楼层
咖啡在安装未知程序时候 就需要用户精明判断了 我用vse时候最怕不是超级大病毒 而是我自己把一个小病毒排除了  所以我才喷规则的 --——(我会说曾经就排除病毒了然后就杯具了吗?)
shiyuelaohu
 楼主| 发表于 2012-12-17 19:49:15 | 显示全部楼层
qpzmggg999 发表于 2012-12-17 19:40
咖啡在安装未知程序时候 就需要用户精明判断了 我用vse时候最怕不是超级大病毒 而是我自己把一个小病毒排除 ...

是需要精确的判断,这到底是由企业环境决定的。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-17 07:26 , Processed in 0.135222 second(s), 17 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表