由白加黑和硬盘炸弹想到的

shiyuelaohu

      前段时间版区讨论了不少有关白加黑的事情，咖啡在开启规则的情况下预防白加黑非常容易，全局禁运dll，干净彻底，直接在入口上防御，很完美。但是，自己如何判断dll文件的合法性呢？如果不小心误排除了呢？接下来就是注入系统钩子的操作，这一步咖啡是无法拦截的。      
      至于防御硬盘炸弹，全局禁运exe，比如江民的jmbs.exe，只要禁运exe文件就完全没事，很完美吧？但自己如何判断exe的合法性呢？当然，自己根本不知道这个exe文件到底想要干什么，是文件层面的读取、执行、创建、删除的话，咖啡的规则还能进一步的拦截。但是如果是硬盘炸弹呢？那么，规则就没办法了，规则无法保护引导区。
      我们都知道，咖啡的入口防御是很完美的，只要是文件型病毒，在规则面前全是浮云。但是在入口防御上观察软件的行为不怎么直观，可以说很多情况下无法判断行为的好坏。人们往往对系统钩子的注入和引导区的修改等操作会很警惕，对入口防御上拦截的软件的行为则比较麻木。所以，相对于咖啡来说，毛豆更适合小白。（并非有意吐槽咖啡，只是毛豆在这方面做得更好，各有各的优势，咖啡规则的优势在于拦截更加迅速彻底，稳定不蓝屏，这些则是毛豆做不到的。）
      我非常赞同饭友greencodes的一个观点，VSE主要的目的是保护企业，有哪个企业会像我们个人一样，整天地下载一些绿色破解软件玩呢？又有哪个企业会时不时的关闭规则去安装来历不明的软件呢？
      所以，个人建议，个人使用VSE的时候，不妨加一个金山卫士，无论是下载的时候，还是安装软件的时候，关闭咖啡的规则时候记得联网开启金山卫士。国产的云还是很强大的，拿不准的就上传，云技术对于使用VSE的人来说或许真是必不可少的。

liangxy

金山卫士对于白加黑也不咋地吧？

GreenCodes

liangxy 发表于 2012-12-17 12:12
金山卫士对于白加黑也不咋地吧？

主要是利用国产云的压缩包鉴定

shiyuelaohu

liangxy 发表于 2012-12-17 12:12
金山卫士对于白加黑也不咋地吧？

对付已知的白加黑还是很不错的，毕竟白加黑的数量是比较有限的，云端验证的压力不大。

GreenCodes

shiyuelaohu 发表于 2012-12-17 13:36
对付已知的白加黑还是很不错的，毕竟白加黑的数量是比较有限的，云端验证的压力不大。

话说为啥不上传咖啡呢？咖啡的杀毒模块总是被忽视，其实只要上报，咖啡的云不错的，布防快

shiyuelaohu

GreenCodes 发表于 2012-12-17 17:38
话说为啥不上传咖啡呢？咖啡的杀毒模块总是被忽视，其实只要上报，咖啡的云不错的，布防快

金山的比较方便些，往往在下载的时候就能检测了。

GreenCodes

shiyuelaohu 发表于 2012-12-17 19:06
金山的比较方便些，往往在下载的时候就能检测了。

咖啡不能么，勾选扫描压缩包不就结了

shiyuelaohu

GreenCodes 发表于 2012-12-17 19:07
咖啡不能么，勾选扫描压缩包不就结了

个人版咖啡将月神调到最高后可以秒掉黑dll，而企业版确不行，具体原因我也不明白。记得饭友袋鼠吱吱曾经说，企业版将月神调到最高，也就只有个人版默认的启发水平。

qpzmggg999

咖啡在安装未知程序时候 就需要用户精明判断了 我用vse时候最怕不是超级大病毒 而是我自己把一个小病毒排除了  所以我才喷规则的 --——（我会说曾经就排除病毒了然后就杯具了吗？）

shiyuelaohu

qpzmggg999 发表于 2012-12-17 19:40
咖啡在安装未知程序时候 就需要用户精明判断了 我用vse时候最怕不是超级大病毒 而是我自己把一个小病毒排除 ...

是需要精确的判断，这到底是由企业环境决定的。