查看: 6216|回复: 50
收起左侧

[讨论] 【咖啡之缘】-----分叉规则处理

[复制链接]
依班娜
发表于 2013-9-14 22:04:56 | 显示全部楼层 |阅读模式
【与咖啡相识】
  咖啡历来是人们口中的神器。不过,大部分时候,咖啡真的只是“口中”的神器罢了,并没有很多人真正愿意去琢磨研究咖啡的。
  于是咖啡便处在有点尴尬的位置,许多人爱“远观”却不敢“亵玩”。
  最早的时候,我只知道防火墙与HIPS有规则之说,并对此非常着迷,软件们可以像犯人一样被我限制和指挥。某次偶然查到咖啡也是有规则的,我便十分好奇,想要一探究竟,这便是缘之始。
  通常咖啡的标签总是“无敌”“百毒不侵”之类的,不过在我看来,“神器”“好用”是真,“无敌”云云,实不敢苟同。
  后来用了之后,发现access protection组件应该是属于HIPS类的。AP大约是很早的HIPS,当时的令人震惊和名气一直流传至今,以至于人云亦云了?
  AP虽然不是神,但是是神器。
【浅说AP特性】
  AP主打的防御肯定是FD,这一点是毋庸置疑的。一般情况下,把FD做得很完善,对很大一部分的病毒来说是可以有效防御的,HIPS曾经有过纯FD的规则,可见一斑。
  实际上,在任何HIPS中FD也是主要组成部分,AD的一些内容FD也可实现。如禁加载DLL,分为读DLL,加载DLL,通过FD的禁读,可以同样防御住。
  AP中的FD历来是被使用者称道为细腻的,但我却不那么认为,各大HIPS都比AP要细腻些,举个例子:AP无法使某一文件夹下除了1.TXT文件以外的文件被禁读,而其他HIPS基本都可以做到(有FD的)。
相信这也是令咖啡迷们十分遗憾的一点吧。解决的方法有两个,一个是建立有明确优先级和允许的规则框架,另一种则是另目标文件夹带上排除,。第一种大约会令很多人觉得不习惯,而第二种则是大家都希望有的。
  由此可以看出,第一,AP只有阻止。第二,AP没有想象当中那么细腻。
  那么,AP的优点何在?
  愚以为是方便,方便在进程的统一管理,AP重点“包含的进程”“排除的进程”一直都是我很欣赏的,这可以让规则简洁很多,其他的HIPS需要数条才做到的,AP可以汇成一条。
  RD,ND都一样,不再多言。
【AP的分支构架】
  这样的方便,何不利用?
  建议做一个自定义体系的时候,使用分支性的规则构架会显得比较清晰。即对于某一目标文件夹下(及其所有的子文件和子文件夹),有不同的进程要加到排除,重新再写一条,为其分支规则。
如:
  名称:主干
包含:*
排除:
目标:D:\123\**
动作:创,写,删
其中的1.exe对d:\123\4\**有不同的动作(不管多还是少),要加到排除,再写一条。
名称:主干
包含:*
排除:1.exe
目标:D:\123\**
动作:创,写,删

  名称:分支1:1.exe
包含:1.exe
排除:
目标:D:\123\4\**
动作:创,写,删,读

像这样,而不是:
名称:主干
包含:*
排除:
目标:D:\123\**
动作:创,写,删

  名称:1.exe
包含:1.exe
排除:
目标:D:\123\4\**
动作:读

有时候分支主程序为一个文件夹下的时候,应当写一个禁创规则,保护这个文件夹不被创建。
这样在命名的时候要写好名称,只有目标递减,排除相关的才算分支,在分支中仍可再分支,当主干改动的时候,分支也应当主要修改。
【浅说AP的配合】
  AP我选择了MD做搭档,MD是相当优秀的,可以独当一面了,但是MD和AP却是少见的没有冲突的组合,而且MD和AP也有可以配合互补的地方,重复的地方虽然看起来很多,互补仍然是有价值的。
  AP可防system和远程,RD比MD略微精细点。MD有AD和较好的ND,FD更加细腻,还有ARK工具可以手杀。
MD与AP的体系也是有很大不同的,以MD的细腻可以很好地和AP贴合。AP做临时规则和MD做临时规则可以有火力交叉。
MD对系统进程是外设的,优先级别高,时而方便时而麻烦,而AP则是没有这个规矩,同样时而方便时而麻烦,这样还可以互补。
AP对于未知进程和MD的方式不大一样,这也可互补。
【AP测毒规则】
这个才做了一点,几乎纯监听,最多防破坏,一定要虚拟机来测……

评分

参与人数 1经验 +30 人气 +2 收起 理由
心跳回忆 + 30 + 2

查看全部评分

XywCloud
发表于 2013-9-14 22:13:42 | 显示全部楼层
小白学习中,,,
依班娜
 楼主| 发表于 2013-9-14 22:14:24 | 显示全部楼层
XywCloud 发表于 2013-9-14 22:13
小白学习中,,,

少装,黑我呢?
XywCloud
发表于 2013-9-14 22:14:54 | 显示全部楼层
依班娜 发表于 2013-9-14 22:14
少装,黑我呢?

我是小白!我是小白!!我是小白!!!
依班娜
 楼主| 发表于 2013-9-14 22:16:25 | 显示全部楼层
XywCloud 发表于 2013-9-14 22:14
我是小白!我是小白!!我是小白!!!

嘿,信不信我叫人了啊
XywCloud
发表于 2013-9-14 22:17:15 | 显示全部楼层
依班娜 发表于 2013-9-14 22:16
嘿,信不信我叫人了啊

你叫啊,你叫啊~
jml521m
发表于 2013-9-14 22:18:21 | 显示全部楼层
对这个关于AP 的称呼,别看我搞规则这么多年,还是首次看到这样的表现方式,
不得不说的是,vse的规则也就是AP  FD规则某些方面确实比HIPS软件强大,这是优点,无可厚非的,用着安心才是实质的,不过先告知的是MD基本上是无法在虚拟机里实现的,老的机器也是你可以的,新的奔腾,赛扬系统cpu也是不可以的......
依班娜
 楼主| 发表于 2013-9-14 22:20:35 | 显示全部楼层
jml521m 发表于 2013-9-14 22:18
对这个关于AP 的称呼,别看我搞规则这么多年,还是首次看到这样的表现方式,
不得不说的是,vse的规则也就 ...

有个怪癖,喜欢各种缩写
jml521m
发表于 2013-9-14 22:24:29 | 显示全部楼层
依班娜 发表于 2013-9-14 22:20
有个怪癖,喜欢各种缩写

你的表达方式真的不好理解,其实禁读,和删除 就够了,其他的是多余, 用你的规则防C:\Users\**  这个还差不多,这是我的意见....
墨家小子
发表于 2013-9-14 22:34:12 | 显示全部楼层
我用墨大和qpzmggg999的规则测试了好多锁屏类样本,发现只要做好启动项防御跟启动项文件夹写入防护就行了,至于开启摄像头,截屏,键盘记录什么的还是交代SSF吧。
咖啡的一条禁止temp文件夹启动程序足以秒杀N多木马了,再加上启动项写入防护,驱动服务防护,层层的防御,木马即使利用系统程序跑起来也会被 禁止将程序注册为自动运行 禁止将程序注册为服务 阻止对所有共享资源的读写访问 这些霸道的规则kill掉的。更别提封锁exe dll sys这样变态的拦截。
所以说,不同咖啡的规则好与差就目前来看不是拦截强度,而是对系统使用者干预的越少越好。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 21:39 , Processed in 0.134864 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表