查看: 37009|回复: 120
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
qftest
发表于 2014-3-1 09:55:38 | 显示全部楼层 |阅读模式
本帖最后由 qftest 于 2014-3-28 11:44 编辑

首先感谢 @lorchid、@a256886572008、@大猫熊、@jxfaiu、@墨池、@qpzmggg999、@jml521m、@柯林、@BuddhaBless、@蓝核、@墨家小子、@jone_jys、@马云波波波、@darkwolf_99、@w99308702 ...的讨论和分享





2楼:VSE默认规则

3楼:VSE自定义规则

4楼:COMODO规则

5楼:实战dll远控、注入锁屏、QQ粘虫和纯破坏恶性病毒

6楼:规则下载地址与更新日志等

11楼:Win8x64 咖啡豆基础规则实战1dsve2wefd.exe

16楼:COMODO D+ 跟踪1dsve2wefd.exe 动作

30楼:VSE规则实战1dsve2wefd.exe

92楼:VSE规则实战1844534592.avg.exe 等三只木马

99楼:规则更新,实战fiqo.exe、JR.exe及蠕虫ho.exe

102楼:实战盗号QQ名片赞王.exe


若未特别说明,本帖楼主所有测试均关闭月神、关闭“阻止对共享资源的读写访问”、关闭“禁止远程创建/修改可执行文件和配置文件”、关闭Sandbox、关闭云扫描
所有测试数据真实可重现,欢迎验证



规则简介及声明:

1、系统环境:Win8x64企业版+VSE8.8p4+CFW5.12

2、本规则已清除楼主的所有自用软件信息,无清理压力

3、COMODO规则基于COMODO Proactive Security(CPS)修改,默认关闭Sandbox,启用了增强保护,增加自定义注册表与COM接口和脚本拦截、端口拦截等,重视防注入防加驱防远控,建议使用安全模式

4、VSE规则信任区合理、排除量少,重视防范系统程序被利用,重视防远控

5、分享规则只为爱好者相互交流,由您个人自行判断并承担使用时可能的不当操作及潜在的程序BUG等所有风险,分享者不承担任何责任

评分

参与人数 6魅力 +1 人气 +7 收起 理由
fireold + 1 版区有你更精彩: )
心跳回忆 + 1 精品文章
大猫熊 + 3 版区有你更精彩: )
jml521m + 1 版区有你更精彩: )
jxfaiu + 1 感谢分享

查看全部评分

qftest
 楼主| 发表于 2014-3-1 09:58:04 | 显示全部楼层
本帖最后由 qftest 于 2014-3-28 11:47 编辑

默认规则:


《防间谍程序标准保护》

规则名称:保护Internet Explorer收藏夹和设置
要包含的进程:*
要排除的进程:*\**\COMODO\**, *\**\McAfee\**, C:\Program Files**\Internet Explorer\iexplore.exe, C:\Windows\explorer.exe, C:\windows\system32\DllHost.exe
阻挡


《防间谍程序最大保护》

规则名称:禁止安装新的 CLSID、APPID 和 TYPELIB
(除了CC等清理工具之外最好不要排除)
要包含的进程:*
要排除的进程:
阻挡

规则名称:禁止所有程序从 Temp 文件夹运行文件
要包含的进程:*
要排除的进程:*\**\McAfee\**
阻挡、报告

规则名称:禁止从 Temp 文件夹执行脚本
要包含的进程:?script.exe
要排除的进程:无
阻挡、报告


《防病毒标准保护》

规则名称:禁止禁用注册表编辑器和任务管理器
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:禁止更改用户权限策略
(如果不使用本地登录可以不排除C:\windows\system32\lsass.exe)
要包含的进程:*
要排除的进程:
阻挡、报告

规则名称:禁止远程创建/修改可执行文件和配置文件
(最好不要排除rundll32.exe,尽量纯路径)
要包含的进程:*
要排除的进程:*\**\COMODO\**, *\**\McAfee\**, *\**\Microsoft.NET\**, C:\Windows\explorer.exe, C:\windows\servicing\TrustedInstaller.exe, C:\windows\System32\cleanmgr.exe, C:\windows\System32\Conhost.exe, C:\windows\system32\consent.exe, C:\windows\system32\DllHost.exe, C:\windows\system32\findstr.exe, C:\windows\system32\LogonUI.exe, C:\windows\system32\lsass.exe, C:\windows\system32\mcbuilder.exe, C:\Windows\System32\mmc.exe, C:\windows\system32\msiexec.exe, C:\windows\system32\NOTEPAD.EXE, C:\windows\system32\NotificationUI.exe, C:\windows\system32\services.exe, C:\windows\system32\sppsvc.exe, C:\windows\System32\svchost.exe, C:\windows\system32\taskeng.exe, C:\windows\system32\taskhost.exe, C:\windows\system32\taskhostex.exe, C:\windows\system32\wbem\WMIADAP.EXE, C:\windows\system32\winlogon.exe, C:\windows\SysWOW64\NOTEPAD.EXE, C:\windows\WinStore\WSHost.exe, C:\windows\winsxs\*\TiWorker.exe, System
阻挡

规则名称:禁止远程创建自动运行文件
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:禁止拦截 .EXE 和其他可执行文件扩展名
(除了CC等清理工具之外最好不要排除)
要包含的进程:*
要排除的进程:
阻挡、报告

规则名称:禁止伪装 Windows 进程
要包含的进程:*
要排除的进程:
阻挡

规则名称:禁止群发邮件蠕虫发送邮件
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:禁止 IRC 通信
要包含的进程:*
要排除的进程:无
阻挡

规则名称:禁止使用 tftp.exe
要包含的进程:*
要排除的进程:无
阻挡


《防病毒最大保护》

规则名称:禁止 Svchost 执行非 Windows 可执行文件
要包含的进程:Svchost.exe
要排除的进程:
(不阻挡不报告,除非系统没有安装别的软件)

规则名称:保护电话簿文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:C:\Program Files**\Internet Explorer\iexplore.exe
阻挡

规则名称:禁止更改所有文件扩展名的注册
(除了CC等清理工具之外最好不要排除)
要包含的进程:*
要排除的进程:
阻挡、报告

规则名称:保护缓存文件免受密码和电子邮件地址窃贼的攻击
要包含的进程:*
要排除的进程:C:\Program File**\Internet Explorer\iexplore.exe, C:\windows\system32\taskhostex.exe
阻挡


《防病毒爆发控制》

阻止对所有共享资源的读写访问

规则名称:将所有共享项设为只读
要包含的进程:*
要排除的进程:*\**\COMODO\**, *\**\McAfee\**, *\**\Microsoft.NET\**, C:\Program Files**\**, C:\Windows\**.exe, System
阻挡、报告

规则名称:阻止对所有共享资源的读写访问
要包含的进程:system:remote
要排除的进程:无
阻挡、报告


《通用标准保护》

规则名称:禁止修改 McAfee 文件和设置
要包含的进程:*
要排除的进程:*\**\McAfee\**
阻挡

规则名称:禁止修改 McAfee Common Management Agent 文件和设置
要包含的进程:*
要排除的进程:*\**\McAfee\**
阻挡

规则名称:禁止修改 McAfee 扫描引擎文件和设置
要包含的进程:*
要排除的进程:*\**\McAfee\**
阻挡

规则名称:保护 Mozilla 及 FireFox 文件和设置
要包含的进程:*
要排除的进程:
阻挡、报告

规则名称:保护 Internet Explorer 设置
要包含的进程:*
要排除的进程:C:\Program File**\Internet Explorer\iexplore.exe
阻挡

规则名称:禁止安装 Browser Helper Objects 和 Shell Extensions
(除了CC等清理工具之外最好不要排除)
要包含的进程:*
要排除的进程:
阻挡、报告

规则名称:保护网络设置
(如果不是手动修改hosts文件最好不要排除)
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:禁止公用程序从 Temp 文件夹运行文件
要包含的进程:chrome.exe, cmd.*, eudora.exe, explorer.exe, firefox.exe, iexplore.exe, MAPISP32.exe, mozilla.exe, msimn.exe, msn6.exe, msnmsgr.exe, neo20.exe, netscp.exe, nlnotes.exe, opera.exe, outlook.exe, Owstimer.exe, packager.exe, pine.exe, poco.exe, RESRCMON.EXE, SPSNotific*, thebat.exe, thunde*.exe, VMIMB.EXE, WinMail.exe, winpm-32.exe, winrar.exe, winzip32.exe
要排除的进程:无
阻挡、报告

规则名称:在 Internet Explorer 中禁用 HCP URL
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:Prevent hooking of McAfee processes
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:防止终止 McAfee 进程
要包含的进程:*
要排除的进程:无
阻挡


《通用最大保护》

规则名称:禁止将程序注册为自动运行
要包含的进程:*
要排除的进程:
阻挡、报告

规则名称:禁止将程序注册为服务
(不要排除System,如果不使用共享可以不排除explorer.exe)
要包含的进程:*
要排除的进程:C:\WINDOWS\SYSTEM32\services.exe, C:\WINDOWS\SYSTEM32\svchost.exe
阻挡

规则名称:禁止在 Windows 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe, C:\Windows\Microsoft.NET\Framework64\**\mscorsvw.exe, C:\Windows\Microsoft.NET\Framework\**\mscorsvw.exe, C:\Windows\SoftwareDistribution\Download\**\update\update.exe
阻挡、报告

规则名称:禁止在 Program Files 文件夹中创建新的可执行文件
要包含的进程:*
要排除的进程:C:\Program Files (x86)\McAfee\Common Framework\FrameworkService.exe, C:\Program Files (x86)\McAfee\Common Framework\McScript_InUse.exe
阻挡、报告

规则名称:禁止从 Downloaded Program Files 文件夹启动文件
要包含的进程:*
要排除的进程:无
阻挡、报告

规则名称:禁止 FTP 通信
要包含的进程:*
要排除的进程:无
阻挡

规则名称:禁止 HTTP 通信
要包含的进程:*
要排除的进程:cfp.exe, cfpupdat.exe, cmdagent.exe, dashost.exe, Explorer.EXE, FireSvc.exe, FrameworkService.exe, iexplore.exe, mcsacore.exe, McScript_InUse.exe, mcshield.exe, odscanui.exe, seccenter.exe, SettingSyncHost.exe, svchost.exe, taskhost.exe, WSHost.exe, WWAHost.exe
阻挡


《虚拟机保护》

规则名称:防止终止 VMWare 进程
要包含的进程:*
要排除的进程:C:\windows\system32\taskmgr.exe
阻挡、报告

规则名称:禁止修改 VMWare Workstation 文件和设置
要包含的进程:*
要排除的进程:*\**\VirtualBox\**, *\**\VMWare\**
阻挡、报告

规则名称:禁止修改 VMWare Server 文件和设置
要包含的进程:*
要排除的进程:*\**\VirtualBox\**, *\**\VMWare\**
阻挡、报告

规则名称:禁止修改 VMWare 虚拟机文件
要包含的进程:*
要排除的进程:*\**\VirtualBox\**, *\**\VMWare\**
阻挡、报告
qftest
 楼主| 发表于 2014-3-1 09:58:49 | 显示全部楼层
本帖最后由 qftest 于 2014-3-28 11:28 编辑

自定义规则:


规则名称:01 调用系统程序
要包含的进程:*
要排除的进程:*\**\COMODO\**, *\**\McAfee\**, *\**\Microsoft.NET\**, C:\Program Files**\Internet Explorer\iexplore.exe, C:\Windows\**.exe
要阻止的文件或文件夹名:C:\Windows\**.exe
要禁止的文件操作:读、执行
阻挡、报告



规则名称:02 调用IE浏览器
要包含的进程:*
要排除的进程:*\**\COMODO\**, C:\Program Files**\Internet Explorer\iexplore.exe, C:\Windows\**.exe
要阻止的文件或文件夹名:C:\Program Files**\Internet Explorer\iexplore.exe
要禁止的文件操作:读、执行
阻挡、报告

qftest
 楼主| 发表于 2014-3-1 10:02:41 | 显示全部楼层
本帖最后由 qftest 于 2014-3-19 10:25 编辑

COMODO规则:


D+规则新增自定义注册表保护键(提取修改自PC Hunter):



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
qftest
 楼主| 发表于 2014-3-1 10:21:53 | 显示全部楼层
本帖最后由 qftest 于 2014-3-1 10:30 编辑

实战dll远控、注入锁屏、盗号木马和纯破坏恶性病毒

以下测试均关闭了月神实时监控




dll远控http://bbs.kafan.cn/thread-1689310-1-1.html






禁运党就是酱紫




注入锁屏http://bbs.kafan.cn/thread-1627033-1-1.html




正常入沙




锁屏样本启动失败




COMODO双击后自动云查毒




尝试关闭COMODO D+和Sandbox,结果。。。忘记关大招“阻止对所有共享资源的读写访问”和09规则




来张合影




QQ粘虫http://bbs.kafan.cn/thread-1691310-1-1.html




又是09




关大招和09,自动入沙




干脆放行VSE访问保护规则,看看COMODO的表现




小动作真不少














木马报告运行出错





纯破坏病毒http://bbs.kafan.cn/thread-1689704-1-1.html








正常双击,禁运、入沙、云查,一样样的来,必须启动失败啊。。






关大招+关Sandbox,虽然云查但仍然被锁屏了,蓝色的背景+中间一个框,什么都点不了






强行重启后正常进入桌面,查看之前的拦截记录,原来咖啡豆在后台这么忙啊




换个姿势再来一次




正常重启后查看之前的记录






测试结束,所测样本均未对系统造成破坏


平时正常使用时自然是所有功能全开,包解压后月神先扫一次,如果月神被过了就只好指望双击三板斧(规则禁运、自动云查、Sandbox),就算过了前两招也很难过D+Sandbox。。。不会这么背吧!不管怎么说,平时小心些总没错。。



本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1人气 +1 收起 理由
墨家小子 + 1 版区有你更精彩: )

查看全部评分

qftest
 楼主| 发表于 2014-3-1 10:27:10 | 显示全部楼层
本帖最后由 qftest 于 2014-3-28 11:43 编辑

更新日志:

2014.3.1 卡饭首发
2014.3.6 更新
2014.3.8 更新
2014.3.19 更新
2014.3.28 最终更新

根据样本区及毒网挂马区测毒180余只的实战情况,3.28规则包作出以下调整:

(VSE部份)
自定义规则精简至仅剩两条,大量简化了VSE排除量

(COMODO部份)
根据组合的特点深度微调D+规则,对日常使用时的弹窗干扰大幅减少
加强了COM接口与注册表监控,现在可以有效防止伪装安装硬件、注册表载入的加驱方法
开启云扫描,双击时发现病毒会自动阻止


专为咖啡豆组合设计的规则包调试至今已基本完成,应该不会再更新了



规则下载:



愿天下无毒,平平安安



PS.

1、使用本规则前请先确认系统干净无毒,导入规则后应关闭拦截并开启报告根据具体情况排除进程,调试至系统稳定运行后再开启拦截

2、导入COMODO配置文件后应及时修改防火墙“网络区域-->DNS服务器地址”设置为本地DNS避免延迟,详情请参阅“COMODO防火墙安简规则”

3、COMODO排除VSE只需添加McAfee签名为信任软件商即可,VSE排除COMODO需要排除“C:\Program Files\COMODO\”和“C:\ProgramData\Comodo\”




咖啡豆,你值得拥有~


(部份参考资料)

1、COMODO防火墙安简规则:http://bbs.kafan.cn/thread-792209-1-1.html
2、McAfee8.8默认规则详解:http://bbs.kafan.cn/thread-964518-1-1.html
3、COMODO清空“信任软件供应商”的方法:http://bbs.kafan.cn/thread-1338541-1-1.html
4、COMODO双击时自动云扫描,遇到病毒会提示,并且结束病毒进程:http://bbs.kafan.cn/thread-1117362-1-1.html
5、McAfee企业版修改三条默认规则的含义与价值:http://bbs.kafan.cn/thread-1564902-1-1.html
...

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
发表于 2014-3-1 14:11:24 | 显示全部楼层
qftest 发表于 2014-3-1 10:21
实战dll远控、注入锁屏、盗号木马和纯破坏恶性病毒

以下测试均关闭了月神实时监控

求别云杀,测试一下这个:http://bbs.kafan.cn/thread-1678903-1-1.html
还有这个:http://bbs.kafan.cn/thread-1653283-1-1.html
墨家小子
发表于 2014-3-1 14:13:12 | 显示全部楼层
Miostartos
发表于 2014-3-1 14:23:28 | 显示全部楼层
看不懂~~~~
这个也只能8下面用吧。。是5.12的毛豆?貌似不能在8.1下面用?
qpzmggg999
发表于 2014-3-1 14:42:21 | 显示全部楼层
支持一下,只怕这样玩咖啡,会阻止系统更新啊。

而且像 控制exe这种 纯禁运规则

实际生活中 应该是 弊大于利啊

个人观点,此规则适合发烧病毒实验者使用

至于毛豆,我已经放弃v5了,不做评论
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-3-28 23:45 , Processed in 0.136305 second(s), 18 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表