查看: 3148|回复: 13
收起左侧

[求助] 求测试,McAfee规则的坚固程度,32位系统的同学进

[复制链接]
大猫熊
发表于 2011-4-26 00:10:13 | 显示全部楼层 |阅读模式
本帖最后由 sandyyangjie 于 2011-4-26 19:29 编辑

今天本来想测试一下McAfee规则的坚固程度,因为这涉及到一个根本问题:在已经中毒,且病毒加载了驱动的情况下,McAfee的自我保护和规则能否继续有效保护电脑。如果可以,那么规则发挥的空间就会非常非常大,因为即使病毒侥幸运行起来,也有N种办法限制它,但如果病毒运行起来就可以把McAfee的进程终止掉,那一切都无从谈起,只能严防入口(信任区+良好使用习惯)了。
我本来下载了很多论坛里面的安全辅助工具,想要进行实验,可惜我的系统是Win7 SP1 64位,能支持的工具寥寥无几,大多都是驱动加载不上,无法测试,所以现在想请论坛有条件的朋友试试看~~

测试条件:

1. 一个可以顺利运行辅助工具的操作系统,XP的32位估计是最兼容的,Vista和Win7的32位应该也行。
2. 一款辅助工具,最好能加载些驱动,有较高权限的,至少包括进程管理或文件管理的功能。可以参考http://bbs.kafan.cn/thread-468300-1-1.html
3. McAfee企业版8.8,无其他干扰规则(可以禁用现有的防护规则,编写以下指定的规则),对辅助工具做排除以防McAfee把其当病毒杀掉了。

测试方法如下:

1. 将“通用标准保护”下的前三条规则(关于McAfee的)以及最后一条“防止终止McAfee进程”中的“排除进程”清空(先拷贝到一个文本文档里,测试完毕后还原)
2. 在D盘创建一个文件夹test,在里面新建或者拷进一个文件,随便什么都行,这个用于之后的删除测试。
3. 编写一条规则,如下:
类型:文件/文件夹规则
规则名称:禁止删除测试文件
包含进程:*
排除进程:
阻止的行为:创建、执行、写入、删除(不用勾选“读取”)
4. 打开访问保护功能
5. 运行辅助工具,加载所有驱动完成后,终止mcshield.exe进程,如果有强行终止等BT措施也试试,然后截图
6. 利用文件管理功能,定位到D:\test文件夹,找到你刚才新建或者拷入的文件,选择删除/强力删除/擦除等BT的措施,然后截图
7. 得出结论,发帖。

发帖建议格式:

测试工具:*
系统:* ??位
终止进程测试:成功/失败,截图如下
[截图]
文件删除测试:成功/失败,截图如下
[截图]


说明:

1. 无论你测试终止进程还是文件删除都行,两个都测试更好,必需有截图
2. 无论最后McAfee有没有通过测试,按上述过程进行测试并按格式汇报结果,将获得10经验的加分
3. 已经被测试过的辅助工具不用重复测试,重复测试不会加分

希望大家能一起测试,把这个问题弄清楚,看看McAfee规则的坚固程度到底如何~~
jone_jys
头像被屏蔽
发表于 2011-4-26 00:30:22 | 显示全部楼层
呵呵,简直就是蹂躏咖啡了。。。
友情顶起。。。
DDT12345678
发表于 2011-4-26 02:00:25 | 显示全部楼层
本帖最后由 DDT12345678 于 2011-4-26 02:01 编辑

87准备换88的
等着看结果
墨池
发表于 2011-4-26 07:50:04 | 显示全部楼层
本帖最后由 墨池 于 2011-4-26 08:41 编辑

测试工具:IceSword122cn(冰刃)
系统:32位,XP
一、终止进程测试:失败,截图如下
结束mcshield.exe进程(忘了删除排除,更能说明问题):

控制台几秒钟变化:

mcshield.exe进程正常存在:

二、文件删除测试(删除咖啡文件):成功,截图如下
删除McTray.exe(已经删除规则中的所有排除,也更能说明问题):

删除成功(触动规则不少,但文件的确不见了):

修复安装后文件成功恢复(说明咖啡自我修复能力很强):

三、文件删除测试(删除测试文件):成功,截图如下
删除前:

删除后:


结论:
        1、咖啡自我进程保护很强;
        2、咖啡自我文件与设置保护不强,但自我修复能力很强;
        3、咖啡文件保护规则扛不住冰刃工具对文件的删除。

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x

评分

参与人数 1经验 +20 收起 理由
大猫熊 + 20 感谢解答: )

查看全部评分

墨池
发表于 2011-4-26 08:48:09 | 显示全部楼层
本帖最后由 墨池 于 2011-4-26 08:58 编辑

版主这个测试虽然麻烦,意义非常啊!我的感受是:要想带毒不中毒,单凭规则很难做到,的确需要干净PC、缜密的入口防御或良好习惯。几年未用冰刃了好不容易才找出来的,原来试过,能扛住冰刃文件删除的杀软我还没见过,毛豆没试过。
墨池
发表于 2011-4-26 09:12:27 | 显示全部楼层
本帖最后由 墨池 于 2011-4-26 09:16 编辑

哈哈,毛豆也防不住冰刃删除文件,刚试的。难道冰刃可以横扫?未知病毒比之冰刃如何。咖啡在冰刃下能自保进程和瞬间修复文件已经相当牛了!这个还是备受鼓舞的!
bighead
发表于 2011-4-26 09:53:15 | 显示全部楼层
墨池果然是牛人啊,敬佩
大猫熊
 楼主| 发表于 2011-4-26 10:22:33 | 显示全部楼层
墨池 发表于 2011-4-26 09:12
哈哈,毛豆也防不住冰刃删除文件,刚试的。难道冰刃可以横扫?未知病毒比之冰刃如何。咖啡在冰刃下能自保进 ...

感谢测试!~~那个删除的规则你是只勾选了删除还是都选了?~~删除的时候触犯了哪些规则呢?~~
墨池
发表于 2011-4-26 11:06:36 | 显示全部楼层
本帖最后由 墨池 于 2011-4-26 11:16 编辑
sandyyangjie 发表于 2011-4-26 10:22
感谢测试!~~那个删除的规则你是只勾选了删除还是都选了?~~删除的时候触犯了哪些规则呢?~~


读取外都选了,“要阻止的文件或文件夹”分别为*、**、**\test\**、绝对路径文件,都防不住。终止进程时,规则没反应。删除文件时,版主列的五条规则除“防止终止 McAfee 进程”外都触犯到了(大部分跟删除测试文件无关,主要是冰刃触犯咖啡自保规则),资源管理器删除能防住,冰刃就是没防住,毛豆也一样,最牛的拦截也防不住。哈哈。。。。
大猫熊
 楼主| 发表于 2011-4-26 11:13:19 | 显示全部楼层
墨池 发表于 2011-4-26 11:06
读取外都选了,“要阻止的文件或文件夹”分别为*、**、**\test\**、绝对路径文件,都防不住。终止进程时, ...

嗯。。。看来规则的权限没有想象的那么高。。。~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-24 21:16 , Processed in 0.132061 second(s), 19 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表