关于OURAN关于咖啡规则是否完全有效的一个小试验的疑问

yexiaofan1

首先，我算是个菜鸟，如果我提的问题有什么菜鸟级别的情况出现还请各位不要笑我...当然如果我的看法完全如同垃圾的话请斑竹54我把它删除了吧
       其次，我不是特意拆OURAN的台的，我只是有些疑问而已，没有恶意的
       首先问题1：原话“咖啡８．５的规则对于关机的时滞后于咖啡进程结束的程序无效，病毒完全可以在关机瞬间写入启动项和创建文件．“我想如果一个程序运行的话只有两种情况出现，要么被阻止，要么被允许运行，如果说被阻止的话，它又要如何等到咖啡关了以后修改系统呢？而如果允许运行的话，我们知道程序一般来说都只执行一遍预定的动作而如果哪个动作被咖啡阻止的话，它又要如何等待咖啡关了以后再修改系统呢？？
        问题2：原话“咖啡８．５的规则对于优先于他启动的病毒木马可能无效“关于这点我一直有个想不明白的地方...既然病毒有办法能够优先于咖啡启动，那为什么咖啡公司不用病毒所使用的那种技术...使咖啡能更早一步启动呢.......
       以上是我的一些个人见解...再重申一遍....我不是对OURAN怀有恶意...希望不会被人排砖........当然，我也没有对咖啡的规则迷信....

[ 本帖最后由 yexiaofan1 于 2007-6-27 11:07 编辑 ]

yexiaofan1

话说怎么没人 ...难道真的出现了什么菜鸟 级别的漏洞了吗...

小邪邪

咖啡的访问保护在关闭时也有一种“滞后”效应，在关闭访问保护后它不会立即失效


即使到了关机的最后时刻，咖啡的保护仍然起着作用
这个我是试过的，所以无须担心这个

yashoo

回答第二个问题：
       咖啡公司有这种技术的，连江民都有个叫做BOOTSCAN的
       有个软件叫做pre-scan，是咖啡公司出的，需要在EPO的协调下远程控制客户机重启并进入DOS状态下杀毒，这是先于8.5I启动的

[ 本帖最后由 yashoo 于 2007-6-27 11:57 编辑 ]

ouran

刚看到这个帖子
我想说明的是
一.先有计算机病毒,后有防病毒软件,先有攻击技术,后有防护技术,比如,你用咖啡7.0来应付现在日趋广泛的威胁,可能没有8.5那样自如,而8.5出现之后的一年来,出现了新的攻击技术,恶意程序普遍修改的注册表键值,在默认的规则中是没有的,你还得不断调整,才能应付威胁,谁前谁后,不是很清楚吗?

二.你再严密的规则也阻止不了恶意程序的所有行为,只要你敢运行它.即使压制运行,尽管能够看到它阻止了explorer.exe这个用户级别的进程执行文件.要知道,计算机的进程不只是用户级别的

三.你说的程序"运行如果说被阻止的话，它又要如何等到咖啡关了以后修改系统呢",请问,你为什么阻止这个程序呢?因为你知道它是病毒,如果信任这个程序,你还阻止它吗?比如我u盘上的sreng.已经被文件型病毒感染,我的朋友认定它是一个检测程序,而在规则中许可并运行了它,后果如何?还有,你的咖啡规则可能阻止常见的的启动项!而不是所有!

四.如果程序运行了,你确实通过规则阻止了它的特定行为,但是它仍然在系统进程中,如果有足够的权限,在关机瞬间怎能没有动作?

最后,要试验一下的话,请你运行病毒区足够多的样本,本人是在虚拟机中试过了多次了
这样,或许你会对病毒技术和反病毒技术有更加深刻的了解,对咖啡有了更准确的认识

补充一点:即使hips,也不能阻止所有的病毒,有些病毒能够突破虚拟机,更不要说没有ad的咖啡了
所以我说不是完全有效!

[ 本帖最后由 ouran 于 2007-8-2 19:26 编辑 ]

TZW

我来说一下咖啡，它的防搧　能力关建是什么样的规则，我的规则比较严，网页木马没有运行的机会，在规则外的不能向C盘写入和删除文件，不能修改注册表的任何项、值等内容。不能自动运行EXE，DLL文件。是没有一个杀软能100%的防护，但我觉得咖啡现有杀软中最强的。

zongkai

对我来说，咖啡是相对来说使用得最顺手的