也来说说McAfee8.8的“按访问扫描”和“访问保护”。。。

大猫熊

busihou 发表于 2011-8-2 13:02
HIP8.0比VSE8.8还难搞
过几天发布HIP8.0工具,有空试一下

期待8.0工具～～

jone_jys

busihou 发表于 2011-8-2 13:39
我给你看张图就知道了8.7和8.8我没区别

呵呵 ，原来右下角多了两面小红旗哈。。。

jone_jys

咖啡企业版真的老了，急需改进了。。。

除了规则还能有什么呢？唯一还有的就只剩下特征码了。。。

可规则太死板了，而且不具备前瞻性，根本不具备所谓主动的概念。。。

大猫熊

jone_jys 发表于 2011-8-12 22:55
咖啡企业版真的老了，急需改进了。。。

除了规则还能有什么呢？唯一还有的就只剩下特征码了。。。

这个是给大企业用的，如果还需要人来判断就没用了。。。如果企业要制定什么规则，下面根本没有任何排除余地。

有时候，不需要那么“智能”和“主动”，制定正确的规则，用正常的软件，就行了，把防御交给软件，把清净还给用户。

不过，规则的确需要加强，文件、注册表和端口防护远远不够。不过现在已经有进程防护的苗头了。其他下一版！

jone_jys

alexyangjie 发表于 2011-8-12 23:01
这个是给大企业用的，如果还需要人来判断就没用了。。。如果企业要制定什么规则，下面根本没有任何排除余 ...

比较智能的主防还是不错的说，，，

因为今天手动更新的时候还需要关闭“访问保护”才能安装成功，所以才有此感慨。。。

即使用邪版的通用规则也还是不能安装更新，所以说单靠“手动规则”和“特征码”远远不能适应现在的网络环境了。。。

因为企业版没法判断哪些是恶意调用系统进程，这样就会对“规则”形成极大的挑战（除非已有特征码的），因为未知的原因，排除（信任）的系统进程随时会被病毒所利用。。。

虽然咖啡目前已经意识到此现状，但她的“月神”还是不给力。。。

同期待咖啡的“进一步”动作。。。

大猫熊

jone_jys 发表于 2011-8-12 23:30
比较智能的主防还是不错的说，，，

因为今天手动更新的时候还需要关闭“访问保护”才能安装成功， ...

升级触犯规则。。。那是规则本身的问题，通过恰当的设置完全可以避免的～～

病毒如果连运行都运行不起来。。。如何调用系统进程？除非是程序有漏洞，这里分两种情况，一种是浏览器，比如IE漏洞王，多做几条限制性的规则，防止调用其他系统进程，防止创建可执行文件，等等。第二种是非网络程序，比如word，比如acrobat，只需要禁止联网，就不会被利用而下载病毒，同样也可以限制这些程序调用系统进程。

如果是特别严重的漏洞，让doc或者pdf文件中的恶意代码拥有了系统权限，恐怕所有杀毒软件都不能幸免了。。不过，在不额外创建驱动程序的情况下，这种权限的获得十分困难，可以利用全盘禁止sys文件和dll文件创建来实现。

说来说去，把病毒封锁在电脑外面是最可靠的方法，被利用的IE无法下载病毒和调用系统进程，被利用的acrobat无法下载病毒和调用系统进程，将病毒都抵挡在电脑外，根本不会有“调用系统进程”的机会出现。最后将U盘、系统关键文件夹的入口把死，就行了。

除了极少数核心进程（主管关机过程的），没有其他程序可以在未加载驱动的前提下直接结束咖啡的进程的。所以，即使退一万步，某些系统进程被调用了，也无法来毁灭咖啡（而patch 1将再次加强自保）。

jone_jys

alexyangjie 发表于 2011-8-13 00:06
升级触犯规则。。。那是规则本身的问题，通过恰当的设置完全可以避免的～～

病毒如果连运行都运行不起 ...

巩固学习中。。。

多谢分享经验。。。