3Q咖啡区巡演，2L给出了思路规则，还请各位不吝赐教！···

qqq123123

storyhare 发表于 2011-11-16 22:30
恩，都不防～这可以说是一个相当大的缺陷（也就是之前说个的内存的事情，不能防御）；不过，这才考验编辑 ...

那咖啡的思路就彻底变样了！变成限制已知程序的工具了，而不是做到限制未知程序！貌似有点本末倒置了···限制已知程序的行为貌似也有点力不从心啊···

qqq123123

storyhare 发表于 2011-11-16 22:30
恩，都不防～这可以说是一个相当大的缺陷（也就是之前说个的内存的事情，不能防御）；不过，这才考验编辑 ...

开影子测试小浩，居然穿透了防护修改了系统时间，⊙﹏⊙b汗！咖啡一旦放行小浩运行，简直就是脆皮一个啊，郁闷！赶紧去检查下文件是否有顺坏···

qqq123123 发表于 2011-11-16 22:38
那咖啡的规则一条足以！就是那个全局禁运规则，因为如果小马运行起来后，规则再“严格"也是浮云！！ ...

也不是那样想的～～咖啡的编辑思路，有时不是以病毒为对象的；而是以电脑里的已知程序（如迅雷等）；已知程序的权限限制，有时也是对未知的最好防御（如限制了IE，无论病毒木马如何调用IE，也是没用的）

常驻网络

qqq123123 发表于 2011-11-16 22:43
开影子测试小浩，居然穿透了防护修改了系统时间，⊙﹏⊙b汗！咖啡一旦放行小浩运行，简直就是脆皮一 ...

你是不是忽视了你那条全局禁读啊?这条能防了大部分的害虫,我觉得你围绕这条规则做规则更合适.个人意见.话说叶版刚出那条规则似乎是围绕这条来做了,还增加了两条来补这条规则的洞呢.当然也希望能看到像你那样的完整的规则.

qqq123123

storyhare 发表于 2011-11-16 23:00
也不是那样想的～～咖啡的编辑思路，有时不是以病毒为对象的；而是以电脑里的已知程序（如迅雷等）；已知 ...

没那么麻烦，直接结束QQ进程，伪装···记录密码···或者直接接管···或者发送消息给系统进程，然后疯狂肆虐啊···或者修改系统时间···或者内存间访问系统进程···或者直接磁盘访问···并不一定非要对IE啊这些浏览器进行限制···再或者鼠标模拟···加载驱动···直接操作内核···模拟关机结束咖啡进程···( ⊙ o ⊙ )啊！额，到时候就真的变成苦咖啡了···

andoyi

不错不错，人妻支持一下！

qqq123123

常驻网络 发表于 2011-11-16 23:10
你是不是忽视了你那条全局禁读啊?这条能防了大部分的害虫,我觉得你围绕这条规则做规则更合适.个人意见. ...

不是禁读就万事大吉的！围绕这个规则展开？只要木马能运行，咖啡基本就成浮云了···

常驻网络

qqq123123 发表于 2011-11-16 23:11
没那么麻烦，直接结束QQ进程，伪装···记录密码···或者直接接管···或者发送消息给系统进程，然后 ...

在你接触咖啡之前应该做好如何驾驭咖啡的准备了,不能用毛豆或MD的思路强加于咖啡.

qqq123123 发表于 2011-11-16 23:11
没那么麻烦，直接结束QQ进程，伪装···记录密码···或者直接接管···或者发送消息给系统进程，然后 ...

没有你说的或理解的那么恐怖～，试过所有特征的样本....也就只有那个1个样本不能直接防住；你的的那些情况，不会出现，因为产生哪些行为，需要很多过程的文件操作，过咖啡是不可能的（而唯一不能直接防住的，就是没有任何文件操作的情况下，完成的破坏～）

常驻网络

qqq123123 发表于 2011-11-16 23:14
不是禁读就万事大吉的！围绕这个规则展开？只要木马能运行，咖啡基本就成浮云了···

咖啡还是以防入口为主为好