楼主: 墨池
收起左侧

[技术原创] 凑个热闹:墨池>>咖啡豆>> 规则分享与McAfee规则详解

  [复制链接]
462588842
发表于 2011-11-22 15:25:34 | 显示全部楼层
墨池 发表于 2011-11-22 15:08
一天半时间。
*\C:\WINDOWS\system32\csrss.exe, 如果写成*\WINDOWS\system32\csrss.exe, 如何呢?
   ...

这一次规则变化大了点……
要阻止的文件或文件夹名:C:\Windows\sys*\dr*\**.sys这里用绝对路径读取应该是更快,我是这么觉得
462588842
发表于 2011-11-22 15:39:39 | 显示全部楼层
墨池 发表于 2011-11-22 15:25
好的,得等等,又到一个周的黑色时期!

黑色时期?
footman
发表于 2011-11-22 15:42:13 | 显示全部楼层
本帖最后由 footman 于 2011-11-22 15:42 编辑
墨池 发表于 2011-11-22 14:28
欠人气1。。。。


请问有哪些是咖啡hips做到而comodo做不到的(防读取除外)
hui24681031
发表于 2011-11-22 16:15:13 | 显示全部楼层
咖啡豆终于出了 不过毛豆不让VM加驱 悲催 话说VSE规则足够强大了
蓝风王子
发表于 2011-11-22 16:21:42 | 显示全部楼层
厉害啊,写的很详细,晚上试下
常驻网络
发表于 2011-11-22 16:31:03 | 显示全部楼层
虽然墨池研究过,但用咖啡的人都知道,没必要,也从未中过毒,但我还是一次性否定了你的思路,这样的话,我觉得你不是什么咖啡粉,还不如直接用毛豆算了,无论你添加什么针对性的规则.我觉得要么选择咖啡要么选择毛豆.有点直言了,但这是我的想法,有点片面,抱歉!
坛迷
发表于 2011-11-22 18:00:59 | 显示全部楼层
挺棒的,消化需要时间
whuaok
发表于 2011-11-22 18:02:28 | 显示全部楼层
墨池越来越强大了 支持下。。。。。。。。。
minrain
发表于 2011-11-22 18:42:05 | 显示全部楼层
感谢墨池大虾提供。
jone_jys
头像被屏蔽
发表于 2011-11-22 19:07:30 | 显示全部楼层
storyhare 发表于 2011-11-22 15:23
建议,详细论述一下:咖啡与毛豆,使用以上规则,如何实现互补(可用相关规则,阐述~)
02 规则名称:读取保护>>exe<<D盘
要包含的进程:*
要排除的进程:无
要阻止的文件或文件夹名:D:\**.exe
要禁止的文件:读取
是否勾选报告:是
-------------------------------
     同样的规则还有6条,就是把本机所有非信任区都列出来禁止读取exe文件,这样就把“硬盘炸弹”等病毒变成了没有意义的符号,在它们运行前就已经“致死”,一旦运行就防不住了。特别感谢叶知版主的研究成果!


以上,请版主释疑:‘硬盘炸弹’是否自己本身会在系统盘外新建EXE文件?由此才会设置其他盘禁读EXE文件呢?

如果,没有猜错的话,那么以下规则理论上应该也有同样的效果:

规则名称:全局禁止修改.exe
要包含的进程:**
要排除的进程:*\**\Program Files*\McAfee\Common Framework\FrameworkService.exe
要阻止的文件或文件夹名:**\*.exe
要禁止的文件操作: 创建 写 删除

因为,病毒没法‘新建’exe文件的话也就无从‘读取’了。即使本身已知的exe文件,也会阻止病毒‘写入’修改。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:24 , Processed in 0.094197 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表