凑个热闹：墨池>>咖啡豆>> 规则分享与McAfee规则详解

462588842

墨池 发表于 2011-11-22 15:08
一天半时间。
*\C:\WINDOWS\system32\csrss.exe, 如果写成*\WINDOWS\system32\csrss.exe, 如何呢？
   ...

这一次规则变化大了点……
要阻止的文件或文件夹名：C:\Windows\sys*\dr*\**.sys这里用绝对路径读取应该是更快，我是这么觉得

462588842

墨池 发表于 2011-11-22 15:25
好的，得等等，又到一个周的黑色时期！

黑色时期？

footman

墨池 发表于 2011-11-22 14:28
欠人气1。。。。

请问有哪些是咖啡hips做到而comodo做不到的(防读取除外）

hui24681031

咖啡豆终于出了 不过毛豆不让VM加驱 悲催 话说VSE规则足够强大了

蓝风王子

厉害啊，写的很详细，晚上试下

常驻网络

虽然墨池研究过,但用咖啡的人都知道,没必要,也从未中过毒,但我还是一次性否定了你的思路,这样的话,我觉得你不是什么咖啡粉,还不如直接用毛豆算了,无论你添加什么针对性的规则.我觉得要么选择咖啡要么选择毛豆.有点直言了,但这是我的想法,有点片面,抱歉!

坛迷

挺棒的，消化需要时间

whuaok

墨池越来越强大了 支持下。。。。。。。。。

minrain

感谢墨池大虾提供。

jone_jys

storyhare 发表于 2011-11-22 15:23
建议，详细论述一下：咖啡与毛豆，使用以上规则，如何实现互补（可用相关规则，阐述～）

02 规则名称：读取保护>>exe<<D盘
要包含的进程：*
要排除的进程：无
要阻止的文件或文件夹名：D:\**.exe
要禁止的文件：读取
是否勾选报告：是
-------------------------------
     同样的规则还有6条，就是把本机所有非信任区都列出来禁止读取exe文件，这样就把“硬盘炸弹”等病毒变成了没有意义的符号，在它们运行前就已经“致死”，一旦运行就防不住了。特别感谢叶知版主的研究成果！

以上，请版主释疑：‘硬盘炸弹’是否自己本身会在系统盘外新建EXE文件？由此才会设置其他盘禁读EXE文件呢？

如果，没有猜错的话，那么以下规则理论上应该也有同样的效果：

规则名称：全局禁止修改.exe
要包含的进程：**
要排除的进程：*\**\Program Files*\McAfee\Common Framework\FrameworkService.exe
要阻止的文件或文件夹名：**\*.exe
要禁止的文件操作： 创建 写 删除

因为，病毒没法‘新建’exe文件的话也就无从‘读取’了。即使本身已知的exe文件，也会阻止病毒‘写入’修改。。。