凑个热闹：墨池>>咖啡豆>> 规则分享与McAfee规则详解

常驻网络

jone_jys 发表于 2011-11-22 19:07
以上，请版主释疑：‘硬盘炸弹’是否自己本身会在系统盘外新建EXE文件？由此才会设置其他盘禁读EXE文 ...

你这条规则只能防入口,或者其他病毒的行为(直接写入 删除 创建其他程序的行为),而硬盘炸弹是底层运行的,禁止创建,删除,写入,都无法阻止硬盘炸弹的运行.一运行机器马上重启,那么硬盘炸弹成功的让你的机器挂了.

墨池

jone_jys 发表于 2011-11-22 19:07
以上，请版主释疑：‘硬盘炸弹’是否自己本身会在系统盘外新建EXE文件？由此才会设置其他盘禁读EXE文 ...

规则名称：全局禁止修改.exe
要包含的进程：**
要排除的进程：*\**\Program Files*\McAfee\Common Framework\FrameworkService.exe
要阻止的文件或文件夹名：**\*.exe
要禁止的文件操作： 创建 写 删除

    无这类毒可以，有这类毒防不住。所以版主的做法更彻底有效。

jone_jys

常驻网络 发表于 2011-11-22 19:56
你这条规则只能防入口,或者其他病毒的行为(直接写入 删除 创建其他程序的行为),而硬盘炸弹是底层运行的,禁 ...

因为，病毒没法‘新建’exe文件的话也就无从‘读取’了。即使本身已知的exe文件，也会阻止病毒‘写入’修改

如果，病毒本身新建exe文件的话，那么，此全局规则理论上和非信任区禁读效果应该一样。。。
如果，病毒自己没有新建exe文件，那，只能是无比强大且罕见的病毒了。。。

jone_jys

墨池 发表于 2011-11-22 20:05
规则名称：全局禁止修改.exe
要包含的进程：**
要排除的进程：*\**\Program Files*\McAfee\Common Fram ...

理论上应该一样啊。。。

理论与现实差距如此自大？


额，让人摸不着头脑。。。

墨池

jone_jys 发表于 2011-11-22 20:10
理论上应该一样啊。。。

理论与现实差距如此自大？

底层操作不需要加载文件。

jone_jys

木有虚拟机，所有无从实际验证。。。

囧。。。

墨池

jone_jys 发表于 2011-11-22 20:13
木有虚拟机，所有无从实际验证。。。

囧。。。

我实机玩儿过，挂得很惨！

jone_jys

墨池 发表于 2011-11-22 20:13
底层操作不需要加载文件。

恩。。。

非信任区禁读，又是为何？可以理解为此范围的exe就是病毒本身所为啊。。。

除非，此病毒绕过了规则新建exe？（也可以说规则不能阻止病毒新建exe？） 既然如此，即使绕过规则创建了exe文件，那规则为何又能阻止其读取呢？

貌似，木有道理啊。。。。

jone_jys

墨池 发表于 2011-11-22 20:15
我实机玩儿过，挂得很惨！

诡异之极，，，

安慰下。。。。。。。。。。

jone_jys

如此看来，规则其实还是不能完全防御类似“硬盘炸弹”。。。

可以想象，病毒稍微升级一下，一定成功绕过规则。。。。

假设，病毒从底层新建了exe等自身文件（绕过规则），那么，一定可以从底层去操作自己的文件，虽然现在的‘读取’被阻止了，但也只是目前而言（可以通过升级来突破）。。。。