楼主: 墨池
收起左侧

[技术原创] 凑个热闹:墨池>>咖啡豆>> 规则分享与McAfee规则详解

  [复制链接]
常驻网络
发表于 2011-11-22 19:56:22 | 显示全部楼层
jone_jys 发表于 2011-11-22 19:07
以上,请版主释疑:‘硬盘炸弹’是否自己本身会在系统盘外新建EXE文件?由此才会设置其他盘禁读EXE文 ...

你这条规则只能防入口,或者其他病毒的行为(直接写入 删除 创建其他程序的行为),而硬盘炸弹是底层运行的,禁止创建,删除,写入,都无法阻止硬盘炸弹的运行.一运行机器马上重启,那么硬盘炸弹成功的让你的机器挂了.

评分

参与人数 1人气 +1 收起 理由
墨池 + 1 感谢解答: )

查看全部评分

墨池
 楼主| 发表于 2011-11-22 20:05:19 | 显示全部楼层
jone_jys 发表于 2011-11-22 19:07
以上,请版主释疑:‘硬盘炸弹’是否自己本身会在系统盘外新建EXE文件?由此才会设置其他盘禁读EXE文 ...

规则名称:全局禁止修改.exe
要包含的进程:**
要排除的进程:*\**\Program Files*\McAfee\Common Framework\FrameworkService.exe
要阻止的文件或文件夹名:**\*.exe
要禁止的文件操作: 创建 写 删除

    无这类毒可以,有这类毒防不住。所以版主的做法更彻底有效。
jone_jys
头像被屏蔽
发表于 2011-11-22 20:08:05 | 显示全部楼层
常驻网络 发表于 2011-11-22 19:56
你这条规则只能防入口,或者其他病毒的行为(直接写入 删除 创建其他程序的行为),而硬盘炸弹是底层运行的,禁 ...
因为,病毒没法‘新建’exe文件的话也就无从‘读取’了。即使本身已知的exe文件,也会阻止病毒‘写入’修改


如果,病毒本身新建exe文件的话,那么,此全局规则理论上和非信任区禁读效果应该一样。。。
如果,病毒自己没有新建exe文件,那,只能是无比强大且罕见的病毒了。。。
jone_jys
头像被屏蔽
发表于 2011-11-22 20:10:43 | 显示全部楼层
本帖最后由 jone_jys 于 2011-11-22 20:11 编辑
墨池 发表于 2011-11-22 20:05
规则名称:全局禁止修改.exe
要包含的进程:**
要排除的进程:*\**\Program Files*\McAfee\Common Fram ...


理论上应该一样啊。。。

理论与现实差距如此自大?


额,让人摸不着头脑。。。
墨池
 楼主| 发表于 2011-11-22 20:13:15 | 显示全部楼层
jone_jys 发表于 2011-11-22 20:10
理论上应该一样啊。。。

理论与现实差距如此自大?

底层操作不需要加载文件。
jone_jys
头像被屏蔽
发表于 2011-11-22 20:13:33 | 显示全部楼层
木有虚拟机,所有无从实际验证。。。

囧。。。
墨池
 楼主| 发表于 2011-11-22 20:15:57 | 显示全部楼层
jone_jys 发表于 2011-11-22 20:13
木有虚拟机,所有无从实际验证。。。

囧。。。

我实机玩儿过,挂得很惨!
jone_jys
头像被屏蔽
发表于 2011-11-22 20:18:49 | 显示全部楼层
墨池 发表于 2011-11-22 20:13
底层操作不需要加载文件。

恩。。。

非信任区禁读,又是为何?可以理解为此范围的exe就是病毒本身所为啊。。。

除非,此病毒绕过了规则新建exe?(也可以说规则不能阻止病毒新建exe?) 既然如此,即使绕过规则创建了exe文件,那规则为何又能阻止其读取呢?

貌似,木有道理啊。。。。

jone_jys
头像被屏蔽
发表于 2011-11-22 20:20:52 | 显示全部楼层
墨池 发表于 2011-11-22 20:15
我实机玩儿过,挂得很惨!



诡异之极,,,

安慰下。。。。。。。。。。
jone_jys
头像被屏蔽
发表于 2011-11-22 20:25:27 | 显示全部楼层
如此看来,规则其实还是不能完全防御类似“硬盘炸弹”。。。

可以想象,病毒稍微升级一下,一定成功绕过规则。。。。

假设,病毒从底层新建了exe等自身文件(绕过规则),那么,一定可以从底层去操作自己的文件,虽然现在的‘读取’被阻止了,但也只是目前而言(可以通过升级来突破)。。。。
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-23 05:18 , Processed in 0.101559 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表