关于企业版咖啡禁读exe ,防 硬盘炸弹 ,简单测试及简单结论!更新在11楼!!!

常驻网络

经过重新恢复快照测试:添加规则后都注销重启再测试!

换了个样本,现用此连接炸弹:hXXp://bbs.kafan.cn/thread-460392-1-1.html

叶版的规则,注:虚拟机里只有C盘和 D盘!

规则名称：全局禁读-EXE-ProgramData
要包含的进程：*
要排除的进程: 无
要阻止的文件或文件名: C:\ProgramData\**.exe
要禁止的文件操作:  读取

规则名称：全局禁读-EXE-D
要包含的进程：*
要排除的进程: 无
要阻止的文件或文件名: D:\**.exe
要禁止的文件操作:  读取


日记:

2011-11-25        23:26:08        已由访问保护规则禁止         LBDZ-11231559\Administrator        C:\WINDOWS\Explorer.EXE        D:\Download\KIA\vvv.exe        用户定义的规则:全局禁读-EXE-D        已阻止的操作: 读取
2011-11-25        23:26:20        已由访问保护规则禁止         LBDZ-11231559\Administrator        C:\WINDOWS\Explorer.EXE        D:\Download\KIA\极度危险.exe        用户定义的规则:全局禁读-EXE-D        已阻止的操作: 读取
2011-11-25        23:26:20        已由访问保护规则禁止         LBDZ-11231559\Administrator        C:\WINDOWS\Explorer.EXE        D:\Download\KIA\vvv.exe        用户定义的规则:全局禁读-EXE-D        已阻止的操作: 读取
2011-11-25        23:26:20        已由访问保护规则禁止         LBDZ-11231559\Administrator        C:\WINDOWS\Explorer.EXE        D:\Download\KIA\极度危险.exe        用户定义的规则:全局禁读-EXE-D        已阻止的操作: 读取

日记为阻止了读取,但依然成功执行!

被炸弹执行开机后图片:

此图片和之前的不同,不知道什么原因,就当一楼的无效吧!





下面用一楼的规则测试:一楼规则为全局禁读exe!

规则如图:




双击炸弹后:如图




重启后:




以下为添加排除C:\Program Files\**





双击炸弹,点确定后,重启:





在非信任区域都可执行,本人就不测试放在Program Files下的了!

常驻网络 发表于 2011-11-25 23:32
经过重新恢复快照测试:

叶版的规则,注:虚拟机里只有C盘和 D盘!

对了～在编辑好规则后，点击“确认”后5秒左右，规则才会生效～（即：在刚启用规则那一刻，不能进行实现，得过10秒，再双击什么的）

常驻网络

storyhare 发表于 2011-11-25 23:37
对了～在编辑好规则后，点击“确认”后5秒左右，规则才会生效～（即：在刚启用规则那一刻，不能进行实现 ...

补充一下,经过重新恢复快照测试:添加规则后都注销重启再测试!

蓝风王子

哇哇。，没房主

常驻网络 发表于 2011-11-25 23:38
补充一下,经过重新恢复快照测试:添加规则后都注销重启再测试!

你的测试，应该是，某些地方出问题了～

这个问题，很早以前，我已证实，可以简单防住（但不具有使用价值）；你的测试，结果是错误的，请查找相关问题！！

常驻网络

storyhare 发表于 2011-11-25 22:50
第三次，测试结果：

在桌面建立禁运～关闭UAC

怀疑那样本有问题,改用这个了:bbs.kafan.cn/thread-460392-1-1.html  话说我用的XP测试的.晚了,明天有空装WIN7试试!

蓝风王子 发表于 2011-11-25 23:46
哇哇。，没房主

看2楼，我的测试～是可以防住，但楼主的测试，出了一些问题，结果错了！

常驻网络

storyhare 发表于 2011-11-26 00:05
看2楼，我的测试～是可以防住，但楼主的测试，出了一些问题，结果错了！

建议用我一楼最后发的那个连接试试,那个比这个killmbr.exe要厉害.明天有空我换上win7再试试你二楼那个规则

常驻网络 发表于 2011-11-26 00:13
建议用我一楼最后发的那个连接试试,那个比这个killmbr.exe要厉害.明天有空我换上win7再试试你二楼那个规则 ...

已经试了，依然，规则有效！这个问题，从你发帖开始，就可以确认，你的测试出现了一些问题～

1、你的规则本身～你的测试中，使用是否为：仅在原始默认规则上，添加以上规则？

2、你的测试环境～XP中，可能和非原版有关——测试，只能用原版！

～～
再说说这个，禁读；这多达100+的不同样本双击测试中，都是此类规则拦截的！（之前，我有过每天扫描后的双击样本）
禁读，不可能失效；它是凌驾于“执行”的，了解HIPS的应该知道，从逻辑上，不可能出现你的测试结果——即：你的测试，一定是一些地方除了问题（这可能和，没有习惯测试样本有关；测试次数达到一定程度后，可以避免一些环境影响）
～～
恩，感谢测试，请仔细检查你的测试过程～

墨池

用我的规则在Win7下测了，完全能防住。

上图：




上日志：

2011/11/26 0:16:20 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\Windows\system32\SearchProtocolHost.exe C:\Users\USER\Desktop\KIA\极度危险.exe 用户定义的规则:29 读取保护>>exe<<Users>>Win7 已阻止的操作: 读取
2011/11/26 0:16:21 已由访问保护规则禁止  NT AUTHORITY\SYSTEM C:\Windows\system32\SearchProtocolHost.exe C:\Users\USER\Desktop\KIA\vvv.exe 用户定义的规则:29 读取保护>>exe<<Users>>Win7 已阻止的操作: 读取
2011/11/26 0:16:21 已由访问保护规则禁止  USER-PC\USER C:\Windows\Explorer.EXE C:\Users\USER\Desktop\KIA\极度危险.exe 用户定义的规则:29 读取保护>>exe<<Users>>Win7 已阻止的操作: 读取
2011/11/26 0:16:21 已由访问保护规则禁止  USER-PC\USER C:\Windows\Explorer.EXE C:\Users\USER\Desktop\KIA\vvv.exe 用户定义的规则:29 读取保护>>exe<<Users>>Win7 已阻止的操作: 读取

现在重启后的系统：


        说明楼主的测试出了问题，结论不对。