" 鬼影病毒 " -- 正在用 McAfee 企业版的高人请进来一下

显示全部楼层 · 发表于 2012-4-30 16:54:46

storyhare 发表于 2012-4-30 12:06
经测试，该样本，咖啡规则可以【简单】搞定，不需要任何在现有版区任何规则的背景下，添加人额外规则！
...

原来我搞混了。。。我以为他们是一个。。。目前也就硬盘炸弹不好防~其他的都秒杀。

显示全部楼层 · 发表于 2012-4-30 18:00:35

alexyangjie 发表于 2012-4-30 16:54
原来我搞混了。。。我以为他们是一个。。。目前也就硬盘炸弹不好防~其他的都秒杀。

另外，刚才试了一下HIP（7.0），他的应用程序控制，可以完整地控制程序的启动（但也仅仅如此）；“硬盘炸弹”也可以被拦截！！

但是，似乎没有价值单为此而安装它（且，8.0，没有了应用程序控制～～）；并且，它只控制程序的第一次启动（要么全部拦截，要么放行），对陌生程序的控制，很难准确地控制（因为没有任何详细的信息）；基本上，这么控制是“废”的～

显示全部楼层 · 发表于 2012-4-30 18:09:39

storyhare 发表于 2012-4-30 18:00
另外，刚才试了一下HIP（7.0），他的应用程序控制，可以完整地控制程序的启动（但也仅仅如此）；“硬盘 ...

原来HIP（7.0）也可防得住它们，真没想到 !!! 对陌生程序我不放行就可以了 , 够用了 !!! 谢谢你的测试

显示全部楼层 · 发表于 2012-4-30 18:35:09

storyhare 发表于 2012-4-30 12:02
我的实验，使用系统的计划任务，病毒可以先于咖啡启动；但还是会被杀掉，因为有进程扫描～

另，该类病 ...

如果是进程被KILL的话，能否保证被感染的MBR被修复？

另，是不是因为入库的原因导致鬼影可杀呢？

显示全部楼层 · 发表于 2012-4-30 19:59:30

猪头无双发表于 2012-4-30 18:35
如果是进程被KILL的话，能否保证被感染的MBR被修复？

另，是不是因为入库的原因导致鬼影可杀呢？

不能够保证！刚才实验了一下，咖啡杀毒不能够检测MBR，也不能够修复（也就是说，一旦中毒，咖啡便“死”）

当然，“自我安慰”的是：规则可以搞定，外加该样本的确已经入库，难以生存于本地！

显示全部楼层 · 发表于 2012-4-30 21:36:17

storyhare 发表于 2012-4-30 19:59
不能够保证！刚才实验了一下，咖啡杀毒不能够检测MBR，也不能够修复（也就是说，一旦中毒，咖啡便“死” ...

按访问扫描的扫描引导区也不能检测吗？

显示全部楼层 · 发表于 2012-4-30 21:54:10

看见你们讨论的这么激烈，我有种想用咖啡的冲动了

显示全部楼层 · 发表于 2012-4-30 23:02:16

storyhare 发表于 2012-4-30 19:59
不能够保证！刚才实验了一下，咖啡杀毒不能够检测MBR，也不能够修复（也就是说，一旦中毒，咖啡便“死” ...

" 规则可以搞定 " 可不可以这样理解 --- 也就是说 " 贼 " 还在室外还未进来 , 何必跟它拼命 ! 一旦要在自己的地方拼个你死我活的话就不是一个档次了 !!!

我个人认为用 McAfee 企业版的人有福了

显示全部楼层 · 发表于 2012-4-30 23:07:32

alexyangjie 发表于 2012-4-30 21:36
按访问扫描的扫描引导区也不能检测吗？

有那个“引导区扫描”，但我的实验是：用硬盘炸弹完全破坏引导区，但咖啡没有任何反应。

另外，似乎每次“右键扫描”都会第一步扫描引导区，但仍然无效

显示全部楼层 · 发表于 2012-4-30 23:08:10

cf658888 发表于 2012-4-30 23:02
" 规则可以搞定 " 可不可以这样理解 --- 也就是说 " 贼 " 还在室外还未进来 , 何必跟它拼命 ! 一旦要在自 ...

恩～

[讨论] " 鬼影病毒 " -- 正在用 McAfee 企业版的高人请进来一下

评分

评分

评分

评分

[讨论] " 鬼影病毒 " -- 正在用 McAfee 企业版 的高人请进来一下

评分

评分

评分

评分

[讨论] " 鬼影病毒 " -- 正在用 McAfee 企业版的高人请进来一下