" 鬼影病毒 " -- 正在用 McAfee 企业版 的高人请进来一下

大猫熊

storyhare 发表于 2012-4-30 23:07
有那个“引导区扫描”，但我的实验是：用硬盘炸弹完全破坏引导区，但咖啡没有任何反应。

另外，似乎 ...

嗯~~可能咖啡不重视，懒得将这个病毒所有行为都入库吧。。。

墨池

老手自然知道如何用规则控制病毒。
新手最好封锁入口，不让病毒进入，不要实机玩儿毒。

墨池

alexyangjie 发表于 2012-4-30 23:38
嗯~~可能咖啡不重视，懒得将这个病毒所有行为都入库吧。。。

软件内核缺陷，规则防不了引导扇区、磁盘底层、物理内存等行为，规则爱好者用禁读办法可以弥补，但实用性受影响，不是长久之计，所以入库是最彻底的办法。不知官方为何不做。难道真的是这类样本日常遇不到的原因？未免太自信了！不怕万一？万一企业服务器上被高手玩儿一把，不是有钱能弥补的。

大猫熊

墨池 发表于 2012-5-1 02:58
软件内核缺陷，规则防不了引导扇区、磁盘底层、物理内存等行为，规则爱好者用禁读办法可以弥补，但实用性 ...

官方只是草草的入库，让按访问扫描可以查出来有病毒，这样其实病毒就无法运行了~但是无法用咖啡彻底清理已经被感染的电脑，因为这个入库里面没有包含破坏引导区的这些信息~~

墨池

alexyangjie 发表于 2012-5-1 10:43
官方只是草草的入库，让按访问扫描可以查出来有病毒，这样其实病毒就无法运行了~但是无法用咖啡彻底清理已 ...

这是修复能力的问题！这方面比特系列比较强。

大猫熊

墨池 发表于 2012-5-1 10:47
这是修复能力的问题！这方面比特系列比较强。

嗯~~

可能规则的那些缺陷会在下一版中弥补吧~~mcafee已经有了deep defender这个产品，直接通过CPU的安全特性来控制，如果9.0版能够集成就好了。。。。

墨池

alexyangjie 发表于 2012-5-1 10:49
嗯~~

可能规则的那些缺陷会在下一版中弥补吧~~mcafee已经有了deep defender这个产品，直接通过CPU的安 ...

哈哈，那不得换CPU呀！英特尔这个做法很霸气呀！

xwhmm

估计这个可能已经入库了，毕竟鬼影已经有一段时间了，要真正测试我局觉得应该关掉防病毒然后单测主防，虚拟机比较保险

rlx

storyhare 发表于 2012-4-30 12:06
经测试，该样本，咖啡规则可以【简单】搞定，不需要任何在现有版区任何规则的背景下，添加人额外规则！
...

用了这个规则，迅雷看看不能用了 看不了视频 还得 排除啊

ayoon

storyhare 发表于 2012-4-30 12:06
经测试，该样本，咖啡规则可以【简单】搞定，不需要任何在现有版区任何规则的背景下，添加人额外规则！
...

这样子好像什么都不能用了吧（喜欢把软件装到非系统默认文件夹的要郁闷了）