听说最近“火焰”病毒很火，不知道咖啡能不能防？

jefffire

storyhare 发表于 2012-6-1 18:35
咖啡规则，被突破很简单；因为规则本身就有无数漏洞～

但，就【可控制能力】讲：突破很难！（因为就“ ...

“非信任程序禁止运行”，也只能一定程度上抵挡罢了。举个实例，Stuxnet的LNK漏洞，就可以轻易撕破禁运禁读防线。而各种远程代码执行漏洞对于高手团队来说也并非不能找到。

payen

jefffire 发表于 2012-6-1 16:11
都公开这么多天了，有本事你用一个月前的病毒库查查看？

这就不知道了     有谁见过真正的火焰？

payen

jxfaiu 发表于 2012-6-1 16:04
企业版更没问题，想当的没问题。不管什么病毒防御能力企业版强，企业版要防不了，个人版要没入库就惨啦

刚买的3年个人版    要不我也试试企业版....不舍得扔啊

gzwd5586

晕，不经意间看到的新闻，来提问，却引来了大神间的辩论，受教！

大猫熊

storyhare 发表于 2012-5-31 23:36
只要属于【文件型病毒】（即：含有本地数据本体，目前99.99...%均属该类），那么规则便可以控制！！

看了一下mcafee的官方博客，大概了解了下病毒特征

1. 禁止system32内的ocx可执行文件创建 (大部分论坛规则都有)
2. 禁止HKEY_LOCAL_MACHINE\CurrentControlSet\Control\Lsa\Authentication Packages写入值（默认规则：禁止修改用户权限设置）

这两条即可防御

wzx3250259

storyhare 发表于 2012-6-1 18:35
咖啡规则，被突破很简单；因为规则本身就有无数漏洞～

但，就【可控制能力】讲：突破很难！（因为就“ ...

当时毛豆有人用温馨的全局禁运，也照样被突破了，不是规则不严的问题。
而是软件本身的漏洞，据他所说是内核权限的问题的。
像毛豆，你本身就不防加驱的软件。

rlx

到底能不能防啊

zhao7434875

jefffire 发表于 2012-6-1 16:10
Comodo，MD纯手动HIPS都可以轻易被MJ撕破，遑论一个高手团队甚至政府部门主导的病毒？找几个0Day不和切 ...

新人疑问MJ是什么？，

马云波波波

这个用邪版通用加强规则经典版中的“全局禁止修改.ocx文件”可以防住。
或者用墨池封笔镇版规则中的“全局禁止执行”和“全局禁止修改”也能防得住。

sanhu35

zhao7434875 发表于 2012-6-5 16:27
新人疑问MJ是什么？，

是个神秘的高人，在360工作