楼主: 墨池
收起左侧

[技术原创] 咖啡豆绝配:墨池McAfee8.8 P2返璞规则(附墨池COMODO 5X通用规则)

  [复制链接]
墨池
 楼主| 发表于 2012-11-8 23:07:38 | 显示全部楼层
qpzmggg999 发表于 2012-11-8 23:03
我还是用默认+自己写点吧   万一不支持还麻烦了--

最好是这样。设好规则,先报告不阻挡,排除好了在阻挡,保险。新系统不敢造次!
storyhare 该用户已被删除
发表于 2012-11-8 23:16:57 | 显示全部楼层
shiyuelaohu 发表于 2012-11-8 23:01
单单凭借dll的文件名似乎也很难判断是黑还是白,人为因素是最为关键的,也是最难把握的。


呃,的确如此;

1、如果,在安装时,未发作(即无明显可疑行为);便无法分辨

2、如果安装,便有可疑行为;呃,监听规则,只有一个作用:发现病毒,至于处理...........

--

继“1”,无明显动作:

1、安装完成,而后开启全部规则——即使运行,便也不会造成很严重的破坏

2、错过安装期间,那么白加黑,便错过了“发作的最好”时刻!

--

呃,上面的话,都没有解决一个问题:发现“白加黑”,怎么办??   格式化,重装系统吧.......

所以,我的提案,只有2个用处:

1、发挥,规则最大的“效果”(即使关闭了绝大部分规则;仅使用监听规则)

2、发现病毒。

---

而,关于风险,最好的办法:

1、尽量不安装软件(这个,有点困难)

2、继续开发规则(我很早之前,便为此很是努力过;也获得了不错的成绩,完整而有效的安装规则);规则,其实远没有结束,只是我们似乎认为,咖啡的规则,已经成熟了...........(我在我的规则开发日志中,有写到“某个爆发时期”,几乎没几天便是一个规则版本,而且是全新框架的那种;之后,我停了下来,并非无处可开发;而是自己“累了”.......)
storyhare 该用户已被删除
发表于 2012-11-8 23:24:53 | 显示全部楼层
墨池 发表于 2012-11-8 23:00
版主这手高,学不来呀!

这个,其实有点“掩耳盗铃”的感觉,只能够防御关键位置(使用安装规则),和发现病毒(监听规则);而一旦发现了病毒.........那已是我们看见日志之前的事了(已感染计算机)

更好的办法;是更加详细地了解并限制【系统】!

1、在安装期间,封锁所有可能的高危操作(服务,自启动等)

2、很关键的一点,精确控制对系统的调用(当然,仅静态可执行文件的执行调用;但这也很有意义;但这很难,因为很多东西,对于系统我们都未知,也不能来个全局封锁,因为要安装软件)

3、继“2”,对于【执行】和【读取】,我们都还知之甚少!(我们如何使用这2个操作,更加细腻地控制系统?)
shiyuelaohu
发表于 2012-11-8 23:27:01 | 显示全部楼层
storyhare 发表于 2012-11-8 23:16
呃,的确如此;

1、如果,在安装时,未发作(即无明显可疑行为);便无法分辨

有一个想法,用咖啡配合sandboxie或者是虚拟机,不妨多加2个监听规则,保护windows文件夹和注册表的监听规则,事后可以分析病毒行为。
storyhare 该用户已被删除
发表于 2012-11-8 23:34:58 | 显示全部楼层
shiyuelaohu 发表于 2012-11-8 23:27
有一个想法,用咖啡配合sandboxie或者是虚拟机,不妨多加2个监听规则,保护windows文件夹和注册表的监听规 ...

累人!

这样做,很多人情愿直接中毒,得了...........(夸大的说法)

---

安装软件时,我们并没有那么的心情去考虑这些事情,能够稍微地调整一下规则;便也是天大的进步了....虚拟机什么,那都是真正的浮云,我们没有那么多的精力和时间,去搞(除了,某个时段;对虚拟机正火热中)

-

呃.......另沙盘不保险。

-

当然,这些问题,其实都还只是【假象敌人】,用咖啡规则的,他中过病毒(即使是安装软件)么?  目前还没有此类的报告~~

所以,这个问题;一直是困扰这咖啡版区的第一大难题(至少5年了),如何解决?   完善并更加有力地,开发“安装规则”(这个规则,可是我的开山之作啊.......)

当然,搭配其他的东西,也是一条很好的捷径;但无疑,对于用咖啡的我们,无敌而万能的咖啡规则,更加符合我们的胃口。
墨池
 楼主| 发表于 2012-11-8 23:41:32 | 显示全部楼层
storyhare 发表于 2012-11-8 23:24
这个,其实有点“掩耳盗铃”的感觉,只能够防御关键位置(使用安装规则),和发现病毒(监听规则);而一 ...

安装软件应该是HIPS的软肋之一吧!
最好还是从软件源头上小心控制!
ghost系统,破解或修改软件,尽量少用甚至不用应该问题不大。自己做的除外!
好像自己不找样本玩儿,习惯好的话,日常应用碰上咖啡和毛豆防不了的病毒的概率几乎为零。
所以,不用草木皆兵!
DDT12345678
发表于 2012-11-9 00:20:56 | 显示全部楼层
感谢分享   这个很喜欢   支持墨大
462588842
发表于 2012-11-9 10:59:07 | 显示全部楼层
哈哈 ,更新了
kevinsf21
发表于 2012-11-9 11:26:16 | 显示全部楼层
又有新规则了啊..赞。
w99308702
发表于 2012-11-9 12:03:11 | 显示全部楼层
墨池 发表于 2012-11-8 22:29
我的个神,不应该吧,哪位32位Win7用咖啡的说说?我有两年没用32位Win7了!
你确定没有?“通用标准保护 ...


我确定,我自己就是32位win7的8.8P2,你这两年都用什么啊?xp吗?
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-11-16 07:47 , Processed in 0.094678 second(s), 15 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表