口水帖-咖啡如之何？

柯林

无聊时想到的问题，问问各位麦粉：
1、有用CLT测试得满分的没？用的啥规则？
2、对于白+黑，你是怎么防御的？就用全局禁止执行**之类的禁运大法？

jiang410426

既然你自己说是口水贴，那就烦请你自己咽下去吧，省的大家在这里争论

柯林

jiang410426 发表于 2012-11-28 19:28
既然你自己说是口水贴，那就烦请你自己咽下去吧，省的大家在这里争论

吐出来的口水就是泼出来的水，哪有收回的道理？
题目虽然有点刺眼，内容却是全部可由事实验证以理服人来答复的，而不是靠口水来涂写。

抛开第一个CLT测试的意义，对于第二个，国产特色最热门的东东，任何一款安全软件都无法回避，难道咖啡区是此问题的禁区？

462588842

全都以* 不排除好像都没有办法过330分

462588842

CLT只对hips有用吧？咖啡企业版 就好比全局禁运.exe，都不知道怎么运行clt。汗死人

jone_jys

喝咖啡，得永生。。。  

1、CLT，咖啡永远不能够得满分：因为1、咖啡没有进程间的访问控制、2、咖啡没有底层磁盘访问控制（所以，只能够得到320）

2、白加黑，只有在关闭规则的时候有效；你说怎么防御？ （禁运只是规则的基础；也可一定程度上防御任何病毒；但对于入口而言，咖啡可以封掉所有可执行文件的创建和修改。——这点，便可以封掉几乎所有的病毒，包括白加黑）

---

对于如何之类的问题；如果你仅仅以一个新人的角度来说；我们原谅你。

但是就以一个新人的角度来判断，甚至判定咖啡；那无疑是可笑而无知的。

我只想说明一个事实：

1、能懂咖啡的很少，至少绝大部分人都不能，至少你目前也不能

2、能够写出规则的人，更少；当然，我们不需要一个所谓的理论空壳，以及语法错误大片的无效规则。

3、本帖，没有任何不当之处；至少目前如此。

柯林

462588842 发表于 2012-11-28 19:38
全都以* 不排除好像都没有办法过330分

全局禁运**就变成了HIPS的禁运党 直接秒杀CLT
试过默认规则加一些简单的规则，分数很少
全局禁止注册表的，分数可能高点
在所有防御项目中，感觉钩子项，咖啡没法防御，其它的包括驱动创建和加载等，很多都可以从入口的第一步——FD上加以拦截，唯独钩子项目，似乎不行

柯林

storyhare 发表于 2012-11-28 19:52
1、CLT，咖啡永远不能够得满分：因为1、咖啡没有进程间的访问控制、2、咖啡没有底层磁盘访问控制（所以，只 ...

请具体说明咖啡防御白+黑的办法
禁运以及禁止文件创建，这种手段防御，我认为根本不叫防御
白+黑的核心重点，就是在那个黑dll上，你怎么判定一个dll是黑而非白，并以此写出真正有效的防御规则？
另外，咖啡防御钩子，我真的不懂，请明确解释。

马云波波波

     对于您说的第一个问题，因为咖啡企业版的防御有限，无com端口防护、系统底层防护等，因此咖啡CLT得分不可能满分，坛子里墨池大神的卧龙规则在win7下得分为300分。
    第二个问题，可以设置规则禁止*.dll文件进入受保护的program files文件夹。但如果*.dll文件一旦就位，那咖啡是拦不了的。
     另，个人感觉设置禁读规则，与禁运规则相互配合，防御力会更强。因为咖啡是不防磁盘底层的，对于一类病毒：硬盘炸弹。禁运规则是防不住的，还得靠禁读。