123
返回列表 发新帖
楼主: 柯林
收起左侧

[讨论] 口水帖-咖啡如之何?

   关闭 [复制链接]
WEI.ER
发表于 2012-11-28 22:34:57 来自手机 | 显示全部楼层
个人认为白加黑是不能靠规则防御的,手动的规则太死了,白加黑可以在任意地方运行。
storyhare 该用户已被删除
发表于 2012-11-28 22:54:33 | 显示全部楼层
柯林 发表于 2012-11-28 20:22
请具体说明咖啡防御白+黑的办法
禁运以及禁止文件创建,这种手段防御,我认为根本不叫防御
白+黑的核心 ...

谨以2个角度说明:

一、咖啡的防御能力(目前所开发的)

1、咖啡不能够拦截运行进程的以下行为:进程间访问、底层磁盘

2、简单的禁运,不能够拦截硬盘炸弹

3、最大的问题;安装软件需关闭规则(对于较为严厉的规则)

--

综上,要说规则是否能够防御【白加黑】?  不能!

但,也能!!  因为,咖啡是杀毒软件;难道我们都忘了咖啡的本质是什么?  杀毒的,干活!!!

你说白加黑,能不能够“防御”?


二、安软的对比防御能力

什么样的安软能够防御,你说的“高级样本”-【白加黑】?

所有的,都能(一定程度上)!

但是,咖啡有了规则;在不安装软件的情况下(安装软件,仅仅是小概率事件),【白加黑】就是一个废物!

除了咖啡,还有多少软件,能够在拥有杀毒功能的同时,拥有规则这般强悍的防御力?!!

这才是,咖啡的诱人之处!!

#我们从没想过要神化咖啡;相反,我个人为将咖啡从“神坛上赶下来”而做出过相当多的努力!(当然,这些你并不知晓)

-

不要拿着毛豆的思维;来考察咖啡,因为这样,最后都是以可笑的结局收场的~
巴山冷箭
发表于 2012-11-28 23:10:16 | 显示全部楼层
用咖啡的规则,主要是平时的应用,即不装软件时随意的玩游戏,浏览网页,上QQ......
咖啡的实质是一款杀毒软件,我们下载的软件程序,则要考这块来防御了.也有很多咖啡
杀不了的病毒,如果这期间,没有较好的使用习惯,则倒下了......

其实很多说"神"咖啡是在规则时的平时应用而已,从入口防御了网络网页等带来的威胁.
以我个人的使用,我还是把咖啡当杀毒软件用,这是它的本质工作.DIY规则,是业余
时间的一种乐趣...通过咖啡熟悉系统,通过应用熟悉咖啡......

咖啡,毛豆各有特色,也各有不足......理智对待

评分

参与人数 1经验 +10 收起 理由
storyhare + 10 感谢解答: )

查看全部评分

shiyuelaohu
发表于 2012-11-29 14:38:42 来自手机 | 显示全部楼层
咖啡最擅长的是入口防御,要说禁止挂钩子貌似只能从禁运黑dll上入手,无法阻止底层操作,这确实是咖啡的软肋。最好的方法就是将黑dll入库,但这也不太现实,这样一来病毒库就会变得相当庞大,所以云端验证是最好的方法。在使用绿色软件的时候不妨开启金山卫士,这样就相对安全了。另外,防御白加黑最好的工具是人脑,不要轻易使用来历不明的软件也就是了。如果毛豆提示挂钩子,又如何判断这个行为是黑是白呢?所以,好的意识才是最强大的主动防御。
GreenCodes
发表于 2012-11-29 15:45:35 | 显示全部楼层
storyhare 发表于 2012-11-28 22:54
谨以2个角度说明:

一、咖啡的防御能力(目前所开发的)

说到底还是个人和企业使用环境不同,哪个企业整天没事下破解玩的?
GreenCodes
发表于 2012-11-29 15:47:27 | 显示全部楼层
shiyuelaohu 发表于 2012-11-29 14:38
咖啡最擅长的是入口防御,要说禁止挂钩子貌似只能从禁运黑dll上入手,无法阻止底层操作,这确实是咖啡的软肋 ...

虚拟化操作+权限控制+信誉审核,可以最大限度保证安全,另外记得UAC要开
firefox3
发表于 2012-11-29 15:51:41 | 显示全部楼层
柯林 发表于 2012-11-28 19:36
吐出来的口水就是泼出来的水,哪有收回的道理?
题目虽然有点刺眼,内容却是全部可由事实验证以理服人来 ...

柯大也玩咖啡?
我记得猫版提到过白加黑防御,找到了这里:
http://bbs.kafan.cn/forum.php?mo ... =%B0%D7%BC%D3%BA%DA
shiyuelaohu
发表于 2012-11-29 16:24:36 来自手机 | 显示全部楼层
本帖最后由 shiyuelaohu 于 2012-11-29 16:26 编辑

白加黑只是少数,一个黑dll想要找一个可以利用的白名单也很困难。我曾经想过一个规则,既然无法用文件名判断dll,那么为什么不从exe入手呢?这样的白文件总是数量有限的。假如a.exe和b.exe是被利用过的。那么规则可如下,
a.exe,b.exe

**.dll
所有操作
当触红之后,再利用咱们强大的国产的云验证一下吧!
柯林
 楼主| 发表于 2012-11-29 17:56:03 | 显示全部楼层
firefox3 发表于 2012-11-29 15:51
柯大也玩咖啡?
我记得猫版提到过白加黑防御,找到了这里:
http://bbs.kafan.cn/forum.php?mo ...

白+黑的防御,在目前确实是个问题,只有手动HIPS监控陌生程序的每一步行为,以及特征码侦测的直接杀掉,是从逻辑上可证明为有效的方式。以实际而言,绝大多数人其实中这个的概率很低,至少目前是这样。
如果不能完整监控程序的每一步行为,仅靠禁运或者禁止文件创建的方式,虽然在理论上可以推断成功防御,但从实际运用的角度,是有漏洞和不把稳的——用户下了一个程序,不知道它是白+黑,运行了,咋办?
柯林
 楼主| 发表于 2012-11-29 18:12:29 | 显示全部楼层
GreenCodes 发表于 2012-11-29 15:45
说到底还是个人和企业使用环境不同,哪个企业整天没事下破解玩的?

这确实是的,本来就是企业用的,用在企业上,那是固若金汤。
换成个人来用,那就难免下个带毒的来运行不了,只能关了再运行或安装,结果倒下了,非高手难免的!于个人用户而言,计算机不下载和安装程序使用,那简直是太奇怪和太好的习惯及操守了,够屌丝
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-27 12:04 , Processed in 0.098348 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表