高手看看为什么咖啡的规则失效？

ybn100

样本区的这个帖子：http://bbs.kafan.cn/viewthread.php?tid=155776&extra=page%3D1&page=1

其中一个样本“MICRSOFT.EXE”运行后的行为是C:\DOCUMENTS AND SETTINGS\DELL\桌面\新建文件夹\MICRSOFT.EXE
木马程序生成以下文件:
1) C:\WINDOWS\SYSTEM32\MICRSOFT.EXE
我想问的是：我的咖啡8.5安装时开启了最大化保护，其中一条默认规则是“禁止在 Windows 文件夹中创建新的可执行文件”，既然是这样，为什么咖啡没有阻拦？
我注意到在默认规则中咖啡排除了不少程序（我没有添加新的排除项），是不是这个原因导致咖啡阻拦失败？

ybn100

再次请教。

小邪邪

默认规则因为排除了很多程序所以安全度很低
应该删除默认的所有排除，重新根据情况选择排除或不排除

CrystalAl

那个规则仅限C:\windows下吧......

xi2xi

保险点的方法就是自己打规则，碰到问题自己加入排除项，这样自由度还能大点，默认的规则可以不开启。

曲中求

原帖由 CrystalAl 于 2007-11-13 15:33 发表
那个规则仅限C:\windows下吧......

呵呵，不是的，


是包括windows目录下所有文件夹。如果是默认规则没有问题，exe程序是不能在windows目录下的任何一个文件夹生成的。楼主这种情况只能是排除了或者是规则失效了。

ybn100

这是默认安装后，该规则默认排除的东东。
???setup.exe, ??setup.exe, ?setup.exe, ahnun000.tmp, amgrcnfg.exe, autoup.exe, avtask.exe, boxinfo.exe, cfgeng.exe, cfgwiz.exe, cleanup.exe, cmdagent.exe, dahotfix.exe, dasetup.exe, dstest.exe, earthagent.exe, f-secu*, f-secure automa*, firesvc.exe, FireTray.exe, fixccs.exe, fnrb32.exe, framepkg.exe, framepkg_upd.exe, frameworks*, frminst.exe, fspex.exe, fssm32.exe, getdbhtp.exe, giantantispywar*, idsinst.exe, ie-kb*.exe, ieupdate.exe, ii_nt86.exe, ikernel.exe, ilaunchr.exe, inodist.exe, InsFireTdi.exe, iv_nt86.exe, javatrig.exe, js56nen.exe, kavsvc.exe, kb*.exe, LogonUI.exe, lsetup.exe, lucoms*, luupdate.exe, McAfeeFire.exe, McAfeeHIP_Clien*, mcscript*, mctray.exe, mdac_qfe.exe, MPEScanner.exe, mrtstub.exe, msi*.tmp, msiexec.exe, naimserv.exe, naprdmgr.exe, naprdmgr64.exe, narepl32.exe, navw32.exe, nmain.exe, nv11esd.exe, ofcservice.exe, paddsupd.exe, pavagent.exe, pavsrv50.exe, pskmssvc.exe, RPCServ.EXE, RSSensor.exe, rtvscan.exe, scanner.exe, setup*.exe, setup.exe, setupre.exe, sevinst.exe, SiteAdv.exe, spuninst.exe, sqlredis.exe, sucer.exe, supdate.exe, tmlisten.exe, tomcat.exe, tsc.exe, udaterui.exe, uninstall.exe, update.exe, updater.exe, updaterui.exe, v3cfgu.exe, vbs56nen.exe, winlogon.exe, wintdist.exe, wuauclt.exe, _ins*._mp

总以为默认是安全的，，看来不是啊，，是不是要把这些排除项都删除？？

[ 本帖最后由 ybn100 于 2007-11-13 20:11 编辑 ]