楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
墨家小子
发表于 2014-3-6 18:48:06 | 显示全部楼层
qftest 发表于 2014-3-6 14:50
远控

价格表(1).zip

88楼这一楼开始,找几个试试呗
http://bbs.kafan.cn/forum.php?mo ... 17&pid=29847097
qftest
 楼主| 发表于 2014-3-6 21:00:48 | 显示全部楼层
jml521m 发表于 2014-3-6 15:46
墨家小子找到好测试的人了,看人家的热情劲,呵呵。。。一直占据着楼盘高高在上

补休到12号,太闲啦
qftest
 楼主| 发表于 2014-3-6 21:01:22 | 显示全部楼层
墨家小子 发表于 2014-3-6 18:48
88楼这一楼开始,找几个试试呗
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=162701 ...

这么多?
qftest
 楼主| 发表于 2014-3-6 22:03:48 | 显示全部楼层
墨家小子 发表于 2014-3-6 18:48
88楼这一楼开始,找几个试试呗
http://bbs.kafan.cn/forum.php?mod=redirect&goto=findpost&ptid=162701 ...

VSE

注入锁屏AjKgUsk0
注入锁屏eieknncqevhqxyyytkwkhkrgbrcky
注入锁屏gvpltapgqks
注入锁屏izho1G40
注入锁屏Qn33hfN0
注入锁屏yjuoumiwli
无反应



注入锁屏gIgE2mq0

2014/3/6        21:38:09        已由访问保护规则禁止         qftest\Kafan        C:\测试\注入锁屏gIgE2mq0\gIgE2mq0.exe        C:\Windows\SysWOW64\svchost.exe        用户定义的规则:01 调用系统程序        已阻止的操作: 读取
2014/3/6        21:38:09        已由访问保护规则禁止         qftest\Kafan        C:\测试\注入锁屏gIgE2mq0\gIgE2mq0.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 删除
2014/3/6        21:38:10        被端口阻挡规则阻挡         C:\测试\注入锁屏gIgE2mq0\gIgE2mq0.exe        通用最大保护:禁止 HTTP 通信        220.250.64.25:80




除了gIgE2mq0,另几只都没反应的,是不是不支持winx64啊
所测的这几只都没有锁屏

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
墨家小子
发表于 2014-3-7 08:55:43 | 显示全部楼层
qftest 发表于 2014-3-6 22:03
VSE

注入锁屏AjKgUsk0

我擦 我忘记你是win8 X64了  不过这条规则就能说明问题了
2014/3/6        21:38:09        已由访问保护规则禁止         qftest\Kafan        C:\测试\注入锁屏gIgE2mq0\gIgE2mq0.exe        C:\Windows\SysWOW64\svchost.exe        用户定义的规则:01 调用系统程序        已阻止的操作: 读取

其实这条规则之后即便放行,要是之后的启动项能守住,也不怕锁屏,注销重启之后木马就死掉了,所以测试麦咖啡的启动防御才是关键

qftest
 楼主| 发表于 2014-3-7 09:09:51 | 显示全部楼层
本帖最后由 qftest 于 2014-3-7 09:13 编辑
墨家小子 发表于 2014-3-7 08:55
我擦 我忘记你是win8 X64了  不过这条规则就能说明问题了

其实这条规则之后即便放行,要是之后的启动 ...


01是防止“创建进程”这个动作的,无数次试验证明VSE如果被病毒“创建进程”经常全线溃败,未在规则中定义的注册表被写入一大批,最后只剩下02坚守最后底线禁止生成.exe,这样哪怕被写入启动项也没有具体的.exe来启动
这还是小木马的情况,如果是感染型如小浩这种恶性病毒,除非在规则里交叉排除大量的绝对路径规则,否则通配符的规则也守不住,但那样排除量就太大了,若是病毒有注入、键盘访问这种动作更是毫无办法,可见VSE的短板还是比较明显


2014/3/7        9:12:22        将由访问保护规则 (当前不强制执行规则) 禁止         qftest\Kafan        C:\测试\gIgE2mq0\gIgE2mq0.exe        C:\Windows\SysWOW64\svchost.exe        用户定义的规则:01 调用系统程序        已阻止的操作: 读取
2014/3/7        9:12:22        已由访问保护规则禁止         qftest\Kafan        C:\windows\syswow64\svchost.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows\CurrentVersion\Internet Settings\AutoDetect        防间谍程序标准保护:保护 Internet Explorer 收藏夹和设置        已阻止的操作: 删除
2014/3/7        9:12:23        已由访问保护规则禁止         qftest\Kafan        C:\windows\syswow64\svchost.exe        \REGISTRY\USER\S-1-5-21-3230559599-2187368653-2364514255-1001\Software\Microsoft\Windows NT\CurrentVersion\Winlogon\Shell        通用最大保护:禁止将程序注册为自动运行        已阻止的操作: 创建
墨家小子
发表于 2014-3-7 09:21:27 | 显示全部楼层
qftest 发表于 2014-3-7 09:09
01是防止“创建进程”这个动作的,无数次试验证明VSE如果被病毒“创建进程”经常全线溃败,未在规则中 ...

对,对于感染性的确是比较头疼,除了exe控制,就要跟一堆规则
qftest
 楼主| 发表于 2014-3-8 17:21:31 | 显示全部楼层
3.8更新
估计这是最后一次更新了,有需要的可自己另加规则,本帖只提供基础的规则
COMODO 规则部份提取新增了COMODO v7+OSS v9的注册表与COM等,调整了几个细节
VSE为更好的防御恶性病毒,新增了根目录写保护规则

本帖子中包含更多资源

您需要 登录 才可以下载或查看,没有帐号?快速注册

x
ldkvfeng
发表于 2014-3-15 22:55:09 | 显示全部楼层
请问能否单独是用咖啡
如果安全度不高能否推出个单独用的谢谢
qftest
 楼主| 发表于 2014-3-15 23:20:29 | 显示全部楼层
ldkvfeng 发表于 2014-3-15 22:55
请问能否单独是用咖啡
如果安全度不高能否推出个单独用的谢谢

单奔VSE如果开月神+绝对路径交叉排除还是挺安全的,虽然排除量很大。。。只是不能轻易关闭全局禁运,否则如果很倒霉遇到有注入、键盘访问、访问COM接口之类的话就不行了,所以才配了个COMODO来弥补
单独用的话我觉得SSF不错,安全设置中已签名程序“询问用户”+“自动阻止可疑行为”+“将浏览器添加进受限程序”就行了,有误拦时到规则窗中右键设定为允许即可,非常省心省力
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 13:32 , Processed in 0.094688 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表