楼主: qftest
收起左侧

[技术原创] Win8x64 咖啡豆基础规则【Update 2014/03/28 Final】

  [复制链接]
墨家小子
发表于 2014-3-3 11:52:35 | 显示全部楼层
qftest 发表于 2014-3-3 11:50
对呀,VSE就是禁运党,简单又省事
SSF玩得少,曾在虚拟机玩过几天,很多提示看不懂。。象你截的这 ...

按照他们的说法就是吧
既然禁运那还不如用SRP,所以呢我觉得最适中的规则才好,不过很难做到,好吧,这句话好像什么都没说
qftest
 楼主| 发表于 2014-3-3 11:56:32 | 显示全部楼层
墨家小子 发表于 2014-3-3 11:52
按照他们的说法就是吧
既然禁运那还不如用SRP,所以呢我觉得最适中的规则才好,不过很难做到,好吧,这 ...

很多东西我都不太明白,一些提示也没解释得很清楚,正在慢慢学习中~
VSE不仅是规则禁运,我还喜欢月神以及VSE的修复功能,而且你不觉得VSE很简单吗,很容易上手使用,反正我一用就不舍得扔了
墨家小子
发表于 2014-3-3 12:03:34 | 显示全部楼层
qftest 发表于 2014-3-3 11:56
很多东西我都不太明白,一些提示也没解释得很清楚,正在慢慢学习中~
VSE不仅是规则禁运,我还喜欢 ...

最好能用两条规则禁运
qftest
 楼主| 发表于 2014-3-3 12:11:36 | 显示全部楼层
墨家小子 发表于 2014-3-3 11:52
按照他们的说法就是吧
既然禁运那还不如用SRP,所以呢我觉得最适中的规则才好,不过很难做到,好吧,这 ...

又仔细看了一遍SSF截图,那张图5也是说执行程序,而且还是执行计划任务、伪装成windows更新任务,运行级别还是最高,这张图就提示得很明白,所以我就看懂了,没有图3那么含糊
墨家小子
发表于 2014-3-3 12:13:50 | 显示全部楼层
qftest 发表于 2014-3-3 12:11
又仔细看了一遍SSF截图,那张图5也是说执行程序,而且还是执行计划任务、伪装成windows更新任务,运行级 ...

“执行计划任务、伪装成windows更新任务”这一步卖咖啡能拦截到不
qftest
 楼主| 发表于 2014-3-3 12:21:27 | 显示全部楼层
墨家小子 发表于 2014-3-3 12:13
“执行计划任务、伪装成windows更新任务”这一步卖咖啡能拦截到不

禁用04后估计不行,按comodo的说法父进程成功执行子进程后子进程就会被父进程完全控制,04就是为了保护系统程序不被胡乱调用而设置的,禁用04后就失去了这层保护,默认规则里又多是阻止创建修改之类、而没有防执行,所以我估计不行,除非启用04,因为c:\programdata并不在04的信任区里面
墨家小子
发表于 2014-3-3 12:24:45 | 显示全部楼层
qftest 发表于 2014-3-3 12:21
禁用04后估计不行,按comodo的说法父进程成功执行子进程后子进程就会被父进程完全控制,04就是为了保护系 ...
按comodo的说法父进程成功执行子进程后子进程就会被父进程完全控制
我赶脚毛豆的这个说法不是十分靠谱
qftest
 楼主| 发表于 2014-3-3 12:29:24 | 显示全部楼层
本帖最后由 qftest 于 2014-3-3 21:45 编辑
墨家小子 发表于 2014-3-3 12:24
我赶脚毛豆的这个说法不是十分靠谱


毛豆的提示比SSF更含糊,注入行为不仅是提示注入,COMODO提示修改文件、访问内存都有可能是在说注入,而提示“xx执行xx”时又不仅是执行,同样的动作还可能提示为“创建进程”“修改文件/目录”等等,所以如果仅看提示就比较容易误判
这个说法是不是正确我也觉得。。反正COMODO就是这么说的。。

记错啦 comodo说的是父应用程序访问目标应用程序内存后就可以完全控制目标应用程序,父进程成功执行子程序后就可以控制子程序的执行。。
leoarmy
发表于 2014-3-3 12:34:24 | 显示全部楼层
收下了 谢谢!!!!!
墨家小子
发表于 2014-3-3 13:19:00 | 显示全部楼层
qftest 发表于 2014-3-3 12:29
毛豆的提示比SSF更含糊,注入行为不仅是提示注入,COMODO提示修改文件、访问内存都有可能是在说注入,而 ...

好像没用毛豆了 不清楚现在是怎样定义注入的
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-25 00:30 , Processed in 0.091994 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表