咖啡防入口通用型规则包【7月19更新】

23tg33g073

好帖，力顶~~~~~~~~~

深红的雪

原帖由 xqiafl 于 2007-12-12 12:11 发表
非也,    IE 缓存目录只是暂时性保留文件,  当然,木马下载到缓存目录后, 会通过IE 自动复制到

指定目录.  比如: TEMP 目录.
...

IE 缓存目录只是暂时性保留文件，很好，但浏览器一样可以去执行其中文件，这点没问题吧？如果脚本让IE直接执行IE 缓存目录下的病毒呢？这是很常见的情况！
又例如 在浏览器地址栏输入http://www.333292.com/down/4.exe ，回车，再点运行，又会发生什么事？只要病毒存在于IE缓存文件夹中，就得设防。
另外对于第一条U盘规则的作用我已在一楼更新说明。

我为什么说病毒不一定由浏览器来执行就是这个原因
...

这是我的话，现在我承认这话确是错误的。脚本宿主工具的确不执行病毒。而事实是，由WScript.exe 调用组件，然后再调用cmd.exe，再由cmd.exe去执行病毒！

网马是脚本类的, 获取路径,  只是调用的它一类脚本中的函数, 而并非API 函数
...

这个学习了！“它一类脚本中的函数”？，据我所知，网页脚本病毒要下载木马到本地或对本地进行文件操作都必须通过系统组件，而且大部分调用的都是Scripting.FileSystemObject组件里的函数（这个该算是什么函数？），因此禁用系统中的危险组件是十分必要的

你只不过, 是限制了缓存目录的EXE文件的操作. 但, 这个复制过程是IE 在做...
...

我所做的不仅仅是“限制了缓存目录的EXE文件的操作”，这点请理解。“复制过程是IE 在做”—— 一定是这样么？例如WScript.exe成功调用Scripting.FileSystemObject创建对象后就能进行复制操作
其实你一开始就是仅仅在针对我贴上来的4条规则，那4条规则只是规则包中的一部分。至于你提及到禁止IE新建文件、禁用组件等等，在我的规则包中都有体现，只是你没有去看罢了。
最初贴在一楼的4规则中，其中两条感觉是重复了，后来我把规则包的另一规则拿出来换掉其中一条，不知你是否有留意。再说一次，贴出来的规则只作抛砖引玉之用，这个一开始我就有说明了。

其实我在27楼就解析得很清楚，不知道你又有没有去看？？

本人再怎么说，你也听不进去
...

这话怎么说？回应你的帖子的时候我也说了会慢慢研究了


丑不怕献，交流讨论才是最重要的。这个规则包我是参考了不少资料、请教了一些高手而写成的，我不是专门研究网马的，有所错漏在所难免开始我也说了，希望赐教以完善此规则包，但你仅仅围绕那4条规则讨论........
交流讨论还望别动气好。

[ 本帖最后由 rappar 于 2007-12-15 17:50 编辑 ]

miao0615

的确不错，花了楼主不少功夫啊~
大家多交流交流也是在学习啊~

gxd

讨论是好的
但要注意“互助分享 大气谦和”

sxm219

感谢楼主分享,我在虚拟机上使用，不错。

qz4a506

谢谢分享

zhabc2004

学习了，试试规则防护如何，谢谢!

hope250

知识是需要分享的，希望“xqiafl ”兄弟能写出你对网马的理解，让大家共同进步，藏私可不是卡饭的风格啊

JackyDon

楼主厉害啊！

zzw0828

不错的说~~~LZ继续发