楼主: 深红的雪
收起左侧

[技术原创] 咖啡防入口通用型规则包【7月19更新】

[复制链接]
svlbt
发表于 2008-7-20 11:45:06 | 显示全部楼层
小邪邪的规则用起来,真的很顺畅,见红很少了。
而且规则越少,理论上消耗的资源也越少~
小邪邪的思路应该也是主要阻挡上网及U盘所带来的可执行程序未知运行。
不过在咖啡“侦测率较低”的前提下,我反倒不安起来。
气流的这套,我想大概近期还有更新吧~这样好像比较复杂了,跟小邪邪的严历规则思路有些类似了吧。
gzh87
发表于 2008-7-20 11:58:18 | 显示全部楼层
再次更新,顶上去啊!!
gzh87
发表于 2008-7-20 12:03:06 | 显示全部楼层
怎么我下不了,楼主又提升了下载的权限???
深红的雪
 楼主| 发表于 2008-7-20 14:35:03 | 显示全部楼层

回复 651楼 svlbt 的帖子

看规则不能只看表象
思路显然是不一样的
真要说的话,邪邪的精简规则是存在漏洞的
怎么说?
邪邪的精简规则为了减少见红,在规则中大量排除**\windows\**,**\Program files\**这些目录,而且为了防止病毒进入这些位置,在默认规则的中“禁止在 Windows\Program files文件夹中创建新的可执行文件”没有排除任何进程。这当然是为了安全性考虑的,但问题也是存在的。
首先就是软件的安装问题,这个就不用解释了吧
然后就是安全上的漏洞问题,也就是规则存在被绕过的可能。

漏洞一,如U盘病毒。构造autorun.inf如下:
[autorun]
open=RunDll32.exe .\SysInfo2.Dll,MyFun
shell\\1=打开(&O)
shell\\1\\Command=RunDll32.exe .\SysInfo2.Dll,MyFun

其意思是利用RunDll32.exe加载病毒SysInfo2.Dll。
RunDll32.exe在哪里?自然是在System32目录下,所以在规则的排除范围之外,病毒自然通行无阻。

漏洞二,文件可执行后缀。
默认规则的中“禁止在 Windows\Program files文件夹中创建新的可执行文件”中的可执行文件指的是.exe和.dll这样后缀的文件,但不包括.com、bat、.pif等后缀。
假设这样的情况:IE上网碰上网马,下载了一个病毒(.com后缀)到windows文件夹,并执行之。此过程规则完全没有阻挡,而且即使病毒运行起来后,由于在windows文件夹内,也继续畅通无阻,规则完全被过

漏洞三,脚本病毒。
如.bat、.vbs等脚本病毒,由于执行的宿主分别是cmd.exe、wscript.exe都在windows\system32文件夹下,也属于排除的范围,所以规则不会阻挡。

而我的规则则是为了避免出现上述情况而写的,一是尽量做到在不关闭规则下能够安装软件,二是对U盘和网马做了针对式的防御,而不是锁定硬盘的思路。所以说,思路是不相同的。当然也不是说我的规则没有漏洞,我的更新也就是为了补漏
规则的意义不在数目的多少,而在规则所能达到实际效果,既安全又方便才是我的规则追求的目标,要是三条规则能比一条规则的效果好,那么我宁愿选择三条
深红的雪
 楼主| 发表于 2008-7-20 14:35:28 | 显示全部楼层

回复 653楼 gzh87 的帖子

没有设任何权限啊,怎么会下载不了呢
gzh87
发表于 2008-7-20 17:08:53 | 显示全部楼层
能下载了……怎么要在主页登录了才能下载的呢?不懂
我收藏夹收藏的是MCAFEE这个子版的,而非卡饭,但我也登录了啊,否则怎么发贴……
wccs
发表于 2008-7-20 20:10:40 | 显示全部楼层
再次感谢楼主的辛勤劳动,学习了不少东西!
lyqq7206
发表于 2008-7-20 20:25:13 | 显示全部楼层
很好呀,我喜欢咖啡
gho
发表于 2008-7-20 20:26:55 | 显示全部楼层
原帖由 rappar 于 2008-7-20 14:35 发表
看规则不能只看表象
思路显然是不一样的
真要说的话,邪邪的精简规则是存在漏洞的
怎么说?
邪邪的精简规则为了减少见红,在规则中大量排除**\windows\**,**\Program files\**这些目录,而且为了防止病毒 ...

呵呵精辟学习了
jiebozhang
发表于 2008-7-20 21:26:36 | 显示全部楼层
别人的规则我一般用来学习~~
您需要登录后才可以回帖 登录 | 快速注册

本版积分规则

手机版|杀毒软件|软件论坛| 卡饭论坛

Copyright © KaFan  KaFan.cn All Rights Reserved.

Powered by Discuz! X3.4( 沪ICP备2020031077号-2 ) GMT+8, 2024-12-29 09:01 , Processed in 0.118239 second(s), 14 queries .

卡饭网所发布的一切软件、样本、工具、文章等仅限用于学习和研究,不得将上述内容用于商业或者其他非法用途,否则产生的一切后果自负,本站信息来自网络,版权争议问题与本站无关,您必须在下载后的24小时之内从您的电脑中彻底删除上述信息,如有问题请通过邮件与我们联系。

快速回复 客服 返回顶部 返回列表