咖啡防入口通用型规则包【7月19更新】

显示全部楼层 · 发表于 2008-7-20 21:53:47

呵呵，这个问题俺也是早已经过考虑的了
俺也一一亲身体验过来自各式各样毒网的各种exe,pif,com等格式网毒和vbs脚本等等
甚至还有冒充为tmp(格式)文件，而且一进就是要直接进到系统里的网毒

但在再三权衡之后还是保持默认的:监控最流行格式的规则

总之大家都来完善mcafee规则就是好的

显示全部楼层 · 发表于 2008-7-20 21:58:56

我想问下问题，这个规则包是累计型的吗？就是最新的下载是不是包括了以前所有更新的规则呀？？呵呵

显示全部楼层 · 发表于 2008-7-21 01:26:34

现在绝大部分的网马都是直接保存为exe
写shellcode的人估计没我们这么YD想到那么多

既然shellcode中都用到CreateProcess了，那么使用任何后缀其实都不是问题

我的更新加入的一条重要规则就是后缀控制，只允许特定的后缀作为进程执行，这样就可以补上后缀漏洞了
邪邪可以考虑一下加入精简规则中

显示全部楼层 · 发表于 2008-7-21 10:08:23

高手交流，我们学习收益！谢谢！

显示全部楼层 · 发表于 2008-7-21 21:49:31

习惯用防病毒规则，这个用得着更新吗

显示全部楼层 · 发表于 2008-7-23 00:39:10

非常佩服楼主大胆探索的精神,感谢楼主无私奉献.下载珍藏!!!!

显示全部楼层 · 发表于 2008-7-24 14:49:23

支持！

希望更的人看到也希望更多的人完善讨论

[ 本帖最后由 jiuzhege 于 2009-5-25 01:02 编辑 ]

显示全部楼层 · 发表于 2008-7-27 10:06:07

终于注册好了下载看看

显示全部楼层 · 发表于 2008-7-27 11:13:19

谢谢气流的规则，我下个试试

显示全部楼层 · 发表于 2008-7-28 16:13:03

我刚注册好用的，但是用了以后火狐下载保存文件的时候出现问题，下在文件的后缀名是PDB不知道和这个有没有关系

[技术原创] 咖啡防入口通用型规则包【7月19更新】