MCAFEE的远程防控功能到底如何？

医者医人身心

好像咖啡是所有安防软件里唯一标榜自己具有防止远程操控功能的软件，那有大侠对其防护能力进行测试过吗？防护能力到底如何啊？

dengcz520

咖啡的防远程操控是需要人为的定义规则，并不能自动的拦截。而且目前的远程桌面软件一般都是走合法路径的，一般现在的杀毒软件都不拦截，但是也都可以通过防火墙来自定义拦截

医者医人身心

楼上没有明白我的意思。比如QQ有远程协助作用，咖啡是不会拦截的。因为QQ远程协助是通过QQ合法进程进行通信的。我的意思是，没有木马的情况下，也没有使用合法进程的情况下，咖啡的远程防控作用到底如何？比如系统漏洞，黑客利用漏洞入侵系统，不使用木马，也没有本地合法进程作为跳板，那咖啡对黑客这样利用系统漏洞的远程操作防控功能到底如何？

cocabean

这个貌似是防火墙的事

ly910326

医者医人身心 发表于 2014-5-2 18:18
楼上没有明白我的意思。比如QQ有远程协助作用，咖啡是不会拦截的。因为QQ远程协助是通过QQ合法进程进行通信 ...

应该是通过对本地端口的保护吧。

柯林

医者医人身心 发表于 2014-5-2 18:18
楼上没有明白我的意思。比如QQ有远程协助作用，咖啡是不会拦截的。因为QQ远程协助是通过QQ合法进程进行通信 ...

首先，你要定义，你的远程防黑究竟是怎么一回事？禁止读取本地文件，修改，还是使用软件？

之后，问题分两部分看。对于系统内安装的合法程序，如果你不想它权限过大，可以试着想办法限制，对于私隐文件，设法加以保护（例如设置规则禁止访问私人文件夹，或者对私隐文件加密存放等）。
对于利用系统漏洞进行攻击，这个要具体分析了，严重级别的漏洞攻击，理论上任何软件的防护都无效；一般级别的漏洞攻击，可能有效。这些，需要用实验数据来加以事实上的回答，思辨上的回答没有意义。

SUNKESS

dengcz520 发表于 2014-5-2 18:11
咖啡的防远程操控是需要人为的定义规则，并不能自动的拦截。而且目前的远程桌面软件一般都是走合法路径的， ...

企业版vse可自定规则，楼主问是个人版mcafee也可以制定防远控规则吗？

医者医人身心

柯林 发表于 2014-5-3 11:08
首先，你要定义，你的远程防黑究竟是怎么一回事？禁止读取本地文件，修改，还是使用软件？

之后，问题 ...

我觉得咖啡默认规则里，对于远程防控项没有完全开启是对企业用户的一种方便，但也是一种漏洞。默认规则里，远程防控包括对读写等防护，但可以自己制定更加严格的远程防控。禁止远程对本地文件、注册表进行任何形式的读、写、运、删、创操作。我的疑问就恰恰在于，黑客利用系统漏洞入侵时，没有本地合法进程做跳板、又没有木马做载体，他如何远程操控本地电脑的？这才是问题的关键。黑客该如何利用漏洞进行本地电脑的读、写、运、删、创操作？咖啡在此时到底起不起作用？
我说的系统漏洞，当然包括严重级别的漏洞，但不包括硬件方面的漏洞。呵呵。这就是咖啡神奇的魅力所在。整天有人拿咖啡与卡巴斯基、诺顿、大蜘蛛、小红伞、小A等安全软件比较，我觉得，就一个远程防控作用就把他们拉了一大截子。呵呵。

医者医人身心

我再问一个更加神奇的问题，黑客利用漏洞对本地电脑进行操控时，没有木马的情况下，到底是哪个具体的进程承当这个远程操作功能？还是资源管理器进程吗？呵呵。

柯林

医者医人身心 发表于 2014-5-3 19:26
我再问一个更加神奇的问题，黑客利用漏洞对本地电脑进行操控时，没有木马的情况下，到底是哪个具体的进程承 ...

既然讲远程，当然得联网，在这个联网的过程中，包括两大部分，一个是负责处理网络通信的程序，包括了浏览器、播放器、通信器之类的应用程序和windows一大堆进程和模块，另一部分是负责维持系统正常运转和提供服务支持的各个进程与模块，不管哪一部分出了问题，产生漏洞，恶意代码随着通信进入系统，自然就循着漏洞一举攻陷了，就像一个人体虚了，一股阴风吹来，病毒或邪魅自然就透体而入中标了，你说究竟是哪个东东导致的呢？

ps：不要把问题想复杂和区分太明显了，对计算机而言，不管是exe、dll、还是sys神马的，只是一堆指令的结合而已，里面的各条指令与你写的一条批处理命令在本质上没什么不同，能执行就ok了，所以恶意代码并不一定要集合到一起封装成一个exe或dll，化整为零，进入计算机再组合起来，或者分批次进行梯队攻击亦无不可呵，乃至于只须一条追魂令随便嵌入在什么文件里进来就完事。至于进一步说到硬件级别，cpu才管你什么程序的，一律拆解为一条条的指令加以执行嘛，只管分下ring0和ring3就完了，代码或称指令加载进内存送CPU去执行，一切的后果都明摆着的，有漏洞就是找死嘛，所以别再固执于程序必须是一个exe之类的层面来看问题了，那就是操作系统整给人看的一个“幻象”，在机子物理层面的真实情况，就是一条条指令的执行和数据的读写而已，进一步而言就是0和1的组合、电子的运动罢了。

so，从代码或指令的角度看问题，你就不会固执于旧有观念了。打个比方，从dos的层面来看，远程连接与本地执行，其实没多大区别，都是一条条的命令在执行嘛，只要能获得足够的权限，执行同样的命令，无论是远程还是本地，结果是一样的噻，这就是远程攻击得手的原因呗。