怎样写套简单而又犀利的防毒/测毒规则？（12楼和13楼有参考贴图）

qftest

柯林 发表于 2014-6-8 21:38
没找到，网上一搜，一片一片没用信息
没样本真的没法知道漏洞所在，这些要加载系统模块的程序，真的不行 ...

慢慢找下，我那时也找了好久，那是个PDF文档，是咖啡官方发布给企业系统管理员的说明书文件包附带的一个纯鸟语文件
另外，我以为你明白了我刚才说的，但现在看来我得重提一下“在实际使用环境中，你不可能预知当前“安全”的程序的AD行为，“先要程序运行起来再说”这样的想法本身就是危险的，会让你在不知不觉中中招，除非你坚决的拒绝运行一切外来程序”
在面对帐户修改测试样本时你保持着高度警惕，而这个“修改帐户”的API功能若是隐藏在一个貌似正常的程序中时你怎么办？无点击按钮、无提示框、内部倒计时、时间一到就利用系统API函数修改帐户、锁屏、重启、开始敲竹杠。。
comodo是让禁运党有一个可以反悔的机会，禁运掉之前放行的“安全程序”
如果此时加亮字句仍不能说明搭配comodo之类工具的必要性那我就没什么话说了

依班娜

还有一类lpk和usp10我朋友手头有几十种

柯林

依班娜 发表于 2014-6-8 22:11
还有一类lpk和usp10我朋友手头有几十种

这个知道，那时EQ还没倒，所谓的极虎还是什么吧，风光过一时

柯林

qftest 发表于 2014-6-8 21:58
慢慢找下，我那时也找了好久，那是个PDF文档，是咖啡官方发布给企业系统管理员的说明书文件包附带的一个 ...

鸟语的算了，反正现在这个也能秒杀一切，无所谓了，条条大路通罗马，用哪个都一样

安全的程序行为，这个不知道扯到哪里去了，你可以反问我如何知道一个程序的行为是安全的，我也可以反问你如何知道一个程序的行为不安全？正如windows很多人传言有后门，又有谁能明确地知道究竟有没有，如有，后门何处？作为一个普通计算机使用者，难道你能亲自逆码每一个程序后明明白白地判定它安全不安全？一般人能做的，还不是靠着杀软和一些安全辅助工具？作为一个稍微有点安全知识的人，使用MSDN系统，从正规网站下载口碑好的软件来使用，安装前杀软已经扫过无毒，这种情况下，我确信自己机子环境干净，有何不行？至于那些不知道哪里来的各种东东，我用禁运流规则一律秒杀，我不知道你说的危险何在？

ps：我不稀饭那些复杂透顶的层层剥皮不知道究竟剥干净没剥干净的所有程序列入甄别过滤的“超级安全”规则，我觉得一般人没必要这么发神经，为了理解个规则耗费十天半月，为了使用顺畅又排除个十天半月.......这就是吃多了撑的！规则，就是用来防御未知威胁的；已知的还需要规则做啥呢，杀毒软件早已入库等着杀了。

so，在实际使用环境中，我确知所装所用的软件是安全的，那些未知的、不明的，一概秒杀，我觉得这个是妥妥的，是利用现有资源的最好方法。至于某些GC软件的流氓行为，我的态度是，信不过就不用，用了就别为它耗神了，那么多人用也没倒下，不缺你一个。与其为之整套规则来防御，不如寻找替代品，或者用个反流氓工具清除，至于规则能够简单防御一些的就阻截掉一些。

最后废话一句，如果comodo能证明它存在的无上价值，那些用杀软的可以去跳崖了——请问实际使用当中，有几个人中标的？（个人现成例子，用了十年以上的电脑，中毒却未超过十次，都是集中于早期，近有的一次是为了试验规则而下了月光斑竹发的样本——实际例子就是，你不下样本，还真的难找到毒）

依班娜

柯林 发表于 2014-6-8 22:48
鸟语的算了，反正现在这个也能秒杀一切，无所谓了，条条大路通罗马，用哪个都一样
安全的程序行为，这 ...

我觉得禁运流就是防手贱的
不然忍着就可以了

a8595163

柯林 发表于 2014-6-8 17:52
你搜论坛资料，8.8版本，32位系统应该是：
HKEY_LOCAL_MACHINE\SOFTWARE\McAfee\SystemCore\VSCore\On A ...

谢谢  我还以为在咖啡的设置里  找了半天

qftest

柯林 发表于 2014-6-8 22:48
鸟语的算了，反正现在这个也能秒杀一切，无所谓了，条条大路通罗马，用哪个都一样

安全的程序行为，这 ...

不考虑现实使用的安全性、只寄希望于一味的禁运，难怪你看不明白我为什么要扯到安全的程序行为
行了，玩抬杠没什么意思，言之无物空话一堆，你就继续YY强大的禁运流规则吧跟咖啡豆讲排除量，真是搞笑。。。连咖啡豆组合中比单奔VSE时能大量减少排除、CFW大量减少弹窗都不知道，那还有什么好说的

柯林

qftest 发表于 2014-6-9 09:24
不考虑现实使用的安全性、只寄希望于一味的禁运，难怪你看不明白我为什么要扯到安全的程序行为
行了，玩 ...

啥叫使用的安全性？你觉得HIPS那种每一步行为都鉴定一下，就叫安全性，实用性？别扯淡了，像卡卡跑丁车、多塔那些游戏，其行为与病毒就是一样一样的，请问你如何用你的HIPS呈现的“病毒行为”判定它是个安全程序？也别扯这个了，就说个QQ，你用HIPS能禁止它加驱，还是能禁止它扫盘，如果这些基本的东西都做不到，你在咖啡头上加个豆，只是加了一层优良感觉而已，其实屁用也没有！

别扯神马HIPS了，我已经玩厌倦了，实用性上就是个渣——除了测度党日常测得一堆病毒行为聊以自慰外，有个鸟用？安装个程序与禁运党有神马两样？如果不是真正的计算机安全专家，不是靠分析病毒吃饭的，玩HIPS只不过是自我标榜高端而已！

同样的，你也不明白我说的简单有效的道理

qftest

柯林 发表于 2014-6-9 19:41
啥叫使用的安全性？你觉得HIPS那种每一步行为都鉴定一下，就叫安全性，实用性？别扯淡了，像卡卡跑丁车、 ...

好大的权威啊，真是被小白宠坏了的大神，连VSE的默认规则适用范围都没搞懂就敢出来发帖解释官方规则我真心佩服你的勇气，起码看下人家墨池的帖子也好啊，也不至于搞笑的弄一堆重复的自定义规则出来
都已经跟你强调不可能预知程序的AD行为了，你还扯什么“确知所装所用的软件是安全的，那些未知的、不明的，一概秒杀”唯心哲学，还妥妥的？以杀软扫描的结果为是否“干净”的标准？妥个毛啊。。。还好意思说用了十年电脑，中招时人家会给你发短消息通知？注入的实施方法与入口接驳也不懂，就敢说玩厌倦了HIPS。。。行了柯大，就这样吧，我今后可不敢再回复大神帖了

http://bbs.kafan.cn/thread-1729630-1-1.html，对“硬件、系统、驱动”都搞不清楚就敢妄谈系统安全、脑补YY出一个“大管家”，不愧为玩了十年电脑啊。。。为什么我没有早点拜读这个帖子、傻傻的跑到这里来回复，弄得现在被大神科普，好尴尬。。。 悔之晚矣

龙套传说

柯大来了咖啡区是用咖啡的饭友的福音啊。