简要的说明一下可爱的准备工作吧

qpzmggg999

大家新年好，

时隔2年之久，在新的规则发布之际，我想先做一些比较有价值的探究工作。

不说闲话，那么我就先谈谈我在准备规则之前需要准备什么信息

A-病毒测试

首先我们都知道 防御，规则，杀毒已经漏洞与0day攻击的防御措施都离不开网络威胁。

离开病毒弹杀毒，离开攻击谈防御以及离开行为谈规则都是没什么用，也没什么意思的

我具体会测试什么？

1.反文件加密保护测试

我准备对于最近的一些锁屏病毒做一个横向测试，其中不仅仅包括具备我最新实验规则的vse patch6 还应包括如下软件：

专业应对加密保护的软件（比如bd的小工具），智能安全软件（包括norton 也可能有卡巴斯基 但是最近mr1问题好像比较多），以及mcafee 新出的那个智能主防

Extra：我还会深度测试一下mcafee新主防的能力

然后通过结果来完善我的通用规则。

2.常规病毒保护测试，系统保护测试

不必多说，拿常规病毒双击即可。

3.漏洞保护测试

使用最新的来自hitman pro以及其他公司的测试软件进行测试（不包括老掉牙的毛豆的那个测试工具）
ps：vse不是反漏洞软件 有一些测试项目（比如键盘记录和摄像头记录）不能参加测试。当然，我估计咖啡主防也要跪的。

B-通用性测试

在这个部分我所做的就是 写很多条规则，尽量少用通配符。多进行单一进程控制

我会测试日常常用软件以及非常用软件与规则的兼容性。但是肯定的是，装新程序必须关闭规则。

C-配合测试

我目前准备给vse配一个反漏洞软件，目前还在观望中，但可以肯定的是，软件是必须要配合的

我认为，随着时间的推移，攻击会越来越多样化，在2013年 白加黑病毒肆虐中国，网游图片式木马与日俱增 2014年 注入病毒大量爆发 2015年 锁屏 诈骗 加密数据的威胁更是层出不穷 相对比来看 2013年之前的威胁大多数是依靠文件进行传播，感染，作恶。 但是在最近几年，注入越来越被广泛的使用 各种花招，各种暗道 井喷而出，所以我认为访问保护在今后2年里 能阻止的病毒越来越少 能帮上的忙越来越小。这也是为什么mcafee在2016开年报告的时候提到 2016是研发主动防御的必要时段了。

Extra：咖啡在研究主防的时候，别的厂家已经研究反漏洞了。咖啡的反漏洞还是最传统那种被动式保护，基本上没什么用处。果然是落后一个世纪的安全公司~

so，我无论如何也要找一个兼容vse的反漏洞软件，目前来看这一类软件真的很有用，而且也很好用！

-------------------------------------

我的准备工作就是这些了 大体上来说就是 先写一个实验规则 然后在进行反锁屏软件横向评测 接着对通用规则进行优化 最后寻找到一个好的搭档推荐给大家

结束，希望大家过得快乐。

柯林

新年快乐，前额沙发。
有用的规则就需要实测检验的，慢慢搞，出精品。

欧阳宣

建议在A里再加上一些常见的流氓静默安装和下载器的测试，毕竟天朝特色

qpzmggg999

欧阳宣 发表于 2016-1-27 15:57
建议在A里再加上一些常见的流氓静默安装和下载器的测试，毕竟天朝特色

提供威胁源 就测试

欧阳宣

qpzmggg999 发表于 2016-1-27 17:21
提供威胁源 就测试

http://malc0de.com/database/index.php?search=CN

这里的pup就挺多的

qpzmggg999

欧阳宣 发表于 2016-1-27 17:25
http://malc0de.com/database/index.php?search=CN

这里的pup就挺多的

There was an issue communicating with the captcha provider. More information may be available below.

code是什么

欧阳宣

qpzmggg999 发表于 2016-1-27 17:37
There was an issue communicating with the captcha provider. More information may be available belo ...

captcha是验证码服务器，需要翻

qftest

如果楼主打算VSE+HMPA那么下述情况时建议放行，否则可能会卡得不行或触发DEP等各种奇葩拦截
[mw_shl_code=css,true]2015/10/12        15:27:48        已由访问保护规则禁止         PC\user        C:\PROGRAM FILES (X86)\POTPLAYER\DTDROP.EXE        \\.\pipe\hmpalert        防病毒爆发控制:将所有共享项设为只读        已阻止的操作: 写入[/mw_shl_code]

存在类似隐形冲突的还有TB数字证书、chrome浏览器等
另，如果配成VSE+MBAE，则最好将MBAE高级设置中的这两个勾取消掉，否则浏览器有可能出现不可预计的各种莫名崩溃（据说1.08有过小修复）


以上仅建议在与VSE搭配时
其实我是路过的~

qpzmggg999

qftest 发表于 2016-1-27 22:45
如果楼主打算VSE+HMPA那么下述情况时建议放行，否则可能会卡得不行或触发DEP等各种奇葩拦截
[mw_shl_code= ...

C:\PROGRAM FILES (X86)\POTPLAYER\DTDROP.EXE

播放器？

驭龙

我是来支持一下的