谁的毛豆可以通过下面的测试？

显示全部楼层 · 发表于 2008-4-12 13:31:52

既然这样
\Device\NamedPipe\*
当然如果这样预设规则要做好，要不累死
THREATFIRE连ALTK都过不了。。。。。还算可以？！。。。。

显示全部楼层 · 发表于 2008-4-12 13:57:12

你如果认为只有过AKLT才能算是好那我无话可说了

TF是行为分析，不会对单一击键行为报警

显示全部楼层 · 发表于 2008-4-12 14:56:45

我看好几个都是权限的测试，除了添加命名管道的监控，还有其它的特别监控么？特别是cmd独有的。

显示全部楼层 · 发表于 2008-4-12 15:02:12

对了，现在EQ可以监视namepipe么？

显示全部楼层 · 发表于 2008-4-12 15:33:38

玩起老银的设备测试了

显示全部楼层 · 发表于 2008-4-12 15:39:42

没有虚拟机，不知道EQ和PS能够拦截不？

显示全部楼层 · 发表于 2008-4-12 16:03:46

啊~~个人要求不一样啦
对于我来说通过AKLT是最起码的要求
我比较依靠的是个人判断，通常用EQ或毛豆来分析病毒行为，所以毛豆我是用U版的规则，比较全面
等我又装毛豆时候再来领教一下你的大作规则
THREATFIRE就不能让用户自行做出许多判断，所以感觉很不安全

显示全部楼层 · 发表于 2008-4-12 16:46:28

Delete Volume
这个能防么？

显示全部楼层 · 发表于 2008-4-12 17:00:10

能的！不过要自己往PROTECTED FILES里加，也是\DEVICE路径的，具体可以到U版打磨规则下找

显示全部楼层 · 发表于 2008-4-12 18:19:00

隔岸观火ing，虚拟机偶时没有的了，只有个影子

[讨论] 谁的毛豆可以通过下面的测试？