个人认为装了mcafee8.5，再用小邪邪综合规则，可以不用更新系统打补丁了

jiuzhege

我没有研究过小邪邪的规则
有人说小邪邪的规则能被机器狗穿， 但是这个背景条件是怎样我也不很清楚

我只能基于我对rappar 3.4的规则的理解来说。

3.4的规则封的是途径。
也就是说。。 系统的补丁不补丁的意义只是 这个途径是不是可以被利用了。
前提就是1个。。。途径是不是能无限增加呢（可能，但是起码目前不是）

那么对于3.4所封的途径，起码就rappar的测试来说sp1下就ok了
也就是途径基本完整了，那么对于我来说。我sp2时候打补丁的意义我确实觉得不大。
这个是对可能被利用的漏洞来说的。
前提就是一般都是网上，因为本地的话你不去点鼠标  在牛X的病毒也就是呆在那里。。

但是 就好象我上面说的。补丁补漏洞，如果你是本地运行会怎样呢？
补丁的意义 对于3.4的规则我觉得更多的是在这里
（虽然我觉得补丁跟木马是没有关系的。。你运行了中了就是中了。。。因为这好像一个程序那样，
系统无法判断执行的主人是为了什么）

ps:对于3.4规则。。因为只要你下的东西源有保证，或者说在安全区外运行的话
好像还是不会中。。。。

有了3.4规则我都懒了很多了。
（连1个不怎么会用电脑的同学 我推荐给她mca后她都说对系统就不很敏感了。。。orz）
最近终于把虚拟机 等东西装起来。
作为弥补3.4规则对 源文件判断 这个“漏洞”，试软件的机制需要建立起来。幸好没有什么很多需要装的。
（其实我觉得也无可厚非，规则怎么判断软件本身的对错？）

[ 本帖最后由 jiuzhege 于 2008-5-24 21:08 编辑 ]

namedhao

补丁还是要打的，打补丁其实也不费事啊。

yangguang8684

不错

大猫熊

绝对必要。特别是浏览器的漏洞，很多恶意脚本都是靠浏览器的漏洞才能执行起来。

小邪邪

补丁绝对是不可缺少的

前两天我重装了系统，其实也什么问题，只是因为这个系统用了一年多了都没重装过
其间装装卸卸过无数软件而显得有点慢，有点乱了
（我用的一直是MCAFEE8.5i单监控+系统自带墙）

我重装后在没先打好补丁的情况下就去上了一个未知网站
结果此站通过系统漏洞给我的\Documents and Settings\LocalService\Local Settings\Temp目录里自动下载了一个
orz.exe程序，不过此程序在试图启动做乱时就被MCAFEE规则阻止了

被下面的这条规则阻止：


因采取了绝对路径排除，一般来讲未许可程序不能私自启动的
（综合规则）

之后我通过查看日志（右下盾牌已变红）也就立即手动去寻找并删除掉了这个恶意小程序


虽然MCAFEE+规则有时可能是可以防止一些通过漏洞下载恶意的程序做怪
但是最根本的防治方法还是及时打好系统的补丁

[ 本帖最后由 小邪邪 于 2008-5-27 23:42 编辑 ]

jiuzhege

那么打好补丁跟上网中木马有关系么。。。。？

chenshiguo

原帖由 小邪邪 于 2008-5-27 23:08 发表
补丁绝对是不可缺少的

前两天我重装了系统，其实也什么问题，只是因为这个系统用了一年多了都没重装过
其间装装卸卸过无数软件而显得有点慢，有点乱了
（我用的一直是MCAFEE8.5i单监控+系统自带墙）

我重装后 ...

谢谢回答

深红的雪

漏洞有很多种，而咖啡怕的就是系统本身的本地提权执行漏洞。利用这种漏洞完全可以让咖啡装了等于没装一样（即使你的规则如何变态）。
当然这是在病毒得以运行的前提下说的，所以大家也不要以为装了咖啡就很安全而去贸然试毒

要知道XP能有今日的普及程度正是由一个个补丁填补而成的，可见补丁的重要性
另外，现在网马的发展趋势是利用应用程序的0day漏洞（主要是浏览器控件，如暴风、real、联众以及最近的Flash），而不是浏览器本身的漏洞，所以及时更新你使用的软件版本也是很重要的

对于咖啡规则我更提倡从病毒传入途径处防范，这与打补丁并不冲突。而且这样的安全性实际上要比锁住C盘等做法要好得多
理论上任何需要外联的程序都需要用规则限制，例如防网马我们要限制的是浏览器，防U盘病毒要限制的是Shell等等
貌似扯远了~

yeller

应该打上，毕竟不是一回事。

booohr

楼主的想法还是不好的。