关于咖啡规则是否完全有效的一个小试验
在论坛有人提到过规则的有效性问题,本人认为是普遍有效,但不是绝对
有网友对这个观点提出了质疑,认为不可能无效,刚才试了一下,以验证是否如此
先申明,本人也是咖啡的爱好者,使用咖啡两年了,现在还在使用
首先,我复制了一个可执行文件放在c盘根目录,比如是1234.exe
然后我设置了一条规则**\1234.exe,设置为禁止删除该文件,或者设置禁止对c盘根目录的文件进行删除亦可.
尝试直接用右键删除,被咖啡访问保护所阻拦,删除失败,规则有效
怎么办呢?用kilbox试验一下,大家都知道,killbox是很有用的,但是它也不可能强制删除所有的木马程序,它对类似338448m.bmp 136741M.BMP 235780m.bmp(Trojan.PSW.LMir)的木马程序是无效的.即使用冰刃在安全模式下都无法删除其注册表值HKEY_LOCAL_MACHINE\SOFTWARE\Microsoft\Windows NT\CurrentVersion\Windows]
"AppInit_DLLs"="235780m.bmp"和文件,所以这些工具本身也不是完全有效的
用killbox尝试在正常模式下删除,结果删除失败,看来咖啡的规则还是很厉害的,继续进行,选择在下次启动时删除,重新启动,根目录的1234.exe文件终于被删除了,规则失效!!!
如果我企图删除其系统根目录的ntldr,致使其系统无法启动,也是可以的
用一个别的工具吧,绿色版的江民可疑文件扫描器,呵呵,两年前的老东西了,试图删除迅雷的一个dll文件XunLeiBHO_007.dll,正常是无法删除的,选择下次启动的时候删除,重新启动后,文件已经被删除,咖啡的保护规则没有发挥作用.
继续,用冰刃实验下,用冰刃是可以轻松结束咖啡8.5的进程的,在正常模式删除受咖啡保护的文件,看咖啡到底有什么反应,选直接删除(没有选择强制删除),结果文件被删除了,奇怪的是咖啡居然连日志都没有,任务拦的红圈圈都没有出现!!!看来咖啡的规则对于冰刃这样的内核级工具不一定有效或者无效,否则不可能连日志都没有.
总结:
1.咖啡8.5的规则对于优先于他启动的病毒木马可能无效.有网友说是他装OP的时候疏忽了,忘了先关访问保护或者把进程添加到排除中,
但是OP依然自启动了。。。mcafee8.5的防御规则对它并没有起到作用.呵呵,有好些木马和流氓软件在安全模式下仍然在运行呢
2.咖啡8.5的规则对于关机的时滞后于咖啡进程结束的程序无效,病毒完全可以在关机瞬间写入启动项和创建文件.
3.如果习惯于在病毒区运行样本,我认为这纯粹是误导新手,这个或许需要足够的严密的规则,而且危险的情况是,咖啡没有ad,尽管其阻断了一些规则不容许的动作,但是病毒还在进程之中,如果不马上结束,关机的时候可能被加入启动项,下次执行.所以不建议新手如此使用咖啡,咖啡毕竟不是虚拟机.
4.咖啡8.5的规则对与内核级的工具可能完全无效,除非你不让执行它
总之,还是那些话
迷信病毒特征码的人已经很少了,咖啡的fd也不值得去迷信,尽管它确实能提升很大的安全性
操作系统的内存保护尚不是十分严密,新的计算机病毒也有可能转到特权模式,绕过行为阻断系统,而且事实也是这样,每一次新的病毒技术,例如cih、love.letter等都是突破了当时的防护体系,才开发了新的应对技术.
病毒特征码不是万能的,FD\RD防护也不是万能的,先有攻击技术,后有应对威胁的防御技术.
世界上没有不透风的墙,所谓固若金汤的“马奇洛防线”也还是被人家绕道突破了
防护、特征库、启发式都很重要,单枪匹马都会有遗漏
所以,既然喜欢咖啡,上报病毒还是很必要的,除非计算机没有清毒的需要,虽然锁子很老了,人们还是认为他是防止东西被盗的最普遍的工具.
[ 本帖最后由 爱喀吧 于 2008-12-16 22:13 编辑 ] |
发表于 2008-12-16 19:59:03
楼主