关于咖啡漏洞的补充方法

两可

咖啡对文件的保护和排除都是以文件名来识别的,有人提出病毒很容易通过修改名字,从而逃过规则(比如规则排除了rundll32.exe,病毒通过改名为rundll32.exe而逃脱),今天找到一个可以相对更安全点的方法,当然还是存在问题的,只是减少这种风险的方法:

1.比如要排除rundll32.exe,我们不要直接排除rundll32.exe这个名字,而加上**\WINDOWS\system32\rundll32.exe这个路径,这样相对与名字更安全些,
2.再建一条保护rundll32.exe的规则,,达到双保险

当然,排除的东西太多,不可能每个都去这样排除,我建议只是把容易被冒充的敏感文件这样写,这样就相对少了,一定程度上提高了安全性,同时,其实咖啡默认规则中排除的东西太多,个人建议去掉一些不太会用到的,或者全部删除,看日志来添加排除,当然,这样工作量会大些,这是中方法,对要求不高的朋友可能是多余的~~呵呵,这些方法仅供参考,欢迎大家提出意见建议~~

renjiescut2001

排除的选项可以添加路径吗？不是很清楚。
如果将mcafee和HIPS软件结合的话，可以很好解决文件被改名的危险。
现在HIPS软件中EQSecure for system 3.11和mcafee8.5i不冲突可以试试，楼主。

小邪邪

排除路径？

Oceanzd

它是说如果其他盘有rundll32.exe之类的冒充名称的病毒，但是你在排除项里添加了它，那么排除项是不管路径的，所以容易出现问题

小邪邪

以前也试过排除路径，但那次没成功
刚才又试验了一下，成功了：mcafee的升级程序改用路径排除，然后去升级，成功了，虽然暂时还没病毒库可升级，不过已经完成了完整的升级连接过程

aribeth199

禁止 Svchost 执行非 Windows 可执行文件
监视进程:svchost.exe
文件类型（执行）: 所有文件
排除文件:所有exe文件，windows目录以及所有子目录下的文件
禁止伪装 Windows 进程
文件路径（创建，读取，执行，写入）：所有svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe
排除文件：windows目录及其所有子目录下的svchost.exe，explorer.exe，ctfmon.exe，lsass.exe，csrss.exe，winlogon.exe，services.exe，smss.exe
这两条不就是这个作用吗？

aribeth199

如果第一条存在漏洞，可以在第二条加以补充。欢迎大家讨论。

iszeds

原帖由 aribeth199 于 2007-1-15 09:57 发表
禁止 Svchost 执行非 Windows 可执行文件
监视进程:svchost.exe
文件类型（执行）: 所有文件
排除文件:所有exe文件，windows目录以及所有子目录下的文件
禁止伪装 Windows 进程
文件路径（创建，读取，执行 ...

不能完全吧..
某些非windows程序很可能在排除项里面..
比如默认的setup.exe,或者自己设在的 winrar,ie,qq,thunder..等等.上面那2个规则就不起作用了..
那些进程的父进程不是svchost

小邪邪

由于“禁止伪装 Windows 进程”默认排除了对整个windows目录的监视，所以还是存在漏洞
比如svchost.exe只会在system32目录下有
但如果病毒在windows目录下的其它地方也建一个svchost.exe（比如Windows根目录下）
那么这条规则是管不到的

[ 本帖最后由 小邪邪 于 2007-1-15 11:54 编辑 ]

sxingbai

楼主说的并不只针对svchost.exe的调用，更具通用性
虽然排除路径，马蹄莲提到过，但楼主谈得更全面，支持一下